2020年初以来,各金融机构认真执行中国人民银行、银保监会等监管机构关于加强金融服务和强化金融支持防控新冠肺炎疫情的要求,纷纷开启远程办公的工作模式。新冠疫情反复影响着人们的正常工作生活,抗击疫情的第三个年头,远程办公安全却成了金融企业面临的共同难题。疫情防控常态化大背景下,金融行业大多数员工采取了居家办公的方式,使用VPN远程访问业务时出现的威胁也随之增多。传统基于边界的VPN防护体系已无法有效应对从外部发起的攻击,在面对外部攻击时,一旦攻击者突破了VPN边界,那么接下来的横向攻击将不再受到阻碍。因此,传统的安全防御体系无法有效应对远程办公带来的种种安全风险,急需一种新的安全架构方案来解决此问题。
VPN进到金融内网后权限无限放大,VPN在提供便捷办公同时谁来监控它呢?按金融客户属性制定一套轻量化解决方案,建设投入安全设备是Web应用防火墙WAF、全流量双向威胁检测系统UTS。
目前受疫情影响金融领域大多数员工或驻场外派人员处于居家远程办公状态,通过VPN访问业务系统缺乏有效的检测与防护手段,近年的SDP(零信任)、SASE(安全访问服务边缘)等解决方案也能解决远程办公诸多问题,如果客户坚持要保留原有的VPN,加强VPN威胁检测防护能力的需求就迫在眉睫,现状分析如下:
01
数据安全场景
-
员工VPN账号被泄露后,黑客就会以“合法身份”窃取数据。通过VPN访问的业务系统存在大量的弱密码,业务系统账号密码极易出现破解。 -
VPN是基于用户角色粗粒度的静态授权,一旦成功登录VPN进入内网就可以为所欲为。正常情况员工应只被允许在规定的权限内对应用或者数据库进行操作,但通过VPN访问的站点权限过大,无法限制VPN访问的站点资源,更无法对站点进行分组设置。 -
通过VPN访问业务系统导致信息泄露。应用系统漏洞是无法避免的,若对应用过度授权,对于已经突破边界进入到内部的攻击者来说,就可以随意扫描内网,轻松找到存在漏洞的系统并加以利用,进而通过提权来访问到更具价值的信息。
02
运营安全场景
03
检测防御场景
-
通过VPN访问WEB业务系统暂时还无法做到会话监听,会导致遭受的攻击难以复现。另外对VPN访问业务系统异常行为也无有效的监控手段,再就是通过VPN进行远程操作时无法对行为数据进行审计分析,例如VPN不具备DPI能力,对于常规协议、工控协议、数据存留等无法进行有效的鉴别。
-
VPN自身不具备威胁检测能力,检测能力包括入侵检测、WEB攻击检测、恶意文件检测、APT检测,例如恶意文件、隐蔽隧道、水坑攻击、勒索病毒检测的缺失就会有造成很大风险。另外建议业务系统登录鉴权使用多因素认证,多层权限校验会有效降低异常行为发生。
-
通过VPN访问缺乏威胁分析能力,无法应对威胁事件、攻击者、实现主机、漏洞等分析,例如通过VPN进行内部钓鱼邮件攻击,束手无策。
-
单纯VPN环境下暂无响应处置能力,在发现威胁后不支持快速响应阻断数据外发行为,例如通过VPN发起的攻击只能听之任之。
图 1:VPN现状问题展示
图2:远程办公连接VPN拓扑图(红色字体为新增检测及防护系统)
图3:金融领域办公区域安全推荐产品
图4:智能威胁检测和安全运营分析
某商业银行前期受疫情影响,大部分员工采取居家办公的形式,通过VPN连接业务系统,存在较大的安全风险,因此决定进一步加强对VPN服务器的威胁检测能力。以下为商业银行在DMZ区增加的应用防火墙WAF、入侵防御系统IPS、双向全流量检测系统UTS等防护手段。
图5:某商业银行VPN监控案例
金融客户如果计划重新搭建访问框架或对VPN进行彻底异构改造,解决VPN访问形式线路不稳、无多因素认证(MFA)、存在横向移动、权限粗放等弊端,绿盟零信任整体解决方案同样也可以做到。
图6:绿盟零信任整体解决方案
微信公众号:nsfocusfbd
原文始发于微信公众号(绿盟科技金融事业部):金融领域VPN强化监控及防护方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论