企业信息安全体系建设一直是各个甲方的热点和痛点话题,也是个千人千面的问题。每个人都有自己对于安全的理解和蓝图,可以从合规、实战、风险、业务支撑等不同角度来解读,但无论从哪个出发点,最终落地还是要体现在对抗能力上。本文将从这个角度来分析金融行业安全体系建设中的一些关键要点。
我们先从宏观层面分析甲方信息安全所面临的挑战。
数字化转型迫使金融行业更多的业务和应用互联网化、移动化,传统的安全边界面临重构,而业务创新和新技术应用也带来了更多的攻击面。从日常安全对抗来看,我们每天实际要面临的外部风险主要是各种类型的应用层面的漏洞利用,这个问题的存量和增量是非常多的,根据exploitdb收集的公开漏洞,截止到目前大概是在4.5万左右,并且这些漏洞大部分都是有POC攻击代码,可以随意下载使用的,每周新增的数量大约在100至300。除此以外,我们可能还需应对内部、外包、第三方合作方的一些人为风险威胁。
图1 漏洞统计
而大部分中小金融企业实际的安全运营团队可能相对来说都是比较小的,少至一人,可能是一个人做网络兼职着做安全。常见的三至五个人的安全小团队中有效的去做安全的人也不多,很多安全人员的精力过度消耗在各种内部的行政、检查、合规方面的工作,实际用来思考安全规划、分析恶意代码、处置分析风险、提升安全检测能力和开展安全建设的精力往往是有限的,投入到真实有效对抗的人力往往是不足的。
针对这种现状,我们来浅析一下企业信息安全体系建设的常见问题,让企业将有限的安全人力投入在一些收益比高的关键环节。大而全的安全体系建设是最终目标,但在建设过程阶段,我们可能更应该考虑做减法,而不是加法,每个阶段重点建设几个能力,抓住核心。笔者认为如能围绕三同步、安全指标体系、API接口、数据安全、终端安全、内生安全、主动安全、安全实战化、业务安全、有效性验证等方面来推进,应该是一个比较有实效的建设思路。
图2 十个关键点
一、三同步
为什么要讲三同步的原则?个人认为同步规划、同步建设、同步运营是一个整体的闭环,一是认知层面它能保持我们企业内部各层级、各相关方对安全形成一个统一的认识;二是技术体系层面可保持后续总体安全框架、解决方案的稳定性和一致性;三是从运营层面来说,按照这个体系去做的话能规避掉很多前期的风险和问题。其实从实践来看,企业遇到的很多安全问题,包括积累下来的历史问题,往往都是因为在前期没有做好基础工作而带来的不必要的麻烦。譬如内部没有按照安全区域去划分带来防火墙策略很难去配置,安全设备无法部署到有效的位置,安全策略很难统一,这些问题的根源都是前期没有按三同步原则去做。另外一个现状是我们目前的建设以偏事中的安全建设居多,而事前规划和事后总结提炼工作偏少。缺少规划指导往往会造成安全建设整体目标不清晰,产品和技术方案选型无法统一,导致后续运维困难和维护成本高,而缺少事后总结不利于及时反馈规划和建设的不足,无法固化和复用已有的经验成果。所以如果使用三同步的原则,我们基本上可以在管理层面形成一个比较稳定的顶层设计,可以更有效的支撑后续安全建设,构建一个企业所需的安全整体能力拼图。
二、安全指标体系
安全指标体系可以理解为一个企业安全建设的指南针,可以理解为规划具体落地环节的细化要求。为什么要围绕安全指标体系去开展建设和运营呢?通常我们要考核什么东西,最后才能得到一个接近的结果,安全也同样如此,我的资源、人力投入到不同地方,可能的结果也是不同的。从另外一个层面来说,企业安全建设不是在一年内完成的,往往需要三至五年的周期,不同的阶段可能会有不同的安全建设目标,但是结合安全规划,总体的安全体系指标要提前就确定好,这样最终每个项目建设的时候才能形成一种合力,形成一个完整的安全能力指标。包括领导去审核安全规划或安全项目的时候,也会比较清楚这个项目是为了解决什么问题,能提升什么指标,从而有效提升安全沟通交流的效率。对于实施层面来说,也可以结合指标要求去定期总结还有哪些不足,分析和行业平均水平、自身预期相比还有多少差距。
图3 安全指标体系
三、API接口安全
API安全已经提了很多年了,其重要性也在逐年提升,我们可以看一下API安全的出发点来源是在于什么。在架构层面,云原生和微服务已是主要的 IT架构趋势,内含了很多API接口的调用。在运营层面,我们的DEVSECOPS开发平台、自动化运维、SOAR都需要依赖于API接口,需要各厂商不同安全产品能提供稳定的接口,形成一个整体的安全的能力。目前大家提API安全的时候,主要都侧重在API监控,但API需要一个完整的工具链的支撑,需要能覆盖API设计、测试、规划、开发、监控和审计个全生命周期的过程,没有完整工具链支撑,很多时候是做不下去或无法闭环的。金融企业的数据泄露或者安全风险很多是因为它的某一个API接口出现问题,所以我们在做API的时候,要把API接口的认证、鉴权、审计、限流都考虑进去。具体在实践过程中碰到比较多的问题是怎么保证接口的稳定性,往往我们购买的第三方产品在升级时,没有考虑前向兼容性问题,导致运营处置流程失效和维护困难。另外一个难点是第三方接口,企业里会用到很多第三方软件,这些软件可能会有一些不必要的接口暴露在互联网上,特别是内部的和僵尸API接口,好在现有的常见流量监控设备基本上会支持对这些接口的梳理,监控的粒度也都可以到URI级别,我们要把这些接口关注和管理起来,纳入常态化的监控和处置,慢慢收敛闭环。
图4 API接口
四、数据安全
金融行业最有价值的还是数据,因为它无论从云、网或者是终端层面来攻下设备,最终都是为了获取数据,所以数据安全可以说是金融行业安全的生命线。数据安全现在也有各种完整的体系架构可以参考。如Gartner的DSG,它是从顶层往下一步步去分解的,微软的DGPC是从安全架构、身份认证、信息保护审计的角度去做防护的,国内DSMM数据成熟度模型从全生命周期和各个纬度都给出了定义。其实对企业来说这些都可以,无论是遵循哪一个其实都能解决很多问题,找一个适合自己的或者裁剪为自己适合的就可以。数据其实最重要的就是用有效的手段做好数据加密,当所有防护都失效时,这将是我们最后一个兜底的手段。加密手段有很多,大家可以选择一些低成本或者性能消耗比较低的,或者适合自己业务特征的加密手段。另外需要关注的就是要统一做好企业内部的证书管理,因为每个企业内部都有不少证书,这些证书怎么去做监控,怎么去对它的加解密过程做监控,包括证书过期的提醒,这些往往会关系到一个企业应用的可用性和用户体验。在数据层面的风险点具体可以参考一下DTTACK数据安全模型,这个模型对数据安全的攻击面进行了全面分析,可以作为衡量数据防护能力的参考指标。
图5 数据治理
五、终端安全
终端安全也是我们常提的安全最后一公里,在实战化当中是非常重要的,因为大家可以看到安全可能有云上的安全、网络的安全、应用的安全,它最终落地一定会在终端层面体现,所以从企业的角度来说,加强终端的管控往往是投入性价比最高的安全手段。为什么要去强调终端安全呢?一是现在大部分攻击手段是通过加密来逃避网络层面、应用层面检测的,特别是对于已经失陷外联的出向流量是不可能有证书可以来解密分析的,需要专用的加密流量检查设施,但终端层面、内存层面(可以应对无文件攻击场景)是透明的,所以在终端上可以看到前面检测不到的一些攻击和风险,包括0day或者nday漏洞在终端侧是可以被识别和检测到的。二是很多安全防护设备在明处,别人可以用各种手段去绕过,最终可能要通过终端去发现这些问题。三是内部人员的恶意行为,因为我们的很多防护都是对外的,但是如果内部人员去做一些恶意行为,如果没有终端防护手段的话是无法发现的。而一些提升终端安全的有效手段,如控制终端的权限,回收管理员的权限,建统一的软件仓库,能够避免小白误装一些恶意软件或没有经过认证的软件。其实终端安全最重要的一点就是怎么做好终端层面的收敛,特别是一些白利用的命令管控,防止个别员工终端失陷变为攻击跳板,为什么这么说?因为现在的黑客手段也很高明,不太会用一些明显的恶意软件去攻击,他更可能去用你系统自带的一些可白利用的命令,譬如win下powershell、bitsadmin、certutil、winrm、csc、cscript等等都可以用来实现恶意代码的传输、下载、持久化和提权的工作,linux同样也有类似的白利用命令。从企业来说,不涉及开发运维的大多员工用不到这些东西,我们完全可以把它屏蔽掉,减少终端失陷后的横向扩展,大大收敛我们的风险暴露面。
图6 终端安全
六、内生安全和默认安全
企业安全建设的初期阶段主要是靠买很多安全设备和软件去做安全防护,可以简单理解为一种外挂的安全,这是练的外功,也是一个高效快速弥补短板的手段。但是这会带来一些问题,一是自身的安全防护体系架构会比较复杂,二是会存在一些误报,这些设备如果串接会带来很多侵入性,可能会对运维带来很大的挑战。举个例子,我们在实际攻防当中可能发现有些失守并不是自己应用的问题,而是因为买了很多外部的安全产品,这些产品本身有一些漏洞,这些漏洞在攻防演练中往往会被人重点盯住,去做针对性的攻击,从而带来整个防线失陷。只靠外挂的安全,作用是有一定限度的。我们还需要练内功,做好内生安全建设,这样的安全架构可能会更简单、更灵活、更高效,资源的消耗也会比较少。二是告警更准确,很少会有误报,因为它是跟业务紧密结合的,但是落地难点也在于此,它需要和业务去做紧密捆绑。但是如果前期在做规划、开发、测试的时候就把这些问题考虑进去,还是可以去推动的,再和外挂安全结合起来,对企业的防护会有很大的改观。而默认安全就是我们系统和服务一上线就需要按照安全基线去部署,特别是云原生架构,不可变基础设施和应用都是基于配置文件来创建和运行的,配置上的漏洞更容易被指数级放大,而这块通过基线其实是可以很快能落地的,实施成本也低,重点是做好上线准入的检查和管理。
七、主动安全
主动安全其实也是一种消除供方不对称的有效手段。我们每天面临的很多外部攻击,特别是有组织的攻击,其能力远大于防守人员,应该如何有效的降低这种攻防的不对称呢?个人能力的提升不是短期能达到的,而且也不是每个企业都能维持这样的人力和成本投入,而通过一些主动的欺骗防御手段,比如说部署蜜罐、蜜网、蜜数据、蜜应用,都可以有效的利用信息差降低这种攻防的不对称。特别是蜜网,可以是密罐的一个有力的补充,因为企业内部有很多终端如哑终端、打印机、IoT的设备,是没法装蜜罐的,所以这时候我们可以通过部署密网去做有效的防护,便于我们形成从网>端>应用>数据不同层次的主动防御机制。从安全实战角度,除了可以通过虚拟化方式去模拟这种防护手段外,更有效的是可以利用旧设备、下线设备去部署,这样做的好处是避免攻击方通过一些虚拟化的特征,如虚拟化的MAC地址、显卡特征、CPU型号等很容易的识别出蜜罐,进而被绕过。总的来说,主动防御手段成本比较低,告警置信度高,可有效提升安全检测时间。在实施层面基本上都是通过一些旁路部署,对业务的倾入性很小,相对来说容易去推广。
另外一个重点是我们实际去做安全对抗的时候,要避免把安全放在应用层面去做各种攻击对抗,因为应用层的各种应用往往太复杂,也太多,我们没法一一去应对,更多的可能是要做一些降维打击,在网络层面通过白名单、基线等手段去有效规避掉大部分攻击,这样防守面就会大大收敛,而且对安全一线人员能力的要求也会降低很多。
图7 主动安全
八、实战化
我们现在可以看到前些年的安全还是停留在以合规驱动为主,带来的问题是可能很多只是做一些汇报、写个PPT就算是应付了,其实从实战的角度来说可能还是存在很多漏洞、风险、架构、流程不合理的问题没有解决。而通过以实战化促进企业安全建设是一个非常好的手段,也能发现很多自身的不足。围绕实战要求,我们可能要重点关注两个核心指标,MTTD安全风险平均有效的检测时间和MTTR安全风险平均处置时间。这两个指标之所以很重要,是因为现在的安全攻防都是有组织、高水平的对抗,攻击者摸清目标后大多都是采用自动化脚本,基本上在5分钟之内就可以把企业拿下,将重要数据拿走。如果发现问题、汇报问题到处置问题需要半小时或者一个小时以上,基本上就是一个无效的对抗。这两个指标非常考验企业安全运营能力和安全建设水平。还有一点想强调一下,前面也说了,我们的安全更多还停留在建设层面,但是在事前和事后的能力确实是比较欠缺的,比如说我们在溯源取证或者威胁狩猎的能力其实是不足的,企业可以通过找一些自身的安全能力强的厂商去合作,补足自己能力的不足,完全靠企业自己几个人可能很多东西是不太现实的。从行业来看,未来走MSSP服务应该也是一个比较好的方向。企业可以结合自身实际去做一些收效快的实战化建设,比如说我们可以做实战化的安全培训、安全演练,建立自己的安全工具库、知识库、事件库,培养自己SRC的运营团队,慢慢收敛自己内部已有问题去,是投入产出比非常好的一个方法。
图8 安全实战化
九、业务安全
业务安全其实是安全的最高层面了,我们前面提的安全都是基础安全,这些都是为了解决合规或者实战化攻防问题,但是我们有没有给企业的业务去做赋能,或者提升企业的安全价值呢?其实往往是需要通过业务安全才能快速给企业做这种安全赋能,才能体现出安全的价值,才能获得公司或者领导更多的认可。但是业务安全这块不是我们简单做好基础安全,或者我懂应用、懂网络、懂系统就可以的,因为业务逻辑的安全是跟业务密切相关的,另外就是很多安全合规要求也是和业务高度结合的,企业内部我们要培养一些对业务安全有理解的人去参与到安全领域,这样才是一个完整的安全体系。做业务安全我们首先要把业务需求和IT策略做映射,把业务需求转换成IT策略,再通过IT策略去推导出安全策略,这样才能做到和业务的有效的结合。
图9 业务安全
十、安全验证
我们谈了那么多安全,最后谈一点就是安全验证。安全技术和管理手段到底有没有起到作用,技术检查能力和人为处置是否能和预期保持一致,这些都需要有验证的闭环。譬如我们在实践中经常会遇到环境有误配置或弱配置,安全策略没有生效,流量没有引入TAP设备或者引入流量不全,安全设备放的位置不对,日志没有收齐和分析处置,主机各类检测的agent可能僵死,事件没能有效通知到一线人员,一线人员的处置能力和处置方法和预期有差距等等的问题,针对这些问题还是要常态化的做一些有效性的验证,这也是Gartner前两年提的很好的概念。目前国内也有很多创新公司在做这方面的工作,这确实可以给企业提供一个有效的安全闭环管理工具,更重要的是验证通过自动化来实现可以大大减轻运营的压力。企业的内外部安全环境,包括应用都是动态变化的,所以应该要做持续性和常态化的验证,这个工作如果持续开展下去是可以有效把企业安全敞口收敛到可运营的水平的。
总结
总的安全态势来说,网络安全攻击更多已经从以前的炫技为主转换成以获取经济利益为主,特别是金融行业,我们面对更多的是仿冒和数据倒卖。在经济利益驱使下,黑客是体系化或者有组织的,他们的能力往往远远大于实际安全防护人员的能力,我们还是要保持一个清醒的认识。我们可能已经解决了很多已知问题,但这只限于公开的被我们所获悉的,其实还有更多漏洞依然掌握在黑客组织手中,以谋取更大的利益,并不是说解决了已知漏洞我们就安全了,而是要一直保持敬畏的心态。最后一个就是需要来自国家主管层面更多的监管,通过国家和行业强监管可以有效的加快企业的安全投入,构建国家和行业的安全防护体系和安全生态,降低行业总体的成本。
作者介绍
原文始发于微信公众号(安全村SecUN):企业信息安全体系建设要点浅析|证券行业专刊·安全村
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论