证券类金融企业网络安全建设方法与思路

admin 2022年7月27日19:41:53企业安全评论2 views5979字阅读19分55秒阅读模式

金融企业是指执行业务需要取得金融监管部门授予的金融业务许可证的企业。其中,执业需取得证券业务许可证的证券公司、期货公司和基金管理公司等,与银行类一样,同属于国家重要信息系统范围。


相较于银行类金融企业网络安全工作,证券类金融企业在网络安全的整体建设方面存在一些差异。首先,时间维度来看,证券类存在明显的交易时间段与非交易时间段,交易时间段的网络、系统可用性要求很高。系统维度来看,证券类相对较集中,对外服务的重要系统以交易WEB平台和交易APP为主。归结到安全威胁维度,由于存在交易时段和资金交易,证券类面对拒绝服务攻击、网络入侵、和数据窃取威胁,如具有APT(高级持续性威胁)特性的“基金幽灵”威胁。

因而,证券类金融企业网络安全建设思路是优化网络结构,减少网络安全高危漏洞或缺陷数量,部署抗拒绝服务攻击、网络入侵防护和恶意程序防护措施,通过网络流量分析技术识别APT攻击行为。

下文中小编将先与您分享两种安全建设方法:网络架构分析方法及拒绝服务攻击方法。

安全建设方法

网络架构分析方法

网络架构分析是对用户评估范围内网络建设规范性、网络边界安全性、网络通信安全、整体网络架构合理性,及网络安全管理等方面进行现状分析,采用的分析方法包括资料收集、人员访谈、网络流量采集、防火墙策略分析、网络设备自身配置参数检查等。由于前几种属于通用方法,不作赘述,如下重点介绍后两项方法。

防火墙策略分析

防火墙策略分析需安全工程师对已导出的防火墙策略进行阅读,通过与网络管理员、防火墙厂商工程师交流,理解策略含义。之后,通过与网络拓扑结合分析,找出存在安全风险的配置策略并提出整改建议。分析过程遵循如下原则:


◆ 防火墙策略设置应遵循“最小化”原则,根据系统内外部互联的实际需求,建立细化到源/目的IP、端口、承载信息、信息敏感性等内容在内的网络连接信息表,并据此配置防火墙策略,禁止出现非业务需要的大段IP、连续端口开放的策略。

◆ 原则上不允许提交策略的业务服务占用小于1024的常用端口;所有没有明确允许的访问都应该禁止。

◆ 在不影响防火墙策略执行效果的情况下,应将针对所有用户(源为any)的策略设置为较高优先级; 将匹配度更高的策略优先级次之; 将拒绝的策略设置为比允许的策略更高的优先级 。

◆ 原则上防火墙策略中不应出现允许远程登录及数据库管理的相关策略。对于特殊需求的,可设置点对点访问控制策略。

◆ 原则上互联网用户只能访问外联DMZ区域的设备,不允许存在互联网用户直接能问到内部核心服务器区域的访问权限。

◆ 防火墙策略的最后应有一条拒绝所有(deny all)的策略。对于需要自行配置deny all的策略的防火墙,在最后添加 deny TCP any any。

网络设备自身配置参数检查

从整体网络安全的角度对现有的网络安全策略进行全局性的评估,主要包括:


◆ 对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。应强制对只支持telnet的设备进行淘汰,在支持SSH设备上运行版本升级,如OPENSSH组件建议升级到v7.0。同时,禁用已证实弱算法组合,如停用基于MD5的HMAC算法、blowfish-cbc、cast128- cbc等。

◆ 定期对网络设备的配置文件进行备份。

◆ 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

◆ 应对网络设备的管理员登录地址进行限制。

◆ 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

◆ 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、注入式攻击、IP碎片攻击和网络蠕虫攻击等。

拒绝服务攻击防护方法

拒绝服务攻击,即DDoS,是在众多网络攻击中一种简单有效并且具有很大危害性的攻击方式,通过各种手段消耗网络带宽和系统资源,直至不能对正常用户进行服务。

DDoS攻击存在大小流量两极分化。根据绿盟2015年度DDoS威胁报告分析,回顾2015年度全年的数据后,可以看到这个两极分化现象更为明显,而且呈现在多个方面,包括攻击事件中攻击流量与时长的两极分化,攻击目标中针对高性能及业务特性的两极分化,攻击协议中小流量复杂大流量简化的两极分化。

小流量攻击有着特殊的目的,与大流量(百 G 以上)及超大流量(500G 或 更高)相比,1 这些攻击因为其流量小,不会引起业界的关注, 2 这些小流量隐藏在大流量之中,难以辨识;3 更有些小流量攻击时长小到防护设备难以捕获,很难完整呈现其攻击过程,这些特点决定了小流量攻击不仅不会被攻击者抛弃,而且将其充分贴近业务特性,形成DDoS 脉冲攻击(Hit-and-run DDoS )。因此,采取能够应对大流量和小流量攻击类型的多个维度防护方法,应对DDoS攻击行为。主要防护方法是运营商清洗和本地防护平台,建议采取双机制措施部署,其中一项失效时,互为备份措施。

运营商流量清洗

国内各运营商陆续提供网内DDoS流量清洗增值服务,可有效应对大流量DDoS类型攻击。如广东电信流量清洗系统利用旁路部署技术,集中部署在省干网,并结合攻击检测系统,及时发现背景流量中各种类型的攻击流量,迅速对攻击流量进行过滤或旁路,保证正常流量的通过,有效地提供DDoS检测防护服务。

本地防护平台

通过在企业网络互联网边界部署DDoS专用防护系统,可有效应对小流量DDoS类型攻击。在未达到攻击规模之前,可以对流量进行分析,并统计背景流量状态,事前调整防护策略提高准确性,提升攻击事件发生时的防护水平。同时,作为运营商流量清洗的备份措施。




网络入侵防护方法


网络入侵防护是应对非授权人员从网络边界入侵企业重要信息系统和相关网络设备。防护方法有网络入侵检测、入侵阻断、威胁风险分析。如下对入侵检测和威胁风险分析方法做介绍。

入侵防护检测

  • 基于特征分析的专家系统

特征分析主要检测各类已知攻击,在全盘了解攻击特征后,制作出相应的攻击特征过滤器,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。

  • 协议异常检测

协议异常最为重要的作用是检测特定应用执行缺陷(如:应用缓冲区溢出异常),或者违反特定协议规定的异常(如:RFC异常),从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。

  • 流量异常检测

流量异常检测主要通过学习和调整特定网络环境下的“正常流量”值,来发现非预期的异常流量。如果实际网络流量统计结果与基准达到一定的偏离,则产生警报。

威胁风险分析

威胁情报,是资产威胁或危害的基于证据的知识,包括上下文,机制,指标,意义和应对建议,可为主体提供如何响应威胁或危害的决策。

证券类金融企业对外服务的重要系统以交易WEB平台和交易APP为主,通过收集威胁情报,掌握国内外已发生的特定信息安全事件所利用的已知漏洞是否与企业交易WEB平台存在的漏洞或交易APP某项业务流程缺陷有关联,从而提出漏洞缺陷修补优先级。威胁风险分析过程需要将信息资产、存在漏洞信息、威胁信息综合分析,得出风险高低结果,提供安全团队决策。

绿盟提供威胁情报平台NTI,可从绿盟云推送相关威胁情报至企业本地,支撑企业威胁风险分析 。


APT攻击行为识别方法


2015年,绿盟在多家基金机构陆续发现具有APT特征的恶意样本,即木马Backdoor.David。该木马除具备传统木马功能外,同时还具有被捕获后告警、驱动级自保护、多级代理控制、数据通信加密等功能,经过充分分析此木马在本次攻击事件中的行为特征以及rootkit功能,再结合该样本定向攻击、潜伏期长、攻击模式隐蔽且形式多样等特点,我们将该事件性质定义为APT攻击。

识别此类木马的方法是定期在企业的网络边界和内部网络进行网络入侵防护基础上,采取网络流量威胁分析,提高APT攻击行为的识别率。如下对网络流量威胁分析技术做介绍。 

多种应用层及文件层解码

从高级可持续威胁的攻击路径上分析,绝大多数的攻击来自与Web冲浪,钓鱼邮件以及文件共享,基于此监测系统提供以上相关的应用协议的解码还原能力,具体包括:HTTP、SMTP、POP3、IMAP、FTP。

为了更精确的检测威胁,监控系统考虑到高级可持续威胁的攻击特点,对关键文件类型进行完整的文件还原解析,系统支持了以下的文件解码:

  • Office类:Word、Excel、PowerPoint…

  • Adobe类:.swf、.pdf…

  • 不同的压缩格式:.zip、.rar、.gz、.tar、.7z,.bz…

智能ShellCode检测

恶意攻击软件中具体的攻击功能实现是一段攻击者精心构造的可执行代码,即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode,所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖与特定的攻击样本或者漏洞利用方式,可以有效的检测已知、未知威胁。

需要注意的是由于传统的ShellCode检测已经被业界一些厂商使用,因此攻击者在构造ShellCode时,往往会使用一些变形技术来规避。主要手段就是对相应的功能字段进行编码,达到攻击客户端时,解码字段首先运行,对编码后的功能字段进行解码,然后跳到解码后的功能字段执行。这样的情况下,简单的匹配相关的攻击功能字段就无法发现相关威胁了。

系统在传统ShellCode检测基础上,增加了文件解码功能,通过对不同文件格式的解码,还原出攻击功能字段,从而在新的情势下,依然可以检测出已知、未知威胁。在系统中,此方式作为沙箱检测的有益补充,使系统具备更强的检测能力,提升攻击检测率。

动态沙箱检测

动态沙箱检测,也称虚拟执行检测,它通过虚拟机技术建立多个不同的应用环境,观察程序在其中的行为,来判断是否存在攻击。这种方式可以检测已知和未知威胁,并且因为分析的是真实应用环境下的真实行为,因此可以做到极低的误报率,而较高的检测率。

证券类金融企业网络安全建设方法与思路

检测系统具备指令级的代码分析能力,可以跟踪分析指令特征以及行为特征。系统发现恶意软件后,会持续观察其进一步的行为,包括网络、文件、进程、注册表等等,作为报警内容的一部分输出给安全管理员,方便追查和审计。而其中恶意软件连接C&C服务器(命令与控制服务器)的网络特征也可以进一步被用来发现、跟踪botnet网络。


网络架构分析

网络架构分析是通过对用户评估范围内网络建设规范性、网络边界安全性、网络通信安全、整体网络架构合理性,及网络安全管理等方面进行现状分析,差缺补漏,并提出网络改造方案。

网络架构分析主要工作内容说明如下:

1)     网络建设的规范性:网络安全规划、设备命名规范性、网络架构安全性;

2)     网络的可靠性:网络设备和链路冗余、设备选型及可扩展性;

3)     网络边界安全:防火墙策略、网络设备的ACL、VLAN(二层ACL)等;

4)     网络协议分析:路由、交换、组播 、IPv4等协议;

5)     网络通信安全:通信监控、通信加密、VPN分析等;

6)     设备自身安全:口令、设备版本、系统漏洞、服务、端口等;

7)     网络安全管理:客户端远程登陆协议、日志审计、设备身份验证等。


拒绝服务攻击防护

证券类金融企业购买运营商的流量清洗服务,在运营商网间解决大流量的DDoS攻击。在互联网出口处部署绿盟抗拒绝服务系统,解决运营商服务无法处置的多重复杂的DDoS 脉冲攻击,并在运营商服务失效时,提供防护备份措施。

同时,通过本地部署防护系统,在未达到攻击规模之前,可以对流量进行分析,并统计背景流量状态,事前调整防护策略提高准确性,提升攻击事件发生时的防护水平。

网络入侵防护

在互联网出口位置部署具备检测和实施阻断能力的防护设备如IPS,对网络流量特征进行实时检测和阻断。同时,由安全团队组织开展威胁风险分析,针对已部署网络入侵防护设备的日志、告警信息,开展日志分析,提供整体信息安全形势综合分析报告,初期以人工分析为主,随着安全建设深入,逐步提升自动化分析比例和人机学习技术的应用,提升防护效率,提高网络入侵防护水平。

APT识别与防护

笔者建议开展针对APT攻击行为的安全检测、监控与防护、安全意识培训三项内容。

● 安全检测

使用具备检测此类特定攻击能力的安全扫描设备对全网IT网资产(主要是服务器和PC终端)进行全网安全风险和漏洞扫描。考虑到攻击者主要针对证券行业进行定向攻击,不排除重新感染的可能性。因此,建议用户持续对发现的后门相关的扫描结果进行关注,定期更新扫描设备插件并执行扫描作业。

● 监控与防护

◆ 在业务网段部署安全审计设备,对数据库查询、FTP传输、网络登录等网络行为进行安全审计,及时发现恶意查询、匿名登录等网络异常行为;

◆ 考虑到该后门以及类似攻击变种多样,建议部署具备流量还原能力的威胁分析系统,并对主要通讯协议和主要文件类型进行检测覆盖。 

● 安全意识培训

面向全员/特定岗位/管理层进行持续的安全培训,告知其日常安全注意事项、操作规范、安全事件预警原则等必要信息,改善工作习惯,提升安全意识,持续增强企业安全防护能力。

写在文末

我国信息安全态势显示“针对我国重要信息系统的高强度有组织攻击威胁形势严峻”,“仍有众多APT攻击事件尚未被识别”这一观点已是业内共识。证券类金融企业网络安全建设因根据企业现状进行网络架构优化、部署网络方面的检测防御类和安全评估类产品,利用大数据、人机学习等新技术实现态势感知、关联分析等安全建设目标。

本文梳理了网络安全建设思路方法和内容,从架构分析、DDoS防护、入侵防护逐步深入,从无到有,对于APT识别与防护水平高低的关键是企业需要组建自有安全团队,且信息安全经理必须认识安全产品的安全价值,独立于厂商给予产品的名称标签,赋予安全产品在企业自身环境中的专属功能定位和名称标签,从而发挥超出单一安全产品的防护功能,实现整体安全防护价值。


证券类金融企业网络安全建设方法与思路

编辑:刘帅  校稿:张龙飞 王宁   审阅:徐特

证券类金融企业网络安全建设方法与思路


证券类金融企业网络安全建设方法与思路

证券类金融企业网络安全建设方法与思路

1  SWIFT银行结算系统攻击事件分析

2【观点】防金融欺诈国内银行应可做的更多和更好

3  电信诈骗屡屡得手,金融数据如何系好“安全带”

4  商业银行征信系统安全防护解决方案

5  金融机构与第三方平台对接的风险分析及安全防护

6  众测(Bugs Bounty)的相关分析和安全思考

7【解读】金融行业等保标准中对网络安全的要求

8【案例分享】有了黑洞云清洗,这个运维小哥很幸福~

证券类金融企业网络安全建设方法与思路

绿盟科技微信公众号:  NSFOCUS-weixin  


绿盟安全管家APP:
证券类金融企业网络安全建设方法与思路全网最新安全资讯,让您一手掌握,并能随时随地查看绿盟安全设备运行状态,给您带来最好的服务体验。想要了解更多,快来扫描二维码下载吧!


点击“阅读原文”阅读绿盟科技金融事业部安全月刊。

原文始发于微信公众号(绿盟科技金融事业部):证券类金融企业网络安全建设方法与思路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月27日19:41:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  证券类金融企业网络安全建设方法与思路 https://cn-sec.com/archives/910172.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: