权威刊物 重要平台 关键渠道
邮发代号 2-786
网络空间已成为继陆、海、空、天之外的第五主权空间,维护网络安全成为事关经济发展、社会稳定、国家安全和人民群众合法权益的重大课题。商业银行作为金融体系的主体重要组成部分,其网络安全重要性不言而喻。以大数据、云计算、人工智能、区块链等技术为核心的金融科技应用正在全方位地重塑商业银行业务模式,商业银行服务在不再受制于时空局限的同时,网络安全风险敞口也在进一步加大,面临着日趋严峻的网络安全攻击形势,包括不断涌现的网络高级威胁,层出不穷的 APT 攻击,持续泛滥的恶意木马病毒,精准突击的零日漏洞等。
近年来,党和国家对网络安全重视程度越来越高,特别是陆续举办大型网络攻防实战演练,有效地验证了企业面对网络攻击的实际防御能力。商业银行通过参加演练工作,更是切身体会了实战中攻击者顾虑、行为思路,以及工具手段等,对改善网络攻防信息不对等情况起到积极的作用。
在此形势下,商业银行网络安全工作的重点是获取和保持网络攻防中的优势,掌握并确保网络空间的主导权。为此,商业银行需具备的不仅仅是传统防守能力,而是更为主动的网络对抗能力。对商业银行而言,网络对抗能力就是以围绕反入侵为主题,开展情报收集、信息干扰以及通过对攻反制争夺反入侵攻防优势等系列活动的能力。
习近平总书记 2016 年 4 月 19 日在网络安全和信息化工作座谈会上的讲话中指出,“网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜。”通过购买各种安全产品、服务来堆砌的网络安全防线,缺少结构化的防御支撑,存在防护重叠或空白,需要对安全功能进行整合化系统化的梳理、专业化的汇聚分析与信息甄别,才能免于被海量的监控告警淹没。尽管如此,被动防御终究难以抵御层出不穷的攻击手段。
商业银行的网络安全要改变被动挨打的局面,对攻击者形成一定的震慑、反制,在最大程度上抑制网络攻击的发生,就需要推进网络安全对抗能力的建设。
传统的网络防御,侧重于互联网、第三方等边界的网络安全防护,重点皆是在检测到攻击后如何实现有效阻断,而对于突破边界后的埋伏、感染等缺乏有效手段。建设网络对抗能力,告别单纯的“告警-处理”模式,在面对网络攻击时,能够以溯源反制的方式找出攻击者或迫使其终止攻击,重新掌握对抗的主动权。
如果网络对抗仅依赖于第三方的专业能力,那么“以攻促防”也仅是个口号,且受制于人的攻防能力将可能会是更大的安全隐患。建设网络对抗能力,实现自主式仿真攻防,掌握演练主权,进一步促使“以攻促防”成为常态化。
网络攻击技术发展日新月异,只有不断跟进网络攻击新技术的发展趋势,加强对高级攻击技术的研究,并在实战中不断碰撞,才能更好地锻炼对抗能力,预判攻防要点、升级作战手法。
网络对抗能力建设的过程是一个立体化、体系化、不断调优变化的过程,其关键是将网络安全人才、网络安全工具进行有机的结合进而发挥最大效能,总体来看可以分成队伍组织专业化、工具利用专业化、资源配置集约化三部分进行规划推进。
商业银行普遍缺少专职自有的网络攻防对抗队伍,团队组建往往从科技运维、研发人员中临时拼凑,攻防对抗专业化程度低,攻防情报收集、技术研究及应用、战略对抗等多项关键技术以及管、领、带等团队组织工作缺乏精细分工,导致各项工作均难以深入、持续,整体对抗水平更多依赖个别人员的临时发挥。
商业银行要提高自身的网络对抗能力,首先需要建设一支专业化的网络对抗队伍,实现专人专职、定人定责、精细分工,网络攻防队伍构成可大致分为情报分析团队、安全技术团队、对抗团队,也就是我们常说的“三线作战法”。
情报分析团队肩负着收集和分析网络对抗中各类相关情报的重任,是网络对抗中情报战线的主力,是网络攻防能力中的“耳目”。在网络对抗中,无论是接触战中的攻防双方,还是推进安全技术储备的安全研究,都需要及时获取经过整合分析和提炼的相关信息。情报收集团队主要工作应包含信息收集、整理、分类分析等,战时重点收集攻防热点情报、威胁情报、目标社工情报,力求快速筛选互联网边界切入点;平时主要收集互联网资产信息、黑产信息、漏洞信息,监测互联网暴露面及安全圈动态信息,做好安全预警工作。
安全技术团队是对安全技术研究、开发、转化、应用等重要技术工作的保障,是网络攻防能力中的“基石”。
一方面,安全技术团队要负责攻击链上各环节的技术研究,包括漏洞技术、后渗透技术等,深入探究目标的典型产品漏洞,并研制出能够突破漏洞的攻防工具。
另一方面,在攻防阶段中,技术研发团队还要协助搭建攻防环境,为攻防团队部署漏洞识别、利用技术和工具,并在命令与控制阶段提供负载免杀、IP 隐蔽、流量转发等基础支撑。
对抗团队是网络对抗中的行动团队,在情报分析团队和安全技术团队的支持和配合下,具体执行反制对攻活动,争夺网络对抗中的优势,震慑和打击网络入侵者,是网络攻防能力中的“铁拳”。
根据作战的方式,可将对抗团队划分为正面打点的团队、深入内网的团队、从目标员工入手的团队。
(1)正面打点的团队负责目标资产扫描、密码暴力破解、趟蜜罐等工作,从互联网的资产暴露面上找出可以利用的漏洞,正面打点突破目标互联网边界。
(2)深入内网的团队负责在“海军”提供的突破点上深入内网,在内网渗透的主战场上开展网络突破,一方面进行纵横渗透,横向扩大控制面,纵向渗透集权系统、跨网主机;另一方面对已控制的主机进行信息榨取,夺取用户密码,拿下数据库、后台管理权限。
(3)从目标员工入手的团队负责通过钓鱼等社工手段,从目标的员工入手,通过控制个人计算机借路从侧面突破目标网络。
上述主要对网络对抗队伍的专业化建设进行横向划分,实际还应注重纵向“带”“领”“管”三者的专业分工。
“带”是指对团队成员进行专业的教授、培训,需要具备专业技术领头水平的人在长期工作中持续输出策略指导,是专业的技术教练。
“领”是指对团队工作方向、专业成长方向的引领,对外部情况的准确判断,是决定方向的“领头羊”。
“管”是指负责维持团队运作的资源协调、计划安排等相关工作,是团队的后勤保障。
实现由技术专家负责专业技能的“带”、由技术管理负责掌控方向的“领”、由事务人员负责扫除杂务的“管”的团队构成,才能使团队持续高速成长。
商业银行在网络攻防对抗过程中,通常依赖个别技术骨干进行漏洞辨识与利用,未形成对高危漏洞利用的自动化工具积累。工具利用专业化就是根据漏洞利用技术形成“傻瓜式”自动化利用工具,以便攻防对抗团队无需准备即可快速使用投入实战,其关键点包括获取漏洞利用技术原理、形成自动化利用工具。
获得高危漏洞利用原理的大致步骤分为:定位漏洞出现的位置、分析漏洞产生的原因、研究漏洞利用的方法。通常的途径有两种,对于相当部分的 T 日漏洞及个别 1 日、0 日漏洞,可以从互联网直接获取安全研究人员分享的完整的漏洞原理及利用分析;而对于无法直接收集到漏洞利用原理的,则需要通过自研获取。
自研漏洞利用原理可以通过厂商补丁分析、蜜罐流量分析、互联网上安全研究人员分享经验等手段开展漏洞详情研究,定位漏洞位置及原因分析,搭建漏洞验证环境推衍、测试各种漏洞利用技术,进而梳理出有效的漏洞利用原理。
在掌握漏洞利用原理的基础上,就可以进一步争取获得自动化利用工具,即对工具进行专业化封装。同样,这也是两种途径:
一是直接收集互联网上的高危漏洞利用工具并加以使用。尽管工具可以直接获取,但掌握其漏洞利用原理是必要的基础,因为很多情况下需要针对工具仅在研发者测试环境适用、不同目标部署存在差异等情况对工具进行兼容性调整,在实战中也需要考虑对工具的去特征改造。此外,从互联网上获取的工具软件在使用前均应进行后门排查,以防恶意代码混入,可使用靶机验证是否包含非预期的破坏效果。
二是根据漏洞利用原理自主研发利用工具,最好借助已有框架工具定制漏洞利用模块,以便统一使用方法,减少使用适应时长。
对攻防对抗资源的集约化配置,即是在拥有专业团队和专业工具装备的基础上,将两者充分组合,在真练实抗中不断磨合训练,形成具备战斗力的战队。常见的资源配置集约化不足表现为对抗工具单一、对抗方式没有形成规范、对抗队伍中单体对对抗工具的使用熟练度差异大、缺少防溯源掩护措施、缺少强攻所需的消耗性资源等。
1. 对对抗工具进行多样性储备。应对同一目标配备多种对抗工具,以便克服普遍存在的部署差异、适应不同的场景,丰富安全设备绕过手段,增加对漏洞利用的成功率。
2. 提升对抗工具使用熟练度并持续改进。应尽早在对抗设备机上配备各种已有的对抗工具,并确保所有对抗工具处于随时能用的状态,以便对抗队伍能够在战场就绪的前提下通过漏洞靶场和场景靶场加强磨合锻炼,保证对所有对抗工具都具备足够的使用经验。在提升熟练度的同时,对抗队伍可以从使用便利、效率控制、稳定性等方面对对抗工具使用提出改进意见,反馈技术研发人员促进对抗工具的完善优化。
3. 为对抗队伍配备全套的对抗环境。除了漏洞利用工具还应配备一些辅助工具、防溯源掩护及消耗性资源,以便对抗队伍实战过程中能够灵活调配。如在信息情报收集中广泛应用的在线服务、防溯源的安全上网出口、防溯源的可信域名和前置互联网主机、用于扫描漏洞时硬拼防守方封 IP的 IP 池等。
商业银行作为重要的金融机构,承担着维护网络安全的重要社会责任,不管各自在网络安全上的起点如何,都要从“各人自扫门前雪”的被动防御,转变为反制震慑的主动防御,通过建设网络安全对抗能力,不单维护自身网络安全,更要主动参与打击网络恶意势力,为社会贡献一份维护网络安全的能力。
(本文刊登于《中国信息安全》杂志2022年第1期)
原文始发于微信公众号(中国信息安全):前沿 | 关于商业银行网络安全对抗能力建设的思考
评论