2024年2月7日发(作者：)

配置不当Information Security信息安全银行业实战化安全有效性验证研究与实践中国工商银行数据中心安全技术部 朱宏亮 郭优当前，网络安全已成为信息时代国家安全的战略基石，事关国家长治久安。银行业高度重视网络安全建设，建成了纵深防御体系和安全运营体系，网络安全防护能力得到了大幅提升。与此同时，银行业机构也面临着一系列新的挑战：各项安全防护措施是否有效、是否存在急需改进的领域，如何进一步提升自身的安全防护实战水平等。在提出实战攻防能力没有明确、统一评估标准的情况下，本文以“覆盖到位、检测及时、策略有效”为目标，以实战化攻击验证为手段，从多个维度对银行网络防护体系进行有效性验证，以确保防护效果、应急时效与预期的一致性。足、告警日志丢失和防护覆盖不足等（如图1所示）。因此，如何实现自动、快速、全局验证防护策略的有效性，主动发现防护策略失效的盲区，是银行业机构安全运营面临的重要问题之一。一、银行业机构网络安全防护工作的痛点随着银行业安全运营体系和纵深防御体系建设日趋完备，安全防护体系的复杂度急剧提升。安全防护体系依赖各类安全设备以及安全策略（安全规则）支撑企业攻击监测、流量阻断、实时报警、关联分析等，而银行业机构业务流程复杂、版本变动频繁，测试环境无法完全模拟生产环境的全部架构，在进行安全策略验证时，往往只能局限在单一安全产品领域、针对某个特定应用开展，而不能同时验证整个防护体系安全策略全局防护的有效性。一旦出现错误的安全策略变更、防护策略人为绕过、误报等情况，不仅会导致安全防护策略失效，甚至会影响生产稳定运行。研究发现，在实战攻防中，多数未能有效发现攻击事件的原因在于：安全规则策略配置不当、设备性能不图1 安全防护策略失效原因占比二、实战化安全有效性验证部署方案本文秉持以攻促防的理念模拟真实攻击。首先在无任何真实生产业务的情况下，模拟部署和真实生产环境一致的安全防护设备靶机，覆盖全部网络区域；其次在各区域部署攻击机，用于发起攻击用例；再次通过安全验证平台下发用例指令，攻击机向各网络区域靶机进行模拟攻击，完成后将攻击日志与SOC日志进行对接，并比对验证；最后通过模拟可能发生的网络攻击场景，如Webshell上传后攻击域控、绕过HIPS后横向移动等，将攻击场景结合行内实际架构进行无害化自动编排，再由内置脚本自动化触发整个场景所需的所有行为，对场2023 . 11 中国金融电脑85

指令攻击模拟攻击模拟INFORMATIONSECURITY景中涉及的所有安全设备和策略开展持续性、有效性验证。在实际生产环境中，安全有效性验证自动化闭环流程（如图2所示）如下：一是安全验证平台根据预定编排的攻击场景下发攻击任务；二是攻击机模拟攻击者对攻击场景以无害方式逐个实施攻击；三是靶机安全设备将检测日志传输到SOC；四是SOC规则产生安全告警，并上送至安全验证平台；五是将攻击结果、安全告警两者进行差值对比，得出验证失败的攻击任务；六是开展失败任务原因排查和分析。发现纵深防御体系的薄弱环节及深层次问题（见表1），如防护设备未覆盖所有资产、安全防护设备上送信息联动分析平台可能失效等，此类问题在日常策略检查和安全监测时较难快速发现，被发现时往往已造成不良后果（网络被攻击成功或被入侵）。安全有效性验证实践可以有效“先发制敌”，通过主动开展有效性验证赢得与攻击者在防护体系策略失效点上“赛跑”的时间。以黑客思维构建具有自动化编排能力的安全有效性验证体系，通过自动化编排和攻击模拟，可有效识别防护体系策略失效的风险。此外，银行业机构还可定期对全集团各分支机构开展无通知突击模拟攻击测试，验证各分支机构安全应急响应处置能力的有效性，保证其安全监控时效处于合理区间。对于应急处置缓慢的分支机构，应进一步分析原因，若为查看告警不及时，则要求其加强管理；若为告警丢失、流量采集不全、规则未生效等原因，则通过技术分析寻找根源。在常态化安全运营期间，应持续进行攻击还原分析，总结经验，并将新的攻击场景纳入有效性验证主题，逐步拓展、全面覆盖现有安全运营体系和纵深防御体系，不断提升安全防护能力，从而实现安全运营。三、实战化安全有效性验证实践在制定实战化安全有效性验证部署方案之后，工商银行结合纵深防御体系，有针对性地拟定覆盖网络层和主机层的四大类、15个验证主题，包括自动化封禁有效性验证、内网横向移动监测有效性验证、防病毒策略有效性验证等（如图3所示）；同时，建立体系化、自动化、常态化的安全运营有效性验证机制，构建事前全面检验安全策略有效性、事中突击检验应急响应处置有效性、事后持续优化改进并进行复合验证的全周期安全防护能力。通过对安全防护能力的有效性验证，安全人员可以图2 安全有效性验证自动化闭环流程86FINANCIAL COMPUTER OF CHINA

WAF内网横向移动监测有效性验证攻击者常见攻击工具安全检测有效性验证信创终端安全准入策略有效性验证络配置有效性验证机流量安全设备防护策略有效性验证NTA探针跨区域流量有效性验证内存马安全有效性验证USB管控策略有效性验证层恶意云函数C2有效性验证恶意隧道代理有效性验证自动化封禁有效性验证Information Security信息安全图3 安全有效性验证场景表1 安全防护能力有效性验证结果示例类别失效点部分资产未覆盖防护设备分析说明WAF没有覆盖应该监测保护的资产一组WAF本应同步策略，实际策略不同步，防护策略失效应用侧在服务器本地卸载证书，防护设备无法查看明文流量，导致封禁异常应用侧配置错误导致未将源地址插入到X-Forwarded-For字段内当探针流量超过最大阈值，导致部分流量丢失，造成封禁异常消息队列异常造成数据堆积，服务端无法及时检测到攻击HIPS的Webshell检测服务插件异常HIPS的反弹shell检测服务异常特权账号监控策略异常WAF边界防护策略不同步证书卸载问题导致未检测到攻击流量NTA源地址未插入到X-Forwarded-For字段内导致封禁异常设备探针流量过大导致封禁异常攻击检测延迟HIPS内存马上传检测失效反弹shell检测失效特权账号AD域管异常登录无告警SOCSOC告警日志丢失，安全防护设备上送信息联动SOC收不到日志，日志漏包率达1%，远高于万分析平台失效分之一的预计四、开展实战化安全有效性验证工作的建议一是建议银行业机构建立契合自身防护体系的安全有效性验证机制，将日常安全运营、红蓝对抗过程中的经验和知识进行沉淀，构建与自身实际情况相匹配的安全有效性验证场景，完成自动优化编排，开展自动化、常态化、持续性的有效性验证，以攻促防，不断提升整体安全防护能力。二是建议银行业机构积极开展技术研究、加强同业交流，持续收集捕获新型攻击工具、攻击手法、漏洞利用方式，不断改进和完善安全有效性验证手段，并加强行业联防联控，共同提升全行业网络安全防护水平。栏目编辑：杜娟

***********.cn2023 . 11 中国金融电脑87