摘 要:本文重点阐述了安全能力有效性验证平台在银河证券的部署,以及在互联网边界、内网纵深防御等实际场景中的应用,相关验证结果表明安全能力有效性验证平台能够通过模拟各类攻击手法、工具等方式对企业安全防护体系进行安全验证,帮助企业从攻防对抗视角进一步提升安全保障和运营能力。罗黎明&邓廷勋&乔喜慧,银河证券。安全运营是当前信息安全体系建设的重点和难点问题,银河证券结合自身安全工作需要,建设了安全能力有效性验证平台,提升了安全持续运营能力,希望能够为行业提供相关实践案例与借鉴。
国家和行业网络安全相关法律法规、行政规章的陆续施行,以及证券期货业数字化转型工作的持续深入开展,极大地推动了行业网络安全防护体系的发展与演进。同时,国内外严峻的网络安全形势,层出不穷的各类新型攻击方法、各类复杂攻击模式也对企业网络安全防护能力提出了更高的要求。银河证券作为客户群体广泛、业务规模多样的重要证券经营机构,逐渐从侧重于设备运维与静态防护的传统安全模式,演变为以持续监测与动态防御为核心的主动安全与持续运营模式。在持续推进规范化、体系化安全能力建设的过程中,银河证券结合业界相关研究成果与先进实践,构建和部署了一套功能较为完备、场景比较丰富的安全能力有效性验证平台,实现了对各类安全防护措施的实时验证和持续监测,能够比较准确、动态和持续地评估公司安全整体防护能力,及时发现安全防护的薄弱环节并进行加固,提升了公司的安全防护能力和安全运营效率。
证券行业作为关系国家金融稳定、支持实体经济发展、维护投资者合法权益的重要行业,极易成为各类网络攻击的主要目标。根据《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及《证券期货业网络和信息安全管理办法》等监管要求,银河证券近年来持续加强网络安全防护与运营能力建设。在开展相关工作的过程中,也遇到了一些困难和挑战,主要包括以下几个方面。
一是国内外勒索病毒、APT攻击、大规模数据泄露等网络安全攻击事件不断发生,新攻击发展演变快,安全形势不容乐观。防范各类新型攻击需要能够及时、快速地掌握和跟进各类攻击的威胁信息,并能够采取有效的方式对威胁信息及可采取的防护手段进行验证。二是传统的被动式、静态化防御机制,缺少有效的脆弱性发现途径。传统安全防御多是基于部署各类安全设备和平台,所部署的安全机制和策略能否取得预期的防护效果也主要基于防御视角下的专家经验积累,缺少有效的验证、评估和反馈机制。三是在大规模、跨区域、纵深防御的安全运营场景中,面对海量规模、分布广泛、架构异构的各类设备,如何通过工程化、自动化的方式对各类设备的防护措施进行验证,并根据验证结果对全局和细分安全策略等进行优化配置,达到协调一致的安全防护效果,是当前安全运营工作需要解决的重点难题。基于上述背景,针对安全运营工作中存在的难点、痛点问题,银河证券充分参考和结合业界相关研究成果与先进实践,通过应用安全能力有效性验证技术,实现了对各类安全防护措施的有效验证和持续优化。
2017年,Gartner在《面向威胁技术的成熟度曲线》(Hype Cycle for Threat-Facing Technologies)报告中首次提出了入侵与攻击模拟的概念,将其作为一类重要的新兴安全技术。Gartner在该报告中明确指出该框架“可供安全团队以一致的方式持续测试安全控制措施,贯穿从预防到检测(乃至响应)的整个过程”。2021年,Gartner又在《2021年八大安全和风险管理趋势》(Top Security and Risk Trends for 2021)和《2021安全运营技术成熟度曲线》(Hype Cycle for Security Operations 2021)报告中,进一步强调了安全能力验证的必要性,Gartner预计安全能力验证将逐渐成为IT安全建设的重要技术手段,并在未来数年内被大量机构与企业广泛应用。国外安全能力验证技术研究与应用发展较为迅速,一些新型专业安全公司以入侵与攻击模拟领域为核心业务领域,设计和实现了一系列方式多样、场景丰富的安全能力验证技术和产品,通过构造攻击场景的方式对已部署的安全措施进行验证。近年来,国家和证券行业对网络安全工作高度重视,监管部门对于网络安全防护有效性的要求不断提高。《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)、《证券期货业网络安全等级保护基本要求》(JR/T 0060—2021)、《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204—2022)等国家和行业标准中提出了对现有安全技术措施的有效性、安全配置与安全策略的一致性等内容定期进行全面安全检查的要求,针对关键信息基础设施还明确要求应采取模拟网络攻击方式,检测关键信息基础设施在面对实际网络攻击时的防护和响应能力。在相关政策的持续驱动下,国内安全能力验证技术近年来发展迅速,技术研究和行业应用都存在较为广阔的研究和发展空间。目前国内的安全防护能力验证技术研究主要围绕几类重点场景,一是通过模拟实际攻击对已部署的安全防护措施的检测和防护效果进行验证,二是对防护策略在不同网络结构和不同网络区域的部署实施情况进行验证,三是对安全防护设备的攻击感知能力进行反向验证,从而更加全面、及时、准确地感知和验证安全攻击感知和防护水平。同时,安全能力验证平台化与自动化技术的应用研究也比较活跃,通过自动化部署攻击脚本,结合大量的专家经验与人工配置,能够更大规模、更大范围地实现快速、高效、准确、自动化的安全能力验证。
银河证券基于自身安全运营需求,对国内外安全能力有效性验证前沿技术与先进实践,进行了全面系统的调研,并结合公司内部安全运营场景,部署实施了安全能力有效性验证平台,围绕互联网边界、内网纵深防御等重要场景,开展了多轮次的安全能力有效性测试与验证,基于验证结果对安全防护体系进行了持续优化,推动了公司安全防护体系与安全运营能力的不断提升。
(一)总体框架
安全能力有效性验证平台采用分层设计,依次分为采集层、验证层和展示层,其中采集层的主要功能是各类安全日志信息的采集和初步解析处理;验证层是能力验证平台的核心模块,主要实现了验证场景管理、验证策略统一配置、验证任务调度和闭环管理以及资产信息管理等关键功能;展示层主要用于测试与验证结果的统计分析、集中呈现与可视化,帮助安全运营人员更加直观、准确地了解和衡量安全防护体系的有效性。- 采集层:通过对接不同设备/平台的告警日志进行全自动解析,用于验证过程的自动化闭环分析。基于先进的攻击标识定位技术实现在海量日志中快速匹配所需要的日志信息,并进行自动化解析和验证结果判断输出。
- 验证层:通过分布在不同网络区域的有效性验证节点,对已部署的各类安全防护设备进行持续验证。实现对验证场景的自动化闭环执行,包括任务创建及调度、攻击模拟场景构造、执行过程判断、验证闭环等。
- 展示层:从防护措施分级、展示、验证结果获取、失效措施告警等维度,直观呈现有效性验证结果,并通过各类趋势图表及统计分析数据等,准确地刻画当前安全防护能力态势。
(二)部署实践
安全能力有效性验证管理平台统一部署在内网,验证机(执行攻击动作)和靶机(作为被攻击对象)根据验证方式和目标的不同,分别部署在不同网络区域中,且靶机上采取与业务环境等同的安全防护,但不部署真实业务与应用。通过验证机、靶机以及安全设备等的攻防交互,对安全防护规则和安全设备进行持续的无害化模拟攻击验证,形成自动化规则策略验证闭环。根据部署位置的不同,安全能力有效性验证的主要应用范围是互联网边界侧和内网纵深防御体系两大类验证场景:- 互联网边界侧防护验证:通过内网的安全验证平台来管理部署在互联网上的验证机,对各类互联网暴露资产开展模拟攻击验证。通过OWASP Top通用漏洞防御检测场景(SQL注入、XSS、目录遍历等)、Apache Log4j远程代码执行漏洞及变种绕过检测场景、边界侧高危RCE漏洞利用防御检测场景等,对边界侧已部署的IDS、WAF等安全设备进行安全能力有效性验证。
- 企业内网纵深防御多场景验证:通过部署在内网的安全验证平台,构造不同的模拟攻击验证场景,对内网侧已部署的各类流量监测、主机安全、终端安全等纵深防御场景实施模拟攻击验证,基于流量侧和主机侧隧道转发和隐秘通信防御检测、内存马注入防御检测、反弹Shell防御检测、Webshell防御检测等场景,结合多种攻击手法和绕过方式,对内网已部署的安全防护措施进行持续验证和监测。
为准确匹配各类安全设备或系统的有效性验证结果,实现安全有效性平台的闭环验证,需要将有效性验证平台与安全态势感知平台或其他安全设备进行日志对接。实际部署过程中,采取为各类安全设备或系统添加特定标识的方式,并针对不同来源、不同格式的日志进行了统一解析和规范化处理。此外,在部署有效性验证平台的实际过程中,需提前针对有效性验证平台IP、端口等信息添加监测策略,避免因验证过程中的攻击行为而被安全设备误封禁,导致无法正常执行后续的验证操作。
(三)互联网边界侧场景验证实践
互联网边界侧场景验证利用模拟攻击的方式在互联网侧对互联网边界资产的安全防护规则与策略进行验证。基于互联网暴露资产的URL或IP信息,定义模拟攻击验证指向,通过定制化攻击请求唯一标识技术、拦截返回代码、拦截返回页面、相似度匹配、日志快速匹配等不同方式,实现边界防护能力的快速闭环验证。基于该场景下的验证,取得了比较良好的验证效果。例如通过OWASP Top通用漏洞防御检测场景(SQL注入、XSS、目录遍历等),对边界侧防护能力进行验证,整体防护能力较好,但发现域名X相比其他域名,对于某些特定SQL注入攻击载荷的攻击防护效果存在一定差距。基于本次验证结果,针对全量互联网侧域名的WAF防护策略进行了梳理,及时进行调整和优化,保证了互联网防护策略的一致性,有效提升了互联网边界侧的安全防护能力。
(四)内网纵深防御场景验证实践
内网纵深防御场景验证利用模拟攻击的方式对内网安全防护规则与策略进行验证,包括流量侧安全验证、主机侧安全验证等场景。1.流量侧安全验证
内网纵深防御场景下的流量安全验证通过在内网已部署的验证机向靶机发起模拟攻击流量的方式,尝试构造不同类型的攻击,包括流量侧隧道转发和隐秘通信防御检测、SQL注入、WebLogic远程代码执行等攻击验证场景。对内网流量监测设备进行定制化攻击、变形绕过攻击等,检测安全能力防护的有效性,并与安全态势感知平台或其他安全设备日志进行直接对接,对验证结果进行自动化判断和输出。实际验证工作中,通过配置定时任务、批量任务等方式,进行了多轮模拟攻击验证,发现某流量监测设备针对Webshell文件上传漏洞(Godzilla_vx.x.x_xx_xx.asp)告警率较低,经过对验证脚本的分析和情况复现,及时对流量监测设备针对该漏洞的检测规则进行了补充。2.主机侧安全验证
主机侧安全验证主要通过已部署的验证机向靶机发起真实的通信交互,模拟各类攻击行为,包括主机侧隧道转发和隐秘通信防御检测、内存马注入防御检测、反弹Shell防御检测、Webshell防御检测等场景。基于大量交互式攻击手法,对服务器主机进行模拟攻击,对主机HIDS、防病毒等主机侧安全防护设备和产品进行验证,判断其是否能够检测和阻断相关攻击,并对攻击行为进行告警。通过对主机HIDS进行多轮次安全能力有效性验证,当前部署的HIDS产品对主机侧反弹Shell、Webshell、远控工具等的安全检测和防护能力良好,符合预期水平。针对验证发现的部分检测薄弱点,对HIDS的检测规则和防护策略进行差距分析和配置优化,提升了检测能力。
银河证券通过部署安全能力有效性验证平台,以攻击者视角对互联网边界、内网纵深防御等重要场景进行模拟攻击验证,帮助发现了一些运营过程中难以发现的薄弱点,在推动安全防护能力持续提升的同时,极大地提升了安全运营效率,降低了人工运营成本,取得了良好成效。安全有效性验证平台在实际应用中仍存在一些待提升的环节,例如针对复杂攻击场景的验证模拟,多任务、大并发等特别场景下的任务调度效率还有待提高。在场景的覆盖度方面,当前传统网络安全防护的验证基本都已覆盖,但针对数据安全场景的有效性验证还有待进一步研究和落地实践。后续,将结合安全运营实际需求,继续深入开展验证工作,围绕新型网络攻击、社会工程学攻击、数据安全等重点场景,对安全能力有效性验证平台进行持续优化,并加强与安全态势感知平台、威胁情报平台等的联动,助力安全运营能力的全面提升。
国内安全验证的开创者和领军者
北京知其安科技有限公司创立于2021年8月,是一家致力于技术和产品创新驱动的新一代网络安全企业。创始人聂君是国内安全运营最早的提出者和实践者,被誉为“安全运营四杰”。创始团队具备丰富的甲方安全运营实践经验,拥有二十余项网络安全技术专利,具备优秀的自主创新和研发能力。旗下的“离朱-安全验证”平台,率先在国内提出并推广“安全验证”理念,是国内首个自主创新大规模商业化落地的网络安全能力验证平台,产品已服务逾50家金融、央企、智能制造、互联网等客户,累计PoC测试用户超600家,在行业中获得较好的用户反馈和评价。
客户案例
知其安离朱-安全验证平台已为各大行业如下机构提供安全验证工具和服务:
• 六大行、十二家股份制银行、头部城商行和农信联社,互联网银行等
• Top20 券商中的一半以上,Top10 券商中的 7 家、头部基金公司、头部保险集团
• 大型央企、头部高端制造企业(小米、中兴通讯、大疆创新、长安汽车等)、大型互联网公司(百度、美团、京东、贝壳找房、OPPO、唯品会等)、顺丰集团、科大讯飞 等。
专注安全验证 领航创新赛道
今年4月份Gartner发布了最新的网络安全趋势,其中安全验证首次作为安全趋势出现,可预见的接下来几年,安全验证这个方向会非常火热。知其安对安全验证领域的关注与实践由来已久,是首个在国内推广和应用落地的安全验证的厂商。
昌平区育新企业
《2022网信自主创新调研报告》突出贡献单位
2023网信自主创新“尖峰榜”金风帆奖
2023网信自主创新“尖峰榜”优秀解决方案奖
......
网络安全初创企业HOT 50
数说安全BAS赛道头位厂商
甲方认可的网络安全创业公司TOP 30
2023年中国网安产业竞争力50强
2023年中国网安产业竞争力成长之星
2023年中国网安产业竞争力潜力之星
《中国数字安全百强报告2023》专精特新百强企业
《中国数字安全百强报告2023》年度创新力十强企业
嘶吼自动化攻击模拟(BAS)领域唯一国产化替代厂商
Gartner《2023年中国网络安全技术成熟度曲线》代表性厂商
安全419「网络安全年度新锐企业」
安全419「安全运营赛道优秀企业」(2022)
......
中国网络安全产业联盟
中国通信标准化协会
全国信息安全标准化技术委员会
中关村华安关键信息基础设施安全保护联盟
证券期货业网络和数据安全实验室安全合作伙伴
深圳市金融科技协会
中国通信企业协会
UOS主动安全防护计划
还没有评论,来说两句吧...