NetSec
作者NetSec2022-06-01 16:29
信息安全中心负责人, 嘉兴银行

某中小商业银行主动安全纵深防御体系解决方案

字数 14049阅读 1751评论 4赞 14

1.背景现状

为贯彻落实监管及上级主管部门关于网络安全工作的决策部署,切实落实网络安全工作责任制,进一步加强网络安全保障,为切实防范网络安全风险,以构建信息安全防御体系为框架,以打造主动安全防御能力为目标,以实现多重安全防御屏障为方法,规划并建设了主动安全纵深防御体系,在网络安全保障工作中发挥了有效的作用,未发生任何影响业务的安全生产事件,业务系统安全稳定运营,信息安全防御工作起到了良好效果。

2.总体规划

传统银行的信息安全建设常根据自身情况结合业务需求,构建静态、刚性的安全防御能力,在目前日益严峻的安全环境下,无法应对未知的,高级的攻击行为。针对以上挑战及需求,在传统静态、刚性的安全防御能力基础上,提出建设了动态、柔性的安全防御能力,以一个平台、三大模块、两个能力、三重防护为主要建设思路,构建了一三二三主动安全防御体系。

 一个平台:

为加强网络安全防护体系顶层设计,建设以安全运营、态势感知、监测预警、应急响应、攻防对抗、追踪溯源和联合处置能力于一体的统一安全运营平台。

 三大模块:

在统一安全运营平台的基础上,建设安全三大模块,分别为威胁情报模块、自动封堵模块(SOAR)、基线分析模块(UEBA)。三大模块与一个平台之间紧密配合,形成网络安全顶层架构。

 两个能力:

打造安全实战能力和纵深防御能力,在国内外信息安全形势日益严峻的今天,网络安全的建设工作不应浮于表面,而应该以围绕实战为目的进行展开,打造网络安全实战能力。积极以“安全一体化”为指导思想,扎实推进内部安全防御体系,建设从边界->网络->主机->态势感知能力->安全运营的纵深防御体系架构。

 三重防护:

基于安全建设情况,从安全通信网络建设、安全区域边界建设、安全计算环境建设入手,夯实安全三重防护体系,建立符合等级保护2.0高标准建设要求的安全防护体系,实现网络安全的动态防御、主动防御、纵深防御、精准防护。

3.总体方案

3.1.一个平台

3.1.1.实现安全集中管理

通过建设统一安全运营平台,将当前已建设的安全设备和安全能力进行集中管理和统一运营。同时通过收集信息系统内部和外部的安全要素,实现对安全要素的体系化、集中化管理。通过建立平台化的管理方式,方便安全运维人员对安全要素进行集中管理,并能够及时感知行内资产风险,提升的网络安全自主可控能力。

3.1.2.实现安全异构对接

通过建设统一安全运营平台,借助统一安全运营平台的插座式安全能力,将各类品牌和各类安全设备插入统一安全运营平台的安全插座中,实现安全产品的异构对接。在网络安全数据方面,通过安全运营平台,实现复杂多源异构网络安全数据的治理,实现多样的、异构的安全资产的数据采集,实现可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储,提供离线、实时、全文检索等多种数据订阅及分析等功能,为实现态势感知、开放共享、能力协同、联动处置提供坚实的数据基础。

3.1.3.实现安全态势感知

通过建设统一安全运营平台,给行内安全运维人员、安全管理人员、安全决策人员提供简单、实用、高效的安全运营平台,采用大数据技术在更大数据、更全面、更透彻的方式分析安全威胁,进一步实现重点安全分析场景,重点发现高级别安全攻击、持续型攻击、顽固安全问题,综合提升应对高级安全威胁、隐蔽安全事件的能力,建设安全态势要素的输出和整体安全态势可视化感知能力,实现预警通知效果,为安全分析人员提供直观、强大、清晰的安全威胁预警能力,以及重大问题、事件的整体性报告,为安全管理人员和决策人员提供可靠的数据支撑。

3.1.4.实现安全能力协同

通过建设统一安全运营平台,实现已有安全设备之间的能力协同,将各个单一的安全设备组成在一起,进行协同作战,同时配合三个模块中的威胁情报,建立情报共享机制。配合UEBA模块,形成基线分析机制。配合自动封堵模块(SOAR),形成安全事件自动处置机制。统一安全运营平台、三大模块(威胁情报、UEBA、SOAR)、各个安全设备协同配合,实现安全能力协同。

3.1.5.实现安全联动处置

通过建立统一安全运营平台,实现对全网安全数据进行统一收集、分析、判断,形成安全数据中心,统一安全运营平台配合自动封堵模块(SOAR),可实现从安全运营平台安全调取评判数据,通过对安全事件的剧本编排,联动目前已有的安全封禁类产品(防火墙、WAF、EDR)实现安全事件自动化响应,形成威胁发现、自动研判和响应处置的安全运营闭环处置流程,释放安全管理人员手动处置威胁的工作负担,帮助解决威胁发现不及时、安全响应滞后等问题,同时也帮助安全管理人员提升运维效率。

3.1.6.平台总体架构


图:统一安全运营平台总体架构

通过建设统一安全运营平台,结合威胁情报模块、自动封堵模块、基线分析模块,重塑安全运营,告别“转椅式安全”模式,为行内其他安全产品提供安全能力插座式的能力。

3.1.7.平台主要能力

1)统一管理安全要素

建立安全数据中心,全面收集信息系统内部和外部的安全要素,实现对安全要素的体系化、集中化管理。通过建立体系化的管理方式,方便运维人员对安全要素集中管理,并能够及时感知资产风险,提升企业的网络安全自主可控能力。

2)威胁深度检测

收集安全检测防护设备的安全检测防护设备产生的告警,剔除误报提高告警准确率;并对多源安全告警进行关联分析、规则分析、情报分析等,发现潜伏的高级持续性威胁。通过结合多源数据的安全检测分析,提升告警检出率和准确率。

3)安全事件溯源分析

结合安全事件检测结果,梳理数据中心中资产互访关系,基于攻击链阶段推导事件发展过程,分析历史数据实现逆向溯源。帮助安全运维人员梳理安全事件发生链路,并进一步研判安全威胁扩散情况,及时阻断威胁蔓延。

4)安全运营能力

安全运营工作台对收集到的有代表性的网络攻击行为、新产生的网络安全威胁情报、网络安全整体分析报告和各部门单位的应急处置状况进行统一发布,提高统一调度和指挥能力。系统从安全运营工作台获取安全告警或安全事件的详细信息,并针对此类信息进行调查分析,从而确认安全事件的准确性和影响范围。对已经确认的攻击,则通过相应的预警通报机制完成预警通报工

5)安全态势感知

提供网络安全威胁可视化的入口,通过历史安全数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估,来全面描述全网的安全情况、影响评估和态势演化。包含网络入侵态势、横向威胁态势、违规外联态势、攻击者追踪溯源、资产威胁溯源。

6)安全事件管理

通过当前全网区域流量、重要区域恶意文件分析数据、全网各安全设备告警日志进行集中收集、治理、分析、存储,从而提供智能、快速、准确的安全信息以及事件管理和全网安全日志管理和快速查询功能。

3.1.8.平台关键技术

1)实时流计算

实时流计算引擎包含规则引擎、关联引擎和统计引擎三大模块,应用无边界流数据计算场景。分析人员可以对数据中的任意字段做统计、求和、均值、唯一值等计算,编写SQL提交Flink Job,实现业务指标高实时运算。

分析人员上传规则和关联脚本到数据平台,通过界面配置参数,提交任务到平台。规则和统计结果实时输出到图形化界面。

2)离线计算

离线计算引擎支持部署离线算法,模型训练和机器学习场景。分析人员可以利用离线分析引擎对数据进行深度提炼挖掘,算法输出结果即时反馈,提供模型训练能力。

分析人员编写算法脚本和机器学习模型,上传到平台后提交离线任务。任务执行结果及时反馈到界面,可以根据算法执行结果调整模型,形成模型训练和机器学习闭环。

3)虚拟化资源高效利用技术

高性能和大规模计算过程中,不可避免的会利用到虚拟化技术,在虚拟化资源分配的过程中,往往存在分配不均,造成资源浪费和计算步骤等问题针对这一难题,利用论文基于智能认知的虚拟网络资源管理模型,设计一种将动态资源感知与虚拟网络流量特性和要求相结合的有效方法,可以通过资源自动调整来自动分配虚拟机的容量,从而在不增加计算开销的情况下实现虚拟资源的高效利用,使得本方案的可扩展的安全分析和计算得以实现,实现将本方案的平台的计算服务和针对平台的安全防护系统相分离,在进行安全分析计算的同时,保障本平台的自身安全。

安全运营平台在多级部署时,存在一级平台与下级平台和分布采集探针之间的通信,当下级平台过多时,并且复杂网络环境中数据量过大等极端条件下,会导致一级平台无法响应下级平台的请求和交互等问题。针对这一难题,利用逐跳路由的负载均衡方案,利用流的突发性特征,保证同一流的分组按顺序到达接收端,用于解决分布式数据采集探针的数据发送延迟和丢失等问题,保障当本方案平台横向扩展至一定规模后的平台可用。

4)实时分析插件模块化技术

目前安全运营平台提供Hadoop架构对大规模数据的计算进行分解,然后交由众多的计算节点分别完成,再统一汇总计算结果。Hadoop架构通常的使用方式为批量收集输入数据,批量计算,然后批量吐出计算结果。然而在安全大数据分析的应用场景下,通常对告警的实时性要求较高,需要对海量的原始数据进行实时流式处理和持续处理,Hadoop架构难以处理实时性要求较高的业务。针对这一难题,本方案采用运行拓扑(topology)的strom架构,极大的降低了安全事件的告警延迟。

Storm集群提供控制节点(master node)和工作节点(worker node)。控制节点上面运行一个叫Nimbus后台程序,负责在集群里面分发代码,分配计算任务和监控状态。每一个工作节点上面运行一个Supervisor的进程,监听分配给它那台机器的工作,根据需要启动/关闭工作进程worker,多个工作进程worker组成拓扑(topology)。

工作进程worker中每一个spout/bolt(数据处理单元)的线程称为一个task(任务),使用Spout/Bolt编程模型来对消息进行流式处理。Spout组件是消息生产者,支持从多种异构数据源读取数据,并发射消息流,Bolt组件负责接收Spout组件发射的信息流,并完成具体的处理逻辑。在复杂的业务逻辑中可以串联多个Bolt组件,在每个Bolt组件中编写各自不同的功能,从而实现整体的处理逻辑,只需将不同的实时分析数据处理任务按照一定的规则和接口纳入和封装到Bolt组件中,就可以动态的实现实时分析功能的模块扩展。

5)离线批处理分析模块化技术

目前在离线数据批处理应用中,主流使用的是基于Hadoop架构的MapReduce分布式计算框架,在安全事件溯源分析应用场景中,需要关联多维、多源的数据,如日志、流量、漏洞数据以及威胁情报,甚至其他检测模型的分析结果等数据,计算和处理逻辑比较复杂,MapReduce的copy阶段要求每个计算节点从其它所有计算节点上抽取其所需的计算结果,copy操作需要占用大量的网络带宽,十分耗时,从而造成Reduce任务整体计算速度较慢。

6)自动化网络资产识别与探测技术

研究采集设备部署与网络进行连接后,需要能够主动对指定网络范围内的设备进行设备信息探测,获取网络空间的基础设施信息。本课题基于设备指纹库主要进行主机类型、端口扫描、版本侦测、操作系统侦测,探测技术具有防火墙与IDS的规避技巧,可以综合应用到四个基本功能的各个阶段。对于不能识别的设备将设备信息传输到大数据平台对设备进行进一步分析,提供强大的脚本引擎功能,脚本可以对基本功能进行补充和扩展,可满足在不同网络环境中进行资产探测识别需求。

7)多源网络行为关联分析技术

随着仿真作战任务的不断推进,会产生大量的网络行为,多个网络行为构成一次网络安全攻击。因此网络安全攻击天然具有附着性,无法通过单次的攻击行为去发现整体网络安全问题。将安全设备的告警信息作为线索,通过联动分析多个网络行为,判断攻击发生时,是否对系统造成影响或者是否利用了系统的安全漏洞,确认是否为有效攻击,并进一步分析网络行为造成的影响程度。本课题主要的研究关键技术包括如下:

仿真基础环境态势研究。通过分析构建的仿真环境中的脆弱性情况,掌握整体仿真环境的安全漏洞、可疑被攻击点等,为仿真任务的危害程度评估做最基础判断;

从安全攻击和攻击行为的安全防护能力分析,得到对应的应用系统的的防御能力,如安全设备对攻击事件的相应速度、处置速度等,结合弱点数据,进行网络行为件影响程度分析,得到可能受影响的系统和资产范围。本项研究从有防护状态下的网络行为关联分析研究:通过对比安全防护设备的告警数据,获取防护行为,经多源行为进行关联分析研究;无防护状态下网络行为关联分析研究:假定仿真环境中无任何防护设备,对网络行为进行关联分析通过攻击与系统日志比对,攻击与系统存在漏洞比对,网络行为与系统的服务器性能信息对比,确认网络攻击行为造成的最大危害;

关联建模技术研究。系统内置分析算法,可支持分析算法和场景扩充,支持在多种仿真任务中构建各类仿真计算模型,为更复杂的任务应用提供支持。

8)基于AI的高级持续威胁挖掘

高级异常APT威胁发现要求系统能够根据时间关联、空间关联、行为关联以及业务关联综合检测判断出复杂异常行为。以传统安全设备的告警信息为线索,结合上节所描述的智能自学习的异常行为检测技术,发现有价值和真实有效的攻击行为线索。本创新点从以下几个方面研究挖掘高级安全威胁。

数据驱动安全威胁分析。通过对这量化指标的判定识别,最终获知数列之间的相位的差的方向是否与预计方向相同,判断这些行为是否具有连续性和相似性,从而挖掘具有明显相似的机器行为;

用户行为特征提取与自动更新。将异常访问、操作事件识别可看成是一个分类问题,基于行业经验和专家知识从训练样本中提取与异常事件相关的各类特征。最后,基于分类错误代价矩阵,采用代价敏感学习算法训练分类器,解决部分特征不在明显的问题;

安全事件溯源取证。通过建立异常行为库,持续性的跟踪和关联分析多个异常行为,分析多个攻击行为的关联分析,分析攻击之间的关联性,还原真实攻击路线,并以直观的形式展示分析结果;

网络安全态势等级动态评估。构建态势等级评估决策表,将态势因子作为条件属性,取证类型包括离散型和连续型,得到属性约简集,最终利用约简集进行网络安全态势等级评估。

3.2.三大模块

3.2.1.威胁情报模块

威胁情报模块包含海量的商业威胁情报、浙江省金融行业威胁情报、本地化威胁情报的统一管理和分析评估并实现情报的实时更新。统一安全运营平台通过实时碰撞威胁情报平台的各个情报库,已帮助从大量的安全告警中过滤出真实安全威胁数据,大大降低告警误报率,剔除“告警噪声”,提升统一安全运营平台的可用性和完整性,实现统一安全运营平台的可持续化发展。

威胁情报是针对内部和外部威胁源的动机、意图、能力以及战技过程的详细叙述,威胁情报可组织快速了解到敌对方对自己的威胁信息,从而提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。对而言,威胁情报的应用/消费是实现情报价值的关键,通过安全威胁分析与预警平台和威胁情报的集成,实现全网的基于威胁情报的协同联动,才能发挥平台与情报的最大价值。

通过建设威胁情报模块提升统一安全运营平台的安全运营能力。利用威胁情报模块与统一安全运营平台联动,开展安全威胁的持续监测和安全防护的主动防御,帮助安全运营平台精准过滤出威胁日志,并帮助安全边界快速应对未知威胁和高级威胁。


图:威胁情报与告警的碰撞

3.2.2.自动封堵模块

自动封堵模块可基于统一安全运营平台提供的安全事件处置流转判断指标数据或其他厂家安全设备提供的告警数据反馈进行研判,通过剧本编排,利用自动化工具联动当前安全封禁设备(NGFW、WAF、EDR)实现对安全事件的自动化响应,极大降低了安全团队针对安全事件的响应处置事件,通过主动对攻击IP封禁将攻击行为遏制在攻杀链前端,建立动态防线,由点到面达到全方位防护,大大降低了安全运营成本,同时增加了安全团队的协作能力。


图:自动封堵模块架构

依托统一安全运营平台,在关键网络位置部署探针和收集节点,全面收集来自安全设备和系统、主机系统、应用系统以及网络流量的日志或监控数据。从多种维度对安全设备日志进行归纳汇总,日志分析系统自动将待封禁IP输入处理层。通过高效的关联分析引擎对事件的实时分析以及利用威胁情报对本地采集数据的快速查寻匹配,统一安全运营平台可快速发现当前对网络的攻击行为、违规访问以及对网络的APT攻击,发现网络中受控主机,及时产生告警,并可采取多种响应方式。可以邮件、短信方式通知管理员采取必要措施,并通过自动封堵模块建立防火墙、WAF、EDR联动,自动阻断有害连接,最大程度保护IT资产。

在实际实施过程中发现,由于某些应用程序的执行机制存在非标准化的问题,导致触发安全设备的告警,进而对非攻击IP进行了误封。另外,有些已封禁IP被动态分配至正常用户的设备上,导致该类用户也无法访问应用资源。为了避免此类情况的发生,自动封堵模块提供了自动解封功能。解封的方式与封禁方式大体相同,分别通过API以及SSH的方式解封IP。

每年的网络安全重点保障时段,也是自动化封堵发挥作用的时间。自动封堵模块能够有效地阻止大量可疑IP地址的访问,提升网络安全保障能力。

在日常安全运维中,自动封堵模块可以对接更多的安全设备,实现全局化封禁、调度、策略调整等工作,减少人工处理存在的反应慢、周期长、错误率高等问题。后续业可以根据自身需求不断的开发和迭代安全自动化能力

3.2.3.基线分析模块

基线分析模块可基于统一安全运营平台提供的安全数据(包含账户数据、安全数据、行为数据),通过其内置AI算法(daily周期性异常、weekly周期性异常、新出现实体异常、阈值异常和潜伏型异常、集成学习评分、以及强化学习、预测算法),实现针对用户行为基线异常的分析。同时基线分析模块会把用户行为基线异常告警数据再反馈给统一安全运营中心,经过统一安全运营中心转发至自动封堵模块,快速处置用户基线异常行为,大大减少了由于用户行为异常或错误给带来的经济损失。

3.2.4.模块关键技术

1)智能化自适应学习的异常行为捕获

智能化自适应学习的异常行为捕获与传统的异常行为分析技术的区别在于考虑了更加全面的攻击者行为特征,结合内部发现的异常行为以及外部威胁情报信息、并通过长时间窗口的攻击者行为特征分析、攻击者相似度以及攻击信誉度分析,将这些分析的结果综合关联分析,并根据关联分析的结果自动更新不同攻击者特征行为的权重,最终达到具有智能自学习能力的异常行为分析捕获模型。

2)用户行为基础特征提取

用户行为基础特征提取是整个用户行为分析的建模基础,需结合业务实际的需求,找出相关的数据实体,以数据实体为中心规约数据维度类型和关联关系,形成符合业务实际情况的建模体系。主要需要研究的内容和技术包括:

数据实体分解。主要对原始数据进行分析,区分出需要研究的用户或实体(资产或应用);

实体间关联关系分解。主要分析各个实体之间的关联、跳转等关系;

用户特征维度分解。以用户、集群应用两类数据实体为中心,进行数据维度分解和列举。根据相关性原则,选取和战略目的相关的数据维度,避免产生过多无用数据干扰分析过程。

用户行为特征提取。至少提取的维度包括:操作人员身份、操作时间、操作类别、访问方式、操作对象、操作流程。

3)用户行为分析(UEBA)

利用其多维数据采集能力和人工智能算法和规则编排的能力,基于用户行为分析模型(UEBA)对个人和主体的特征进行提取和行为分析识别基线,从而能识别行为活动的正常与否是否偏离可信区间,对于偏离正常活动的行为能够下发策略对其进行响应和解决。


图:用户行为分析模型

4)用户异常行为安全威胁建模

用户异常行为建模的三大要素为用户、资产和行为特征。由于网络资产存在这些威胁和脆弱性,企业日益关注网络安全,用户异常行为建模让企业对最可能影响系统的各种异常用户行为进行系统性识别和评价。有了这些信息,企业就可以按照一定的逻辑顺序,利用适当的对策来处理现存的威胁,允许系统安全人员传达安全脆弱性的破坏力,并按轻重缓急实施补救措施。

5)网络空间威胁攻击链溯源分析

网络安全攻击天然具有附着性,无法通过单次的攻击行为去发现整体网络安全问题。将安全设备的告警信息作为线索,通过联动分析多个网络行为,判断攻击发生时,是否对系统造成影响或者是否利用了系统的安全漏洞,确认是否为有效攻击,并进一步分析网络行为造成的影响程度。网络空间威胁攻击链溯源分析主要从以下几个方面开展工作:

威胁情报关联研究。通过关联本地高价值威胁情报和碰撞外部共享的威胁情报,结合流量数据,智能监测攻击事件的源头;

关联回溯分析模型研究。通过基于攻击链的回溯分析技术,以威胁情报、原始数据包、原始流记录、元数据等为支撑,构建多源异构数据间的关联分析与回溯分析模型,从多角度还原完整攻击场景;

用户关联分析研究。将各类安全威胁和安全事件,与用户异常行为特征库和用户画像等进行关联分析,从中监测出具备明显的异常行为溯源;

攻击破坏程度研究。从安全攻击和攻击行为的安全防护能力分析,得到对应的应用系统的的防御能力,结合网络空间基础设施要素和安全威胁要素以及网络全流量数据,动态分析攻击的影响范围,智能评估攻击的破坏程度。

6)当前应用场景

内部员工窃取敏感数据是典型的内部威胁场景。由于内部员工具备数据资产的合法访问权限,且通常知敏感数据的存放位置,因此通过传统的行为审计手段无法检测这类行为。利用基线分析模块,选取敏感数据访问相关的特征,构建员工和系统创建正常的活动基线,用户画像,并通过基线构建模型用于判断是否存在内部员工窃取敏感数据行为。

通过数据库日志、回话日志、用户访问日志以及访问全流量等信息,生成敏感数据访问相关特征,如访问周期、时序、动作、频繁度等,通过时序关联和自学习算法生成敏感数据库的被访问动态基准线、用户访问动态基准线、群体访问动态基准线等多种检测场景。


图:内部员工窃取敏感数据场景分析流程图

利用这些动态基线分析,可实现对高频、越权、伪造身份、冒用身份、数据窃取等多种异常行为的分析和检测,进一步关联敏感数据的访问特征,可定位是否存在内部员工窃取敏感数据行为,保障核心数据资产的安全。

数据异常场景包括数据异常访问、数据库泄露以及数据库勒索等。随着开源或商用数据库漏洞的不断爆发,MongoDB, ElasticSearch, Hadoop, CouchDB、Cassandra以及MySQL等数据库逐渐成为数据勒索的目标。

数据库勒索会导致存储的数据被删除、加密勒索等,对造成重大损失。此类场景通常撞库、遍历数据表、加密数据表字段、异常建表、异常删表等多种复杂操作。

针对此类场景,通过分析数据库高危操作特征,如删表、删库、建表、更新、加密等行为,并通过用户活动行为提取用户行为特征,如登录、退出等,在这些特征的基础上,构建登录检测动态基准线、遍历行为动态基准线、数据库操作行为动态基准线等多种检测场景。

利用这些动态基线,可实现对撞库、遍历数据表、加密数据表字段、异常建表、异常删表以及潜伏性恶意行为等多种异常行为的分析和检测,将这些行为基于用户和实体关联,最终为用户输出恶意用户和受影响的数据库,并提供影响数据库类型、行数、高危动作详情等溯源和取证信息,辅助及时发现问题阻断攻击。

WEB业务系统通常会提供大量的业务API,如登录API、数据获取API、业务调用API等,攻击者通过对具体网站访问数据或请求数据进行抓包,可获取业务API入口的大致范围,通过对这些API进行恶意调用,可实现恶意等、数据窃取以及其他相关恶意活动,严重影响的正常业务开展。

针对此类场景,通过分析目前常用的API组成和使用方式,通常API所对应的URL包含请求参数和请求主体两部分,攻击者通常会利用变换多个不同的请求参数已达到恶意调用API的目的。

通过提取业务API访问频率特征、请求者访问频率特征、参数变换标准差、以及请求时间昼夜分布等特征,构建API请求频率动态基准线、API请求时序动态基准线、参数变换动态基准线等多种检测场景。

基于这些动态基准线,实现检测对API请求量突变异常检、周期性异常、未知用户、可疑群体潜伏用户(某用户使用大量不同IP)等异常行为,进一步结合API的具体业务属性,实现WEB业务系统API异常请求行为检测,可定位到具体的时间段和业务、数据信息,辅助及时发现异常调用行为,保证整体业务和数据安全。

3.3.两个能力

3.3.1.安全实战能力

1)全网流量检测


图:全网流量检测

目前已实现全网安全区域的流量采集,通过在主备中心各部署1台全流量检测设备和沙箱分析设备。全流量检测设备使用网络报文协议分析技术,捕获网络各区域中的交互报文(网络镜像技术),对这些报文进行深度解析和分析,基于大数据分析和AI智能学习技术,对全网流量数据进行分析、学习、建模,标识正常业务行为,实现未知威胁检测。

沙箱分析设备用于针对恶意文件在内网的传播进行分析,恶意文件传播行为往往涉及攻击的各个阶段,由于系统防御能力脆弱,攻击者通过漏洞利用或者绕过攻击方式投递恶意文件,最终成功入侵内部系统并在内部系统横向传播。目前已部署的沙箱分析设备科对常见协议传播的60种以上文件类型进行分离检测,比如FTP、HTTP、NFS、SMTP、POP3、IMAP、SMB、TFTP等协议,结合病毒库引擎、静态分析、动态沙箱分析等分析机制,实时发现文件漏洞、病毒、木马、蠕虫等已知和未知恶意文件传播行为。

2)溯源蜜罐体系


图:溯源蜜罐部署

溯源蜜罐体系建设:

网络蜜罐用于引诱并捕获攻击者的攻击,充分整合利用网络蜜罐系统特点,在内外网络区域,部署大量互联网蜜罐和诱导性的域名,采取高交互方式,迷惑诱导、主动分析攻击人员的攻击手法,分析成果应用于监测和处置中。蜜罐的部署极大的增加网络结构的复杂度,干扰延缓攻击者对真实业务系统的入侵威胁,同时记录进入蜜罐的所有活动信息,并溯源其网络位置、设别指纹及身份等信息。

蜜罐的部署也是纵深防御体系建立的体现,系统与现有的安全设备如防火墙、IDS、IPS、WAF等都不冲突,是现有安全防护体体系的有力补充,能够对已知和未知的网络攻击行为进行检测,与传统的安全防护设备进行交互,实现协作和联动,提高阻止、检测和响应攻击的能力,建立起一套有效的保护业务系统的安全纵深防御体系。同时帮助运维人员更好的站在攻击者的角度审视安全防护体系,增强实战攻防能力。

3.3.2.纵深防御能力

图:纵深防御能力

纵深防御能力:

互联网外侧部署外部溯源蜜罐,进行攻击画像溯源;

边界部署下一代防火墙、抗DDOS、IPS,进行访问控制;

SSL卸载器后部署WAF资源池,资源池化、实现应用层防护;

旁路部署网络全流量检测、文件沙箱,检测APT等高级威胁攻击;

大量部署内网蜜罐,检测内网异常访问、横向移动;

内网主机部署主机安全Agent,实时主机入侵防护防护;

网络安全区域隔离,实施边界网络安全访问控制;

数据库区部署数据分级分类、脱敏、安全网关,实施敏感数据防护;

统一安全运营平台建设,整合全网安全日志,实时全网流量,实现安全态势感知、统一安全运营;

3.4.三重防护

3.4.1.安全计算环境建设

1)内网主机安全

在内网生产、业务、办公类系统上全面部署主机安全agent,作为内网主机安全防御的最后一道防线,可实现后门程序上传、主机提权、反弹shell等安全入侵行为实时防御。

2)系统防护

漏洞管理,能够及时检测及安装官方发布的系统补丁,使操作系统免受黑客攻击。对操作系统进行全面漏洞扫描,并对漏洞补丁进行一键修复或单个修复。

进程防护,进程启动防护是进程启动时的主动防御机制,在进程启动、文件创建时自动触发,阻断恶意程序运行。

访问控制,文件变化审计,监控目标文件/目录的改写操作,记录到日志中。

3)网络防护

网络隔离,对不同的业务之间的流量进行精准识别、针对非法流量可以精准阻断,快速处理要关闭的端口或需要屏蔽的恶意IP。

4)Web应用防护

网站漏洞防护,一是网站漏洞防护,可防护常见的SQL注入攻击、XSS跨站、Web容器及应用漏洞、文件名解析漏洞、自定义规则等;二是网站数据防护,可禁止浏览畸形文件、敏感信息防泄漏、自动屏蔽扫描器等:

5)资产指纹

终端详情,可对终端服务器进行详细信息展示:包括网络信息、环境信息等、监听端口、运行进程、账号信息、软件信息。

同时通过主机安全的终端信息采集能力和终端防护能力,为统一安全运营中心提供多维度的安全数据用于进行高级威胁分析,在统一安全运营平台发现威胁后,可通过自动封堵模块,向对应终端下发查杀或阻断策略,形成高级威胁主动联动处置的方案。

6)应用内生安全

为了让应用拥有内生安全能力,需要对应用的WEB前端,APP业务逻辑(中间件)使用相应的云原生安全技术,在应用架构中部署内生的纵深防护体系。

在WEB前端采用了NGINX APP Protect云原生WAF,APP中间件采用了RASP技术。同时考虑到应用运行时安全的精确性,创新的整合了这两种技术,提供了一种孪生部署架构。在提供安全联防的同时,还能做到极高的精确度,减少误杀。


图:孪生架构

如上图的应用孪生系统。通过前端Nginx App Protec中的复制流量能力,把访问业务逻辑的流量复制相同的一份给旁路的孪生系统。孪生系统是原生系统的完全拷贝。但是孪生系统部署了RASP插桩组件。RASP在发现攻击的时候,会通过JSON格式把违规行为上报SOC控制平面。SOC经过判断后,可以通过手动,或者自动的方式,动态配置Nginx App Protect实现精准防护。

这套孪生系统不需要对原生生产系统做任何的改动。在提供应用内生安全的同时,最大限度的降低了风险。

3.4.2.安全区域边界建设


图:SLB+SSLO架构

整个互联网业务区分为网络接入区、DMZ WEB区和DMZ APP区。在网络接入区,通过串联DDoS安全防护设备来针对协议类和慢速DDoS进行防护。同时配合云端高速大流量DDoS清洗服务,提供完整的DDoS高防能力。同时部署APT和IDS设备,对流量进行检测,发现潜在攻击威胁和恶意流量。尤其是当前黑客攻击多数从内部开始发起,被黑客植入恶意程序的肉鸡都需要反向回连黑客控制台,APT可以有效的获取到这些反向连接的隧道流量。防止黑客进行进一步行动,或者持续泄露内部数据。

在DMZ WEB区,利用F5 SSLO设备,把安全设备进行资源池旁挂部署。加密流量到达SSLO设备可以进行一次性解密,然后明文流量通过SSLO编排引擎,按照需求转发给特定的安全资源池进行检测。检测好之后,再通过SSLO设备把流量转发给后端。同时,部署了2套资源池,分别对应不同的应用模型。敏态防护区主要针对API攻击,SSLO会把访问API的数据流量调度到该区域。稳态防护区主要针对传统WEB应用攻击,利用特征库和动态建模方式,对OWASP 定义的多种渗透攻击进行防护。另外,在WEB区,也集中部署了网页防篡改专用设备和外网诱捕蜜罐。作为防护和溯源攻击的重要补充。

在DMZ APP区,主机系统都部署了HIDS,在主机系统和内核层面进行安全防护,防止黑客从内部渗透后直接从内部进行横移。同时在APP区也部署了内网蜜罐,用于及时发现和捕获渗透进内部的可疑攻击和行为。

3.4.3.安全通信网络建设

通过原有的SSL VPN,系统敏感资源通过SSL VPN进行发布,用户基于数字证书通过SSL加密通道进行身份鉴别并得到授权,身份鉴别信息和业务数据进行加密保护,免受篡改和窃取威胁。

4.效益与价值

4.1.实现体系化纵深联动防御

主动安全防御体系可帮助发现潜在的入侵和高隐蔽性攻击,预测即将发生的安全事件并与安全防护设备形成联动能力,自动安全调整访问控制策略下发至防御设备,第一时间阻断(通过联动防御设备进行安全阻断,如WAF、IPS、防火墙等)攻击者的连接,形成安全闭环体系,提升信息安全风险管理和应对能力,实现纵深联动防御体系。

4.2.告别转椅式安全运维模式

重塑安全运营,告别“转椅式安全”模式,通过提供安全能力插座式的安全运营平台,各个安全产品都插入的安全插座中,将安全数据、分析和运营集中在同一安全工作面下,使安全团队可以在整个安全事件生命周期中全面管理安全事件,从而实现更快、更高效、更有效的安全操作,告别在多个工作台之间切换的传统安全运营模式。

4.3.重塑整体性安全工作氛围

通过主动安全防御新体系的建立,将网络内已建设的安全设备和安全能力集中管理和统一运营,有效的实现安全要素分析、安全风险智能识别、提升整体的安全事件风险预警能力,建立完善的安全评估体系,构建了的整体网络安全防护生态。同时满足监管部门的监管要求,整体解决方案可以与信息化系统的基础设施无缝对接,既涵盖了安全需求又为安全运维人员提供可靠的数据保障,提高安全运维人员的工作效率和热情。

4.4.降低经济损失可能性

通过通过主动安全防御新体系的建立,加强了信息化系统安全状态监测、预警能力,保障全行网络运行安全,有效发现、预警大规模网络入侵、病毒传播等网络异常事件;发现和堵塞安全漏洞,确保重要信息系统的安全,建设落实安全技术措施和安全管理制度,建立网络安全应急响应机制,降低关键信息基础设施破坏的可能性。

5.规划与展望

5.1.团队建设

根据信息安全管理需求,从应用安全、数据安全、网络安全、终端安全等专业技术领域,合理规划信息安全岗位,持续对信息安全团队进行扩充,确保职责分离、最少权限和独立审计的实现,避免岗位的重叠、交叉、缺位。通过“外部招聘、内部培养”等手段,逐步建立完善的人才梯队,建立顺畅的人才引进通道及人才提拔和奖励机制,激励员工的不断提高,细化人才配置。

5.2.管理流程

满足业务正常运行和发展需求,根据国家法律法规和行业规范,参照ISO27001信息安全体系构建信息安全管理体系。从应用角度对各业务系统、各种信息技术角色相关的安全管理制度、管理流程、技术操作流程、操作规范等方面提出具体的要求,形成切实、可行的制度流程及规范,对安全管理工作进行全面指导,建立有效的管理机制,不断推进信息安全管理办法和规程的完善,保证其能够与时俱进,适应信息技术安全管理的客观要求。

5.3.安全技术

根据“十四五”总体规划,将持续提升安全防护技术,从数据安全、云计算、区块链等方面入手,持续对数据的来源、内容和用途进行分类。以数据的价值、内容敏感程度、影响和分发范围进行敏感级别划分,对现有数据资产进行梳理;对新兴技术、新模式和新理念进行持续研究和探索,在实际规划、建设、实施、运维、管理等各个环节持续进行安全建设。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

14

添加新评论4 条评论

zddzzddz系统运维工程师, 中电
2022-08-05 10:55
学习了,点赞
choukongbaichoukongbai系统架构师, test
2022-08-02 09:46
强烈点赞,关于整体的方案,点赞
zenith12345zenith12345网络工程师, rqsj
2022-07-31 13:57
值得学习。
匿名用户
2022-07-18 11:27
主动安全纵深防御体系解决方案写得真非常好,值得借见。
Ctrl+Enter 发表

本文隶属于专栏

最佳实践
不同的领域,都有先行者,实践者,用他们的最佳实践来加速更多企业的建设项目落地。

作者其他文章

相关文章

相关问题

相关资料