一、概述
微步在线从成立开始便专注于威胁情报领域,自2015年公司成立至今,我们积累了覆盖金融、能源、政府、互联网等各个行业的数百家优质客户,我们与银行、证券类各细分金融行业领域Top10机构中的超过80%的客户存在稳定可持续的合作。金融行业作为网络安全防御体系建设要求最高、投入资力最大、现今网络安全建设落地最为健全的特殊群体,一直都是微步在线重点关注、研究的行业之一。基于微步在线已有的海量情报数据、金融行业客户积累,我们从威胁情报视角出发,对金融行业机构真实环境中所面临的整体网络威胁进行深度统计分析并探究部分真实行业威胁事件,致力于为金融行业客户伙伴输出情报侧发现的威胁态势、为整体网络安全防御体系建设提供参考依据。本篇专题研究报告发现金融机构当前面临的网络威胁简要概括如下:
1、金融机构生产运营过程中面临着大批量的网络攻击活动,其中以源自互联网侧的网络渗透攻击为主、其次为钓鱼邮件攻击;
2、金融机构内部主机失陷占比最多的是挖矿木马,其次是僵尸网络及其下载衍生的各类家族木马,勒索病毒和APT类攻击占比最小,但依然存在真实攻击案列发生;
3、金融机构普遍存在内部网络资产暴露、敏感数据泄露等互联网侧威胁,黑客组织对金融机构敏感数据的兴趣逐渐升温;
4、金融机构供应链安全问题形势严峻,传统的网络、服务、运维等安全信任体系值得反思。
二、金融行业背景
信息化建设与数字化转型深刻地改变了各行业的业务模式,在带来了发展和机遇的同时,也带来了风险,这一现象在金融行业最为显著。
金融行业的发展经历了从金融电子化到互联网金融、再到现在的金融科技这三个风向的重大变革,所谓金融科技,即“金融”+“科技”,指利用前沿技术变革业务流程,推动业务创新,突出大规模场景下的自动化和精细化运作,代表性产品或业务如大数据征信、智能投顾风险定价、量化投资、数字货币等。随着金融科技应用深化及各类市场主体之间的对接合作不断扩展,金融业基础设施的数字化转型和能力提升、跨领域的金融科技市场主体合作成为主流趋势,并且技术与业务的边界模糊化,业务反向驱动技术、金融应用场景成为新技术研发和应用的重要驱动力。
就近年来金融行业的信息化趋势来看,金融科技与金融业务正在深度融合的过程中,诸如AI、区块链、大数据为基础的新型技术在不断为金融企业的业务创造更多的价值。然而,在新型技术不断引用和落地的过程中,也延伸出了很多新的安全问题(隐私加密、API安全、高级威胁攻击)。金融市场天然拥有海量标准化大数据,基于金融科技的特点,金融市场信息化数据会集中化,数据交互频繁化,风险面和攻击事件将成倍增长。国内外安全机构披露的针对金融机构的网络攻击事件层出不穷。
图 1金融机构经典网络安全事件
在新技术的广泛使用后,业务产生的数据资产将更为庞大和集中,高价值的数据资产会成为黑客组织的重要攻击目标,这也对金融企业的安全建设提出了更高的要求。除了金融机构自身的网络合规性建设,更需要全方位提升系统安全防御及检测能力。从威胁情报角度来看,借助威胁情报精准、及时的检测能力扩充整体安全防御体系可有效弥补传统被动式检测方案的短板,国家层面出台的网络安全法、公安部1960号文、等保2.0等法规政策也明确提出基于威胁情报检测监管的规范要求。
图 2网络安全防御体系演变
三、金融机构情报侧的风险发现
基于微步在线海量情报数据、强大的情报自动化生产能力,我们针对金融行业方向的网络威胁态势展开了深入调研统计分析。金融机构面临的网络威胁可以分为三部分:源自互联网侧的攻击威胁、内部主机失陷类威胁、互联网侧资产暴露面及数据泄露类威胁。其中渗透攻击类型的互联网侧攻击种类繁杂数据量较大,占据金融机构日常威胁的80%以上;内部主机失陷类威胁需要机构网络运维人紧急处理并排查评估受损程度,此类威胁一般占比较小;互联网暴露面及数据泄露类威胁是以外部互联网侧视角评估金融机构易受攻击风险以及数据泄露的结果,此类威胁评估早已成为衡量金融机构网络安全状况的重要指标之一。
3.1互联网侧攻击态势分析
研究发现,真实环境中金融机构面对的网络威胁以源自互联网侧的渗透攻击为主,如常见的IoT设备漏洞扫描、指纹信息收集、特定服务口令爆破、应用软件系统注入等。
图 3 NDR威胁检测平台告警统计
我们对金融机构日常遭受的各种繁杂的特定入侵行为统计梳理,金融机构面临的整体网络风险Top50类别列出如下:
图 4 金融行业常见网络威胁Top50
继续对上述金融行业常见网络威胁Top50按照大类威胁进行梳理统计,其大类威胁占比如下饼状图所示,其中漏洞注入\入侵类占比最高,约68%,其次为信息收集类,约19%,相较于撞库\爆破、客户端失陷等威胁,互联网侧面临的漏洞扫描、利用类的威胁更加频繁。
图 5 金融行业Top50威胁占比
为了便于了解各细分行业特有的网络威胁态势,我们以银行、证券、金融企业这三个细分方向为例,对其告警数据进行分开梳理统计,发现漏洞入侵\注入、信息收集这两类外部威胁占据TDP威胁告警的80%以上,各细分行业所面临的威胁类型占比趋于相同。
图 6 金融行业各细分行业威胁占比
外对内威胁是绝大多数机构或企业面临的主要网络威胁,通过分析整体威胁面貌有助于我们有针对性的去评估网络环境中的脆弱资产、准入环境风险。
3.2失陷主机统计分析
基于甲方安全运营的角度考虑,除了关注互联网侧的整体威胁态势,内部失陷资产的处理排查也是当务之急,失陷背后的入侵通道即是最真实可靠的安全缺口。对于失陷机器的精准检测同样也是威胁情报类检测产品最直观的能力体现。
研究发现当前金融机构主要威胁类型如下所示,包括僵尸网络、挖矿木马、恶意下载、家族木马、网络钓鱼、蠕虫病毒、勒索软件、APT攻击八类。
图 7 内部失陷机器类型统计
其中占比最高的为挖矿木马、恶意下载、家族木马,分别占据失陷告警的28%、25%、25%;其次为僵尸网络,占比11%;其他的如钓鱼、蠕虫、勒索等威胁占据11%。考虑到失陷机器上的植入木马上下文连续性,其中的僵尸网络、挖矿木马、恶意下载、家族木马这几类标签会存在一定程度重叠。对于失陷威胁占比最高的挖矿木马,其与当前虚拟货币形势息息相关,近些年区块链及虚拟币逐渐火热,在经济利益的驱使下,大量挖矿木马诞生,也使得远控后门的迅速更新迭代,“肉鸡”、“矿机”交易频繁。
图 8 失陷主机威胁类型占比
金融行业失陷类告警威胁类型Top20如下所示,其中挖矿类型告警占据榜首,其次为恶意下载类型告警。已知背景的告警威胁具有代表性的有麻辣香锅病毒、驱动人生后门、Dorkbot僵尸网络、Andromeda僵尸网络、AsyncRAT间谍木马等。
图 9 金融行业失陷威胁Top20
3.3互联网暴露面及数据泄露统计分析
随着金融机构在互联网侧的IT资产数量日益增多,其暴露的信息也越来越多。从甲方安全运营工作立场来看,缺乏外部事件对企业的安全感知;资产体系庞大,存在安全人员不掌握的影子资产无法进行安全防护;企业员工、核心代码等核心数据无意被上传到互联网的公共平台上,会对企业网络安全或企业声誉商誉造成损失。研究发现,当前金融机构所面临的常见的互联网暴露面及数据泄露类威胁如下:
内部资产隐患-低版本SSL证书;
网络配置不合规;
对外开放的登录入口;
对外暴露敏感端口或服务;
第三方风险代码或组件……
数据泄露风险 内部文件泄露;
暗网数据泄露;
企业邮箱账户泄露;
代码泄露……
漏洞威胁——网络设备漏洞;
软件平台漏洞;
第三方服务组件漏洞……
基于已积累的内部威胁数据进行统计分析,从各类别风险因素的数量级来看,金融机构最常见的风险为内部资产的安全隐患,其次为漏洞风险和数据泄露风险。
图 10 金融机构外部威胁一览
展开来看金融机构内部网络资产安全隐患,排在前三的风险依次为:不安全的第三方JS脚本、SSL证书风险、HTTP配置不合规。诸如此类的各种风险因素,在攻防对抗中如果让攻击方收集到此类信息并形成完整攻击通道将对目标网络系统造成不可控的破坏。
图 11 金融机构内部资产安全隐患占比
敏感数据泄露事件同样是金融机构及其监管单位重点关注的高危安全事件之一。对于金融机构而言,出于其特殊的行业背景,数据敏感度高、黑市变现价值高的特点均会促使恶意数据泄露事件的发生,如窃密类的网络攻击活动、内部人员的蓄意为之等。除此之外,机构内部人员在使用网络云盘、文库、代码仓库等网络平台进行数据转移、存储时,经常会因为个人疏忽或未做数据脱敏处理等原因误将机构内部敏感数据泄露到公网。 近几年来,互联网曝光的金融机构敏感数据泄露事件层出不穷。我们对本次调研的金融机构公网数据泄露情况统计如下,其中最为常见的是文件泄露事件,占据58%,其次为代码泄露事件,占据32%,最后为邮箱泄露事件和暗网数据泄露事件。对于文件泄露事件而言,其一般为企业内部人员操作不当而泄露出的内部会议文件、通知文件、培训内容、工作模板等等;代码泄露多为通过gitlab、gitee、github等平台流出,此类事件跟程序员依赖github等平台的个人习惯有很大关系,金融机构核心业务系统代码泄露一般会带来非常长远的风险隐患;占比最小的暗网数据泄露事件一般跟蓄谋的犯罪事件直接相关。
图 12 金融机构数据泄露风险
3.4金融机构攻击事件剖析
金融机构在日常的正常生产运营过程中不可避免地会暴露部分网络资产,除此之外由于内部网络配置策略不合规、突发高危网络设备漏洞等问题均会继续增大机构被攻击风险。排除不可控的DDOS攻击和由于内部人员主动参与造成的攻击事件,金融机构遭受的中高强度网络攻击主要分为两大类:鱼叉邮件攻击、远程渗透攻击。从攻击流程来看,绝大多数的攻击行为处于以资产探测、信息收集为目的的侦察阶段。我们结合部分具有代表性的金融机构网络安全事件说明真实环境中的网络威胁。
金融机构外部邮件系统是网络攻击事件的重要入侵渠道,其背后攻击者多为国外大中型黑产组织,投递邮件一般包含恶意攻击文档附件或恶意外链,受害者打开对应内容之后,攻击者可后台实现诸如信息窃密、本地账密提取、僵尸网络肉鸡等功能。
图 13 金融行业鱼叉邮件
从邮件内容来看,黑产组织常用的“发票”、“回执单”、“交易清单”等相关的虚假话术正好与金融机构日常的国际贸易业务相关邮件主题较为贴近,这导致内部工作人员更容易被钓鱼邮件误导从而打开恶意文档或恶意外链。
图 14 金融行业鱼叉邮件话术
除了部分针对金融机构人员的个人web邮箱账号钓鱼,攻击者投递载荷多为窃密类型木马或僵尸网络后门,如AgentTesla、Formbook、Ursnif、Lokibot、Trickbot等系列木马。下图展示的为AgentTesla窃密木马的邮箱后台,该木马收集PC端浏览器记录账密等数据通过境外电子邮箱进行回传。
图 15 银行木马后台窃密展示
诸如此类的黑产鱼叉攻击活动短期内并不会给金融机构造成直接的经济损失,用户侧多数时候对此类攻击事件处于无感知状态,但是其潜在风险是无法预计的,我们并不能评估当前的信息泄露及失陷PC在后续会不会引发高强度的定向攻击事件。从攻击者角度来看,当前境外黑产组织多采用成熟的SAAS模式进行运营,自动化的攻击服务、收集敏感PC数据、后门植入权限等均为该违法的地下产业输送经济利益。
2021年10月,微步在线协助某金融机构处理一起因邮件服务器失陷导致的域控攻击事件,经深入取证调查发现,该机构两地非生产网域控失陷、数十台主机失陷,在域控渗透阶段,攻击者完美避开了全流量检测系统、蜜罐系统、终端杀软及其他检测设备。经过深入分析推理,还原此次攻击事件基本入侵流程如下图所示。攻击者采用Microsoft Exchange 1Day漏洞入侵该机构邮件服务器,使用Mimikatz等密码抓取工具在邮服短暂驻留后成功横移至两处位于两地的非生产网域控服务器,进而两地域环境完全失陷。可幸的是,因为发现及阻断及时,当前除了仅有的几次异常登录之外暂未发现明显的网络破坏或数据资产失窃等操作痕迹。
图 16 某金融机构真实网络渗透攻击流程
域控机器失陷这类重大网络安全事故一般会给应急处置工作带来很大困难。金融机构自身网络系统复杂,域控失陷意味着域内所有主机在攻击者面前“裸奔”,如果存在部分主机跨域这类违规配置策略将造成其他域环境的攻击隐患,同时攻击者对域环境的修改也会使得攻击途径复杂化。从应急处置角度来看,入侵排查的基础是各类安全设备日志、网络设备日志、网络流量等数据,数据是否健全将直接影响排查效果,实际取证排查过程中无论是因为机构自身审计数据不全还是因为攻击者主动删除关键日志导致取证进度放缓或停滞都是大概率出现的情况,无法完全排查的客观事实同样给受害机构埋下了攻击隐患。
对上述域控失陷案例中受害机构网络风险评估发现,该机构存在不少较为常见的风险因素,如内部网络资产暴露面过大、多业务网络共用AD域、域环境划分不明确、管理员弱密码等等。诸如此类的安全隐患问题几乎出现在每一次网络安全应急事件中,但亡羊补牢为时未晚,如何从源头做好安全合规建设、降低易攻击风险是各甲方机构需要深入思考的问题。
“危险密码”(DangerousPassword)APT组织是由微步在线率先披露的疑似具有朝鲜背景的高级威胁团伙,该组织至少于2018年3月开始活跃。后续芬兰安全公司F-Secure对危险密码APT组织追踪发现,该组织疑似为Lazarus APT组织的一个分支机构。“危险密码”APT组织的主要攻击方式为鱼叉邮件攻击,目标人员集中在加密货币行业。值得注意的是,其投入使用的后门组件会监测主机是否存在“金山毒霸”、“360”等软杀进程,以判断绕过或是否驻留等后续操作,此行为说明国内用户同样处于该组织攻击范畴内。
图 17 “危险密码”APT组织攻击诱饵
历史攻击活动中,攻击者多通过钓鱼邮件投递恶意文件下载链接,诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件,压缩文件一般包含诱饵加密文档和伪装成密码文件的恶意快捷方式,用户启动后会下载后门脚本直接执行,同时展示文档密码迷惑用户。其攻击流程如下图所示:
图 18 “危险密码”APT组织历史攻击载荷执行流程图
区别与传统APT组织的政治间谍独特属性,“危险密码”APT组织的攻击目标早已不再局限于政府机构了,而是偏向于直接攻击金融机构窃取钱财。除了臭名昭著的Lazarus APT组织,FIN7、Carbanak等APT组织均是如此。面对APT类的高级定向攻击活动,传统安全防御系统能力多数情况下会大打折扣,如何应对未知的高强度定制化攻击活动同样是金融机构需要长期思考的难题。
四、全球金融行业网络威胁态势
从全球视角来看,针对金融行业的各种网络安全事件层出不穷,微步在线安全运营团队自2020年10月份开始梳理统计各类安全事件形成“安全威胁情报周报”进行每周发布,通过整合2021年1月份至今近十个月的金融行业威胁事件,发现如下:
1、金融机构面临严峻的网络钓鱼(包含鱼叉邮件钓鱼、社交平台钓鱼等)攻击威胁;
2、从攻击者动机来看,网络攻击事件以加密货币盗取和机构敏感数据窃取为主,这些网络罪犯的核心目的为牟取钱财;
3、金融机构安全威胁事件主要平台为PC终端或服务器,少部分针对移动端。攻击者投入使用的木马武器库组件更新迭代频繁;
4、针对移动端的攻击事件逐渐增多。
图 19 金融机构威胁事件分类占比
以比特币为代表的数字加密货币价格持续走高一直是导致密币盗取、暗网数据买卖、勒索软件横行的主要原因,在巨大的经济利益面前,网络犯罪份子的活动日益猖獗。其中以加密货币交易平台为代表的金融机构是此类攻击活动的主要受害者。整合部分加密货币相关安全事件如下:
2021年1月:Livecoin加密货币交易所在将域名丢失给黑客后关闭
2021年9月:ElonMusk加密货币充值返双倍骗局,黑客一周获利58万美元
2021年8月:骗子诱使Discord用户使用伪造的加密货币交易所,窃取敏感信息
2021年2月:加密货币交易所Cryptopia再次遭到黑客入侵
2021年5月:黑客利用PandaStealer恶意软件窃取加密货币
2021年5月:加密货币奖励平台Celsius第三方邮件系统遭到黑客入侵
2021年4月:ForceDAO遭黑客入侵,价值36.7万美元的加密货币被盗
2021年3月:加密货币新骗局:利用Discord对DEX用户发起网络钓鱼攻击
2021年第二季度:Cinobi银行木马针对加密货币交易所用户展开攻击。
2021年7月:“币圈”最大迷惑行为:6.11亿美元加密货币在被劫持后,部分陆续返回账户
2021年8月:Crackonosh恶意软件滥用Windows安全模式挖倔加密货币
2021年9月:全球最大的NFT平台OpenSea被曝存在漏洞,黑客可用来窃取加密货币
2021年10月:世界第二大加密货币交易所Coinbase遭到入侵,约6,000名客户的加密货币失窃
2021年8月:火狐插件“SafepalWallet”可用来窃取加密货币,用户需小心!
暂无:加密货币骗局:围绕“薅羊毛心理”进行的恶意攻击
2021年9月:加密货币交易所SushiSwap的MISO平台遭到软件供应链攻击,864.8ETH被盗
暂无:加密货币成为金融网络犯罪的完美选择
2021年8月:塞舌尔加密货币交易所Bilaxy遭到黑客攻击后,网站暂停服务
2021年8月:加密货币交易所CreamFinance遭到黑客攻击,损失近3,400万美元
2021年9月:黑客组织针对Luno加密货币交易所开展网络钓鱼活动
2021年8月:黑客冒充OpenSea员工窃取加密货币资产和NFT
2021年8月:日本加密货币交易所Liquid遭到黑客攻击,存、取款业务已暂停
2021年9月:跨链DeFi平台pNetwork遭到黑客入侵,277个比特币失窃
2021年10月:朝鲜黑客利用网络浏览技术窃取比特币
2021年第三季度:黑客入侵俄罗斯政府网站进行“比特币庞氏骗局”活动
2021年3月:Livecoin加密货币交易所在将域名丢失给黑客后关闭
出于金融行业的数据敏感特性,网络曝光的数据泄露类型的重大安全事故中的受害者同样多为金融机构。泄露数据多为金融用户的个人隐私数据,此类数据在暗网非法交易中往往具有较好的快速变现特性;对受害的金融机构而言,数据泄露事件不仅会给自己带来较大的经济损失以及监管单位的责罚,而且还会让机构客户产生信任危机。整合2021年至今代表性金融机构数据泄露事件如下:
2021年10月:加密货币行情网站CoinMarketCap的敏感数据疑似再次遭到大规模泄露
2021年10月:印度尼西亚银行BankJatim疑似数据发生泄露,378GB数据被售卖
2021年8月:美国太平洋城市银行疑似遭到AvosLocker勒索软件攻击,数据发生泄露
2021年1月:CapitalEconomics泄露超50多万高层用户记录
2021年1月:美国Flagstar银行的客户信息遭泄露
2021年5月: “欧洲版花呗”Klarna在线支付公司爆出数据泄露
2021年5月:加拿大保险公司guard.me遭到网络攻击,敏感数据泄露
2021年3月:美国汽车保险供应商Geico发生数据泄漏
2021年4月:巴西金融公司iugu数据库配置错误泄露1.7TB数据
2021年4月:印度股票交易平台Upstox数据泄露,涉及超250万用户
2021年4月:俄罗斯银行Dom.RF发生数据泄漏
2021年3月:3月下旬,疑似巴西保险公司巨头3600万客户数据遭泄露
2021年3月:印度金融科技平台MobiKwik疑似发生数据泄露,8.2TB数据在暗网售卖
2021年3月:外汇交易平台FBS服务器存在漏洞,泄露160亿条记录
2021年7月:2021年7月中旬,英国国家彩票公益基金发生数据泄露
2021年4月:美国橡树岭银行披露数据泄露
2021年7月:美国金融公司摩根士丹利遭到黑客攻击,发生数据泄漏
2021年6月:美国保险巨头AJG公布遭到勒索软件攻击,数据发生泄露
2021年6月:2021年6月9日,南非保险服务提供商QSure数据遭泄漏
2021年6月:2021年6月12日,金融软件公司Intuit的TurboTax账户被黑,致使数据泄露攻击
在金融机构安全威胁事件中,同样值得一提的是当前较为火热的供应链攻击。针对金融机构上游基础设施及软件供应商的攻击事件已经不足为奇,今年10月份,中国人民银行在“关于规范金融业开源技术应用与发展的意见”重点提到了金融机构供应链安全问题。
图 20 人行关于“金融业开源技术应用与发展”发文
供应链基础设施安全问题给传统网络攻击提供了一条新通道,金融机构拥有繁杂的供应商,当前对于供应商产品的安全审查并不成熟,一旦供应商被成功入侵利用,将直接摧毁传统网络安全防御信任体系。如2021年9月份,SushiSwap社区的MISO密币交易平台遭到软件供应链攻击,攻击者劫持平台交易过程并盗取约300万美金的以太坊币。
图 21 SushiSwap MISO密币失窃
2021年10月,国外 RAIDForum 论坛的ID为AgainstTheWest的用户发布一篇成功渗透进入国内金融机构的帖子引发国内安全圈关注,该用户坦言是通过供应链攻击方式进入,虽然经后续核查确认涉及的国内金融单位并未遭到成功入侵,但此类供应链侧的安全风险问题也为各金融机构敲响警钟。
图 22 AgainstTheWest供应链攻击发帖
五、金融企业网络安全实战化能力提升—典型实践
5.1金融企业安全建设现状分析
5.1.1国家、行业监管政策日益严苛,金融行业仍是强监管重点
近年来,围绕习近平总书记国家网络安全观,我国构建了完备的网络安全法律合规体系,并陆续颁布了相关的法规政策要求,其中《网络安全法》要求建立网络安全监测预警和信息通报制度,《关键信息基础设施保护条例》要求建立监测预警、信息通报、应急处置、网络安全信息共享机制,《网络安全等级保护条例》要求三级以上系统集中管控、集中监测,构建监测发现能力、预警通报能力、应急处置能力、态势感知能力。另外中国人民银行《科技金融(FinTech)发展规划(2019-2021年))》也强调需要建设统一的金融风险监控平台,构建风险联防联控机制,强化风险信息披露和共享的能力。由此可见国家和行业监管已将事件通报预警与情报协同共享的能力作为网络安全的建设重点和关键能力监管指标。
在国家监管机构的有力推动下,HW活动趋向常态化,在规模和频次不断扩大的同时,攻防双方的技术水平和对抗能力也在博弈中不断升级,其中攻击队常用的攻击战术包括漏洞利用、社工钓鱼、0day利用、尝试旁路攻击渗透以及复合攻击,再加之防守方对攻击方的攻击特征一无所知,基于近几年攻防形式看,防守方基本处于敌在明、我在暗的被动局势。因此在网络演练中需构建实战化对抗能力,包括强化自身的“纵深防御”安全体系以提升“知己”能力,以及构建权威、准确的攻击情报自动化获取渠道以提升“知彼”能力。
5.1.3 应对严峻的网络安全形势,金融企业的网络安全建设和运营体系仍存缺口
一方面,多数金融企业处在“局部整改 ”为主的安全建设模式,致使网络安全体系不足、碎片化严重、协同能力差。虽然体系已具备较多种类的安全防护产品但各成体系,这种安全防护割裂的情况导致被攻击者抓到一些漏洞进行利用,导致攻击频频发生。另外一方面,为了响应国家号召,构建数据集中采集、分析、处置及响应流程自动化能力,金融企业纷纷构建态势感知和处置平台,寄希望通过上收全网告警数据进行威胁关联分析,提升全网威胁主动发现、分析、预警、共享等能力,但由于上收的告警有误报、量大、态感关联场景单一、需要重度依赖人工能力等众多原因,目前构建态感的多数金融客户觉得未达到预期的效果。因此大量金融客户通过引入高质量、多样化的攻击情报进行赋能,以此提升真实威胁聚焦、主动预警、全网联防的能力。
5.2金融企业实战化能力提升典型实践案例
当前网络攻击事件日渐频繁、攻击技能快速迭代增强。作为防守方,除了传统的网络安全防御建设,使用威胁情报识别、NDR设备检测、自动化联动边界设备阻断处置等类型的方案已成为扩充传统安全防御体系的必要选择,微步在线依托国内领先的高精准威胁情报生产能力、覆盖网络和终端(NDR、EDR)的强大检测能力以及后台研究响应部门专业的分析能力(MDR)完美契合当前新型网络安全防御建设需求。基于机器学习的自动化情报生产模型、辅以蜜罐、云沙箱、空间测绘等情报收集手段、以及专业分析员人主导的僵尸网络追踪、APT类高级威胁追踪组成当前微步的情报生产网,情报数据的准确率、及时性、覆盖面、数据量级均会影响第一环的威胁识别效果,这往往也是评估一个威胁情报参与的新型扩充安全方案的标准之一。除此之外,此类扩充方案更重要的一方面是如何真正地解决客户实际生产运营环境中场景化需求。通过总结微步在线金融客户群体中已落地建设的安全防御扩充项目,我们归纳出常见的背景需求如下:
需求1:精准告警、自动处置,提升整体安全运维效率 日常运维工作中面对海量告警数据无从下手,无法分辨真正威胁;缺乏自动化处置能力,无法应对新型未知威胁;虽然已建成SOC/SIEM安全运营平台,但并未达到预期的运维简便的目标。
需求2:精细化的失陷检测及定位、自动化攻击链路溯源 当前内部网络环境复杂,比起日常的实时网络攻击行为,内部资产安全状况同样重要。运维人员需要准确掌握内部资产失陷状况、自动化定位到物理机器及相应进程、并绘画出完整攻击链路。
需求3:异地分支机构实时网络威胁监管,告警数据统计分析 多数大中型企业存在多地分支机构,其中多数较小的分散在外的异地机构或网点往往缺乏网络安全防护、易沦陷成为黑客的攻击跳板进而危害总部安全,此外总部对分支机构网络状况也缺乏安全监管,无法评估完整的公司安全态势。
需求4:攻防演练中的基础告警过滤、攻击情报实时同步、多地多端自动化阻断 攻防演练如今已成常态,在大大小小的HW中,除了基础威胁的自动化过滤封禁之外,高可信情报的及时共享显得尤为重要。网络安全设备除了日常的安全检测处置之外,更需要承担HW中高频次高定向攻击活动的防守对抗角色责任。
表4金融行业背景需求
针对以上四种常见用户需求,我们以真实的金融行业网络安全建设落地项目为例(抽象客户实体,不含敏感信息)来介绍实际场景中的项目实践。
银行关键基础设施承载着高价值业务数据和个人敏感信息,安全合规和实战化建设需走在各行业前列,面临海量告警精准研判、自动化智能处置、未知威胁发现预警等高阶安全需求,该客户将威胁情报融入到自身的安全运营体系中,并赋能给业务线,通过辅助丰富的威胁情报数据,提升高级威胁检测、事件研判分析、自动化封禁等各方面的能力。
基于威胁情报,已聚焦4种场景的落地,具体如下:
1、汇聚全行DNS日志,对接IOC失陷指标情报,对全行内部失陷主机进行精准识别;
2、情报赋能大数据处置平台,精细化封禁策略,降低误封率和投诉率;
3、基于外部登录IP的信誉进行审查,对于应用异常登录风险进行识别;
4、构建HW期间攻击情报的自动化接收渠道和联动封禁手段。
本地部署威胁情报平台(TIP),与SIEM、SOAR分别对接进行情报赋能:对SIEM中海量告警进行降噪、研判关联分析、告警优先级排列。利用SOAR在事件处置编排时,可调用TIP内多种情报数据进行输入,以支撑不同威胁分析与处置的编排剧本,对即将处置的事件进行准确性诊断,并帮助客户落地自动化阶梯封禁策略。
图 24 威胁情报赋能安全运营体系
1、具备高质量IOC失陷指标情报,具备全球数十亿IP信誉情报,丰富的情报类型、情报字段,丰富的情报上下文,帮助建立更多未知威胁关联分析模型;
2、通过实时情报碰撞,精准发现内网被控主机等失陷威胁;
3、全面赋能大数据平台和SOAR,提升真实威胁的检测、分析及处置能力,实现闭环;
4、基于网络信息化数据进行威胁的主动挖掘,提升威胁的主动防御能力。
5.2.2 XDR方案提升全方位安全检测能力—某银行XDR深度应用
该金融客户特别关注失陷主机检测及定位能力,希望通过引入XDR方案,从网络端及终端两个层面,基于高质量情报、规则、机器学习及沙箱技术提升现有安全体系威胁的检出和分析能力,并通过网端联动能力实现网端日志自动关联,还原完整的攻击链条,定位失陷主机至威胁进程。
目前已在数据中心关键区域部署了多台威胁感知平台(TDP)设备,接入对外服务域南北、外联域南北、核心业务域互访、本地终端用户访问业务区等全流量进行实时监控,检测外联、互联网接入、内网下级单位节点、内部用户等多点的攻击风险。并从海量告警中自动聚焦Webshell、外部攻击成功、针对性攻击、主机失陷等真实威胁,智能串联攻击全路径。
图25 智能串联攻击路径
在主机上部署轻量化 EDR Agent,进行终端层面进的攻击与异常识别,基于ATT&CK攻击特征识别规则识别攻击链各阶段攻击、可疑和正常行为,并能智能串联攻击进程链,以及串联账号、主机、行为、文件、进程、事件的实体关联。
图26 智能串联攻击进程链图
基于TDP与EDR的联动,从主机和流量互补攻击威胁的识别线索,对于流量中初步发现的威胁,可利用终端信息进一步发现注入行为、可疑文件、进程、网络行为,实现深度自动溯源,另外对于发现的真实威胁,既可联动网络实现威胁通信阻断,也能联动终端深度定位取证查杀终端恶意文件或进程。
图 27 XDR多方位联动检测
1、全面提升了数据中心的高级威胁检测能力,包括僵木蠕、恶意代码、挖矿、C2远控、APT等多类高级威胁,方案实施两个月,失陷主机的数量从30+降至个位数;
2、从海量告警中聚焦真实威胁并进行完整攻击链回溯,提升了安全团队对于威胁事件分析、处置的效率;
3、准确的情报数据提升真实威胁的检测、分析能力,有效降低了MTTD和MTTR。
5.2.3多职场办公外网统一安全管控—某证券机构威胁情报实践
该金融客户为总部-营业部-呼叫中心的并行网络架构,且各职场均能独立访问互联网。但由于分支机构安全防护体系与安全人员能力较为薄弱,总部对于众多机构的安全管控鞭长莫及,因此造成各职场网络大规模感染钓鱼、勒索软件、木马病毒、蠕虫、挖矿木马等恶意软件,因此通过引入轻量化 SAAS解决方案,统一对分布全国的职场内外网恶意通信的检测、分析、定位和阻断。
通过将上海、北京、营业部、呼叫中心等职场的DNS流量指向微步在线云端OneDNS,利用全球最新的情报数据、智能检测引擎和机器学习模型及时检测并拦截恶意远控通信,并对正常通信进行递归解析。总部通过可视化控制台实时对各机构DNS服务进行运维监控。
图 28 异地多网点统一安全监管
1、通过将多个职场访问互联网DNS流量指向OneDNS,实现多职场威胁的集中管控;
2、全局和职场策略灵活组合,对于攻击和不合规上网行为进行自动化阻断;
3、基于VA,接入本地DNS/DHCP日志,实现检出威胁与内部终端自动关联,进行精准定位;
4、针对告警数据、威胁事件、告警主机数据进行统计,实现全局威胁可视;
5、0硬件、轻运维,快速拉齐各分支机构的安全防护能力。
5.2.4 构建基于攻击情报的自动化封禁能力—某大型金融机构情报建设实战
目前金融客户的数据中心已构建了较为完善的安全防护体系,但省分行的安全防护能力相对薄弱,省分行缺少与总行同等的安全监测能力,对于向下通报的威胁事件,省分行往往因缺少威胁自动化检测、分析、定位及处置能力均无法处理,加之缺失情报共享通道,无法进行威胁预警,极易成为攻击总部的跳板,该问题在高频攻击的HW中尤为突出。
基于以上状况,在总部和各省分行引入基于情报的攻击阻断设备(TDP),通过旁路部署的方式接入全流量,依托实时更新的攻击情报(包括重保期间的HW情报)以及规则提供双向流量逐包检测和IP封禁能力,提供行内各区域安全设备进行封禁的能力,形成全网点到面的安全防护能力。
图 29 威胁情报多地多端级联协防
HW攻击IP和状态识别:在重保等特殊时期,实时拉取HW攻击情报判定HW攻击队IP,并能结合现网的攻击数据特征,判定HW攻击队的攻击状态,内容包括攻击次数、攻击主机目标、是否攻击成功,是否反连等,对于命中的HW 攻击IP查同C端所有IP,基于情报捕获其他HW攻击IP,然后联动边界进行封禁。
图 30 威胁情报在HW中的自动化封禁策略
支持多种阻断方式:在不影响现有网络组网架构的情况下,支持对接入流量进行双向包检测和实时双向IP reset封禁能力(小包、长连接、http连接);对于封禁策略,支持基于攻击方向、攻击结果、严重级别、地理位置及威胁情报检测结果条件自有组合设置,并支持设置阻断时间;支持提供阻断API,供其他安全防护设备调用,进行协同联动阻断,提升网络安全空间中安全防护设备的协同防御能力。
威胁检测与自动化响应:对流量大数据进行智能、实时分析,识别出各类已知/未知网络安全事件,包括Web 漏洞攻击、系统漏洞攻击及黑客常用工具识别,另需通过攻击回包自动提取攻击特征判定是否攻击成功,整个攻击检测覆盖侦查、漏洞尝试、控制、内网渗透及对外攻击、挖矿、数据窃取等破坏行为的全攻击链,并进行安全告警和自动触发阻断处置。
构建攻击者画像指导封禁:基于现网实时流量中提取攻击者特征,并结合情报进行攻击者IP画像分析,内容包括攻击时间、攻击频率、攻击水平、影响的业务系统、投递木马信息,以及提供该IP的类型信息(网关/CDN/基站等),通过构建攻击者画像,确定攻击IP的危害程度以及封禁可信度,提升威胁事件人工分析、处置的效率。
安全可视化:提供多维度可视化仪表盘和可视化大屏,提升安全可见性,为安全决策提供数据支撑,便于安全运维人员全面掌握安全状况,提高工作效率。对于威胁告警分别以整体、内网资产、攻击者多个视角分别展示安全态势情况及安全处置等相关数据指标,支持自定义报告内容和导出报告,满足日常安全运营日报和重保期间向上汇报等场景的需求。
六、建议及总结
从网络安全攻防的角度来看,当前任何自动或半自动化的安全防御系统最终仍需与人交互实现最后决策,攻防对抗的本质是人与人的对抗,在攻防技术手段更新迭代中攻击方能力永远处于领先状态,当前任何安全防御系统都无法完全确保目标系统的安全性。因此从长远的网络安全建设来看,除了继续扩充加强整体安全防御系统外,提升机构全员网络安全意识、规范化上网行为同样是需要长期建设的内容。
发表评论
您还未登录,请先登录。
登录