证券业拥有庞大的数据处理量,2016年全国证券系统日均交易量达一万亿元,是中国金融市场中最活跃市场,因而其对于安全提出更高要求。本文介绍攻击链并列举攻击者的攻击动机,提供防守方应对方法,通过搭建企业防御框架,并拟定针对性的入侵防御方案,对目标进行重点防御。
本文运用攻击者视角,在安全建设基础上提出信息对抗、技术对抗、运营对抗三方面的进阶,读者可以按需参考。
如开展信息安全工作其中一个主要目标就是安全保障,防止信息安全事件的发生。然而,部分企业在多年开展了网络安全建设工作后,还是会有信息安全事件发生。Nuix公司《The Black Report》中显示,81%的受访黑客(白帽子)表示,12小时之内就能攻破一个目标(如一个站点),发现并窃取重要数据。相对应的,64%的受访企业代表表示,企业明知道自己存在安全问题,却不修复。企业在攻击发生后,只有四分之一的攻击事件采取了修复措施,但也仅仅关注高危漏洞。
试问,企业网络安全现状如何?是好是坏。面对如此问题,很难准确回答。我们先来了解2项定义(摘自《GB/Z 20986—2007 信息安全技术 信息安全事件分类分级指南》):
1.信息安全事件:由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。
2.信息安全事件分类:信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
对于能否保证避免信息安全事件发生,业内企业安全团队通常是一片悲观情绪,认为防守方总是处于劣势。因为防守方面对的是一个开放性的安全防御难题,建设的防御体系往往如同“马其诺防线”一样被攻击者绕开。 但如果防御体系解决的是一个明确的企业物理范围和业务系统范围,即有清晰的防御目标,如明确业务范围是证券业交易WEB平台和交易APP,防御目标是避免客户信息和交易记录泄露事件发生,且保障业务系统在交易时段内可用性达到100%,且达到分钟级安全控制风险(应急响应)防护能力,那么我们的防御体系是可以做到闭环。简单说,一个问题不能犯两次,通过闭环运营让企业自身安全能力不可逆地走向更好。
笔者之前提出证券类金融企业网络安全建设思路,是首先优化网络结构,减少网络安全高危漏洞或缺陷数量,通过部署抗拒绝服务攻击、网络入侵防护和恶意程序防护措施提高基础安全水平,采取网络流量分析技术、安全意识培训、监测与防护措施等,应对高级别攻击。为了持续提升安全防护水平,满足业务发展需要和安全保障需求,在开展网络安全建设时,需要不断调整防御目标,学习理解并运用攻击者视角,搭建防御框架,达到防护能力能够囊括更多安全事件类型的进阶目的。
攻击者视角
为了保护低价值目标而投入过多资源是不经济的。防守方学习攻击链(攻击过程),以攻击者思维换位思考攻击目的,识别攻击者眼中的高价值目标,进而定义防御目标,才是有效应对之策。
攻击链
简单来说,攻击链就是攻击者常见攻击过程,包含信息收集、探测、渗透攻击到实施恶意行为等步骤。通常,攻击链可以下图形式展示。不同攻击方式的攻击过程可能不同,半数攻击者每一次都会改变具体攻击方法。
攻击动机
了解你面对什么样的攻击者,可以让你理解他们的动机。
在2017年上半年,针对证券业的信息安全威胁主要由DDoS攻击、WannaCry勒索事件、客户资料数据窃取等,需要关注事件背后的攻击动机。如果有人用脚本小子(Script Kiddie)取得的工具来攻击你,这可能并非严重的威胁。如果有人用新的漏洞和精心设计的恶意软件来攻击你,如绿盟公司在2015年发现的证券幽灵攻击,潜伏最长十多年,默默窃取交易数据,那就要重点关注了。他们的能力可能也反映了他们的意图。例如,故意破坏(如篡改网站)比较可能是激进黑客,或许是政治目的攻击活动。但大多数攻击的目标是窃取信息,有时可能是可以马上换钱的金融信息,如支付凭证。有时可能是更加敏感的信息,如公司机密。《Mandiant M-Trends 2017 Report》中显示,较之欧洲、美洲区域,亚洲金融行业是全世界黑客主要攻击目标,针对金融企业的攻击复杂性逐步增加,攻击特点是不摧毁,更贪婪。
防御框架
理解和分析攻击链是关键,可以帮助企业在必要阶段部署适当的防御控制。运用攻击者视角,搭建企业防御框架。笔者建议防御策略包含明确防御目标、开展信息对抗、技术对抗、运营对抗三方面进阶建设。
明确防御目标,莫过于确认攻击者的动机,然后根据此动机判断入侵最可能发生的节点以及攻击方式,并拟定针对性的入侵防御方案,对目标进行重点防御。
信息对抗
信息对抗,目的是知己知彼,提供针对性设防的有效信息,并在事件发生时持续监控,获取攻击者攻击行为的信息。威胁情报就是有效信息,还原已发生的攻击事件、预测未发生的攻击威胁和提供应对建议,通常包含IP信誉库、漏洞库、武器库等,可为企业安全团队提供如何响应威胁或危害的决策信息。信息对抗关注信息的时效性和行业属性,如网络游戏行业、政府、金融企业的攻击者和攻击动机差异很大。
证券业对外服务的重要系统以交易WEB平台和交易APP为主,通过收集威胁情报,掌握国内外已发生的特定信息安全事件所利用的已知漏洞,是否与企业交易WEB平台存在的漏洞,或交易APP某项业务流程缺陷有关联,从而提出漏洞缺陷修补优先级。威胁风险分析过程需要将信息资产、存在漏洞信息、威胁信息综合分析,得出风险高低结果。
目前,已有国内安全厂商可提供威胁情报平台,支撑企业威胁风险分析和决策。
① IP信誉库
IP信誉库提供攻击源信息,通过配合设备指纹、时间属性来锁定攻击者的身份和物理位置。对于企业来说,一旦攻击者实施了恶意行为,如盗取第三方企业数据,就可以根据溯源结果进入法律程序。通常,为了方便使用,提高溯源和运营效率,IP信誉库信息以攻击类型进行分类。
② 漏洞库
Struts2依靠连续5个漏洞成为2017上半年的一个焦点。在S2-045爆发的一周内,绿盟科技威胁情报中心监测到19,396次针对该漏洞的攻击尝试。针对Struts2利用的攻击次数超过所有框架及应用漏洞攻击总次数的80%。当有关键业务运行于Struts2框架之上时,24×7的漏洞监视机制、小时级的通报响应机制变得尤其重要。
③武器库
武器库提供攻击者攻击方式的有效信息。以XSS攻击为例,XSS是WEB应用攻击威胁,又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害通常是窃取cookie、放蠕虫、网站钓鱼等。利用过程即攻击者找出站点内动态表单页面,如含有富文本编辑器(自定义样式)的注册页面,通过插入特征文本、构造XSS代码、猜测过滤规则、用等价代码替换实施攻击。之后,只要用户注册该平台会员账号,这个包括恶意脚本的页面就被其本地浏览器执行,攻击者就可能获得该用户终端浏览器当下进程的注册信息(cookie)。整个过程未控制主机,仅是植入恶意脚本,即实现数据窃取的恶意行为。如下图是XSS攻击核心步骤展示。
④威胁处置效率
为了有效地应对挑战,需要快速适应信息安全管理理念的变革,那就是将传统安全投入只注重防护”Prevent”,不断向检测、响应、预测和持续监控转移,实现动态适应。只有化被动安全为主动安全,才能及时检测正在发生的威胁,甚至预测即将发生的威胁,快速地响应将成为安全团队新的聚焦点。
威胁处置效率,从被攻陷到处置的耗时,是衡量最高级别威胁处置效率的指标。平均检测时间(MTTD)和平均响应时间(MTTR)作为两个衡量企业安全能力的关键指标,已经被更多企业采纳。 MTTD是企业识别出影响公司的威胁所需的平均时间。这些威胁表现出实际的风险,需要进一步的分析和响应工作来验证。 MTTR是企业完全分析威胁并控制和解除威胁所需的平均时间。MTTD可被计为企业信息环境中第一次证明(收集到的)的威胁到其真正被安全团队发现的这段时间。 MTTR可被计为从威胁被检测确认到最终锁定存在风险或解除风险的这段时间。根据2016年FireEye(火眼)公司发布的报告,企业从被攻陷到发现的平均时间(MTTD)是146天。而平均MTTR是30天。
不难看出,降低MTTD和MTTR必须建立有效的威胁检测和响应生命周期。 而在这个检测与响应的每个阶段,能够以威胁情报驱动,并不断优化每个阶段的安全操作流程有效性的公司可以实现MTTD和MTTR的显着改进。