文章目录
前言
随着银行业金融机构数字化转型的不断深入,以及移动互联网应用的蓬勃发展,网络攻击呈现明显的全球化、常态化、多样化趋势。计算机终端在承载业务系统访问、业务数据存储等功能的同时,也成为外部攻击的关键切入点。终端安全管理面临越来越高的挑战,一方面需要满足办公、业务、开发测试、对客服务等场景的使用要求;另一方面需要防范病毒传播、数据泄露、非授权访问、木马受控等多种风险。
面对国内外严峻的网络安全形势,银行积极推进安全智能化、实战化建设,结合情报匹配、数据分析、高效运营等手段,探索了一条基于威胁情报构建终端威胁实时监测和响应的模式,以持续提升终端安全管理的成熟度,确保在形势复杂的网络安全空间中实现终端风险有效管控。
一、终端使用和管理现状
银行营业网点覆盖范围广泛,员工总数多,通过部署多种类型终端,以满足日常办公、业务办理、客户服务等多元场景的需求。按大类可划分为普通终端、特殊终端和金融机具,细分包括办公、生产、测试、安防、外网、运维、柜面、ATM、叫号机、体验机、智慧柜台等,终端类别、网段及操作系统的多样性提高了终端安全管理的复杂度。
二、终端面临的安全风险
越来越多的银行安全运营者意识到终端已经成为攻击者最便捷的突破口之一,通过拿下内网终端、获取相应权限,攻击者可以不断深入触达内网服务器。在网络攻防日趋实战化和常态化、黑客攻击隐蔽性强且潜伏时间久的情形下,传统的终端安全监测手段多数是基于特征匹配等已有规则或攻击信息来识别安全风险,在监测的全面性、精准性方面尚存不足,难以精准地发现最新出现的隐蔽性高且组织性强的攻击行为,导致在实战攻防中未能及时采取有针对性的处置措施。
1、传统的终端安全工具无法有效识别新型威胁
在内部威胁方面,银行经常需要将大量的外部文件、安装程序通过非互联网渠道传输到内网终端,频繁的文件流转增加了病毒感染的风险。终端上安装的杀毒软件仅能检测到已知特征的文件病毒、蠕虫木马,无法识别和查杀一些隐蔽性强的远控木马、勒索软件及挖矿病毒等,导致内网终端上存在的木马病毒、黑灰产、黑客攻击威胁风险无法根除。
2、黑客攻击的目标重心瞄向终端
在外部威胁方面,银行经过多次网络攻防实战演习历练,针对互联网应用系统部署的WAF、IDS、蜜罐等安全防护措施逐渐完善,网络安全防御体系愈加成熟,基于已知漏洞开展的正面攻击很难突破银行内部网络,因此,外部黑客攻击的重心逐步转向供应链及终端侧。社工钓鱼、数据窃取、漏洞利用等面向终端的