信息化对银行业工作效率和业务范围的价值毋庸讳言,但价值和风险正是一枚硬币的两面。互联网开放性发展性的特点,决定了银行业只要坚持信息化一天,安全风险就不能彻底消除,安全建设也不存在一劳永逸的办法。
尤其近年来,各种安全威胁层出不穷,诸如APT攻击、勒索软件的影响日益扩大,黑客攻击花样频出且越来越频繁,以及各种网络补丁不及时导致防护失效等问题时有发生。
另一方面,如前文所言,由于银行业自身的敏感性,一旦出现数据丢失或泄露事件,疲于奔命,这对银行的形象和业务的打击是致命的。传统的防御手段则略显被动,往往是“头痛医头脚痛医脚”,疲于奔命。
“这不再是在端点预防攻击(这不可能100% 地做到) ,而是尽快抓住攻击或攻击企图。 我们的目标是减轻损害,并阻止任何通过受害用户的机器进一步渗透到网络中的攻击行为。”
——— 行业媒体DarkReading的执行编辑 凯利·杰克逊·希金斯
在这种新的安全形势下,采取更加积极主动的方式来对重要信息与大数据加以防护越来越成为新的趋势。市场关注的重点也逐渐从“重视事后防护”向“防患于未然”进行转变,安全检测服务及产品,将会成为银行业安全领域新的风口。
一、安全测试
黑盒测试
黑盒测试又称动态应用程序安全测试(Dynamic Application Security Testing,DAST),黑盒测试是站在用户的角度,把程序看做是一个不能打开的黑盒子,来检查程序的功能的有效性、数据是否正确的输入输出、是否存在功能遗漏。
黑盒测试具备发现能力强、测试范围广、易被理解的优点,但同时也存在过于依赖于规格说明书、测试对象单一、覆盖范围有限等不足之处。
而在银行安全产品的应用场景下,黑盒测试也发挥着重要的作用。现有产品主要面向业务流程、金融产品生命周期、银行机构工作流程等领域,为银行机构实时反馈问题保驾护航。
白盒测试
白盒测试又叫静态应用安全测试(Static Application Security Testing,SAST),是一种基于代码的测试。与黑盒测试不同,白盒测试将程序看做一个可视化的盒子,测试者通过检查程序的内部结构,从检查程序的逻辑上着手,比较彻底地从源头上解决程序的漏洞。
在白盒测试中,测试人员必须仔细的思考程序的实现方法,并据此检查代码中的每条分支和路径,从而找到隐藏在代码中的错误,发现一些黑盒测试发现不了的漏洞。但是另一方面,白盒测试存在代码理解局限、需要人工校正、安全人员认识不足等难点,这使得使用成本较高。国内企业对代码的安全关注度落后于外资企业,但近年来银行业对应用安全的漏洞风险和行业合规性有了较高要求,白盒测试得到了前所未有的重视,得以大力推动。
灰盒测试
灰盒测试,又称交互式应用安全测试(Interactive Application Security Testing,IAST),是一种介于白盒测试和黑盒测试之间的测试方法,被外界认为融合了二者的优点,显著提升测试的效率和准确性,曾被Gartner列为信息安全领域的Top 10技术之一。
灰盒测试工作不像白盒测试那样精细繁重,却又比黑盒测试更加关注程序的内部逻辑,常通过一些表征性的现象和标志来判断程序内部的运行状态。对于较复杂交付时间较紧迫的系统,灰盒测试具备显著的优势。
《金融电子化》认为,未来银行IT架构将从集中转向“集中+分布”的形式,灰盒测试在这一过程中将作为主要的测试方法解决接口全字段覆盖的完备性问题,黑盒测试作为补充,以保证业务主体的正确性。
二、沙箱(sandbox)
沙箱技术,其原理引用官方网站的一段话:电脑就像一张纸,程序的运行与改动,就像字写在纸上。而沙箱就相当于在纸上放了块玻璃,程序的运行与改动就像写在那块玻璃上,除去玻璃,纸上还是一点改动都没有的。
其工作原理为:通过重定向技术,把程序生成和修改的文件,定向到自身文件夹中。当然,这些数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护,即便在里面运行病毒可认为是安全操作。
换言之,沙箱创造了一个类似于沙盒的独立封闭的作业环境,其内部运行的程序不会造成永久的印象。研究人员可以通过在沙箱中检查恶意软件并执行其操作,以便尽早发现恶意软件的可疑或攻击行为,从而对其风险有一个全面的认识,并针对性开发应对措施。
在信息化大背景下,为了加强对网络入侵行为的预警及防御,很多网络安全公司开始将沙箱技术用于安全产品及服务中,用来在安全环境中检测文件是否含有恶意内容。简单来说,沙箱技术将作为银行业预测及防御战略的重要组成部分,为银行安全提供有效补充。
三、蜜罐和蜜网
网络欺骗的核心概念最早由普渡大学的Gene Spafford于1989年提出的,蜜罐和蜜网即是借鉴了网络欺骗思想的安全产品。蜜罐是诱使攻击者盗取其数据的单个主机,蜜网由多个蜜罐构成。简单来说,蜜罐和蜜网是一种通过设置虚假目标,诱使黑客发动攻击,使安全人员得以探清其攻击方式的新型网络防御技术。
蜜罐有点像战争中的伪装艺术。二战时苏军在莫斯科保卫战中,西方面军和第20集团军为引开敌人的火力,他们在相反的方向上集结了大量的假火炮和假坦克,并采用喇叭播放坦克马达的声音。史料记载,仅西方面军设置的假目标就吸引了德军1083次轰炸。
(这种假火炮很能迷惑天上的敌国侦察机)
与其它防御手段不同,蜜罐针对的目前不是系统漏洞或者攻击手段,而是直接关注攻击者本身,对攻击者加以欺骗,打乱其攻击节奏,给企业应对赢得更多的时间来探测敌情。与沙箱不同,沙箱仅揭示恶意软件的行为,而蜜罐则可以对攻击者进行分析并观测其攻击动作,进而对未来类似的攻击方式加以预防。
现在很多银行机构不允许在业务服务器上安装安全程序,甚至配置日志系统都不可以,因此蜜罐方案就成为了非常恰当的解决解决方案。随着安全市场需求的提升,蜜罐也得以发展出升级版,即欺骗防御平台。
据统计,对于网络威胁,企业的平均响应时间长达99天。为缩短事故修复时间,网络欺骗平台目前被政府,银行业及世界500强企业所重视,起到发现、延缓及抵御攻击的作用。
四、威胁情报
有业内观点认为,面对安全风险与防御能力的不对等,一个重大的安全防御变革方向是:围绕“威胁情报”建设内生化的安全体系。那么威胁情报指的是什么呢?
根据《安全威胁情报服务市场指南》中对威胁情报的定义:威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括攻击者的身份、动机、特征与可行应对建议。根据不同的标准,威胁情报也可以分为多种类型。首先根据其本身,可以分为HASH值、IP地址、域名、网络或主机特征、TTPS等,其来源是《The Pyramid of Pain》中提出的威胁情报相关指标的金字塔模型。
(FreeBuf:2019企业安全威胁统一应对指南)
这些知识可作为根据过去和当前的网络状态动态调整安全策略的依据,堪称应对APT、网络犯罪、新型安全威胁(如人工智能驱动的攻击)的预警机,实现精准的动态防御,达到未攻先防的效果。而情报本身,根据使用场景,大致可分为三类:战术级情报、运营级情报、战略级情报。
根据Gartner的调查报告,近年来政府和金融机构对威胁情报的认知和需求在快速增长。报告预测,未来两年里大型企业的威胁情报市场将增长100%。很明显,威胁情报在安全内生化趋势中的重要性正在不断凸显,并将成为企业防御体系的轴心和大脑。
建设银行金融科技部信息安全管理处处长陈德锋认为,在当下建设银行电子银行快速发展时期,不能仅依靠内部安全体系,必须利用威胁情报,预防、拦截、追溯、优化控制。在系统漏洞预警、数据泄露监测、钓鱼网站发现关闭等多个领域构建威胁情报共享机制,逐步加大、加深威胁情报和安全体系的结合,应对有组织的大规模网络攻击。
五、漏洞检测
从广义来看,一切可能破坏系统安全的因素都可以被视为安全漏洞,包括网络设备、硬件、个人电脑、通讯协议等在设计、实现策略上存在的缺陷和不足。漏洞检测技术则致力于在漏洞被攻击者发现并用来加以入侵和攻击之前对其进行修补,防患于未然。
漏洞检测大致分为对已知漏洞的检测和对未知漏洞的检测。其中,对已知漏洞的检测较为简单,主要借助安全扫描技术,通过收集系统的全部文件与进程等信息来自动监测其安全性,进而对薄弱点加以修复来增强系统整体的安全性。对未知漏洞的检测类似于白盒测试,如源代码扫描、反汇编扫描等技术,但缺点是费时费力,对人员的技术水平要求较高。
目前,漏洞检测和防火墙、入侵检测系统互相配合,能够较快速度完成检测,有效提高网络的安全性。同时,为提供可以稳定部署的网络检查,对主机、数据库、Web应用等设备进行漏洞扫描,目前多家安全厂商开发出针对银行业等金融机构的漏洞检测产品,这些产品还能够借助多个检测工具和方法来降低误报概率,从根本上减少安全事件的发生。
六、流量分析(NTA)
网络流量分析(Network Traffic Analysis,NTA)技术曾入选《Gartner:2017年11大顶尖信息安全技术》,其价值主要在于通过流量梳理与分析来监测恶意行为。
Gartner是这样解读NTA技术的:NTA解决方案通过监控网络流量、连接和对象来识别恶意的行为迹象。企业在应对那些试图通过绕过基础安全措施的高级攻击时,可以考虑使用NTA技术在黑名单基础上做出进一步补充,作出辅助决策。
有业内人士指出,一款好的NTA产品需要具备优秀的流量捕获和解析能力、海量数据记录的能力、以及对威胁的理解和识别能力,能够提供攻击者的情报信息。这样的产品可将其类比为“具备金属识别、爆炸物识别、人脸识别、日志记录等能力的综合安检仪”。
在新的安全形势下,随着以高级持续威胁(APT)等新型网络攻击的兴起,以及云计算、大数据等新技术的出现,NTA技术的应用范围得以进一步的拓展。Transparency Market Research发布的对2018-2026年内的全球网络流量分析市场的报告指出,到2026年左右,NTA的市场规模将接近53亿美元左右。
在攻防对抗中,银行业客户非常看重安全产品的检测能力,这也是NTA受到关注的一个重要原因。当然,有效的网络安全分析技术并不只有这一种,NTA与IDS等产品从设计到功能上存在若干交叉重叠之处,未来网络流量分析法综合运用多重检测技术,以场景为导向,将全球威胁情报作为补充,实现更大范围、更加精确的威胁检测。
七、入侵检测系统(IDS)
入侵检测系统(intrusion detection system,IDS),常与入侵防御系统(Intrusion Prevention System,IPS)一起出现,前者用以发出警报,后者能够有效的阻止攻击的发生。IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报的网络安全设备,它包括事件产生器、事件分析器、响应单元,事件数据库四个组件。
按检测方法的不同,可分为异常入侵、误用入侵检测。前者要建立一个系统访问的正常行为模型,凡是不符合这个模型即被断定为入侵;后者则是将不可接受的行为归纳为一个模型,凡是符合这个模型的行为即是入侵。因此现在同样多采用两者结合的模式。
由于当代网络发展迅速,网络传输速率被大大加快,这给IDS工作造成了很大负担。同时,也造成IDS对攻击活动的检测可靠性不高,同时由于识别技术的不完善,会造成较高的虚警率。另外,基于主机的IDS会使用本机的资源,因此会对性能有一定影响。
为保护银行业的内网资源,传统的防护手段是在Internet入口处部署防火墙系统来保护安全,但这种“外紧内松”的方式对信息流的控制缺少弹性,内部缺少必要的检测手段。据统计,80%以上的入侵来自于内部,而对企业内部人员作出的攻击,防火墙形同虚设。IDS则是对防火墙的有力补充,能保证入侵者对系统发生危害前及时发出警报。二者相结合的防护策略成为解决银行业的安全隐患的常用手段。
八、端点检测与相应(EDR)
端点检测与响应(Endpoint Detection & Response,EDR),是一种新兴的主动监测端点安全的办法。目前,国际数据公司(IDC)的报告显示,70% 的成功的数据泄露始于终端设备。随着黑客情报的不断增长,银行业等金融机构毫无疑问会加强自身端点检测及响应保护能力。
EDR的价值在于监视终端的可疑活动,感知其异常行为。一旦端点有触发警报的异常迹象,可立即自动开启调查来确认端点是否受到攻击或被劫持,在针对勒索软件、可疑用户行为、合法程序滥用上优势明显。此外,EDR还具备响应时间很短、显示攻击路径和攻击动作的优点,其编译数据的方式使分析人员更容易查看,大大减少了需要分析的数据量。
与其他预警程序单纯的预防功能不同,EDR描述的是整个攻击过程,并帮助你跟踪可执行文件是如何获得对计算机的访问权限并尝试运行的。对于一些较隐蔽的攻击,EDR会警告你攻击未遂,当攻击者已经绕过你的所有防御措施并在你的网络中时,EDR 会为你提供洞察能力。
随着EDR市场的逐渐完善,其功能将与人工智能引擎、白名单、漏洞评估之类的强化技术进一步结合,以贴合市场的实际需求。值得一提的是,Gartner预计未来几乎所有端点和服务器保护解决方案最终都将集成EDR功能,这也侧面反应了EDR逐渐受到市场的广泛认同。
小结
根据 Infosecurity Group 的数据,每天至少有360,000个新的恶意文件被检测到,这意味着公司必须积极应对这些威胁,更高效地去打击和发现各种潜在威胁。
单纯的防御手段过于被动,为应对各种网络风险,需要通过各种威胁检测手段进行分析。在本文中,我们归纳总结了常见的安全检测手段。但凡事终有两面,预测再及时,也不能完全避免网络攻击的发生,在下篇文章里,我们会对各种防御手段加以分析,谢谢大家的关注。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
