证券业金融企业网络安全建设进阶 ——运用攻击者视角搭建企业防御框架

攻击者视角

为了保护低价值目标而投入过多资源是不经济的。防守方学习攻击链（攻击过程），以攻击者思维换位思考攻击目的，识别攻击者眼中的高价值目标，进而定义防御目标，才是有效应对之策。

攻击链

简单来说，攻击链就是攻击者常见攻击过程，包含信息收集、探测、渗透攻击到实施恶意行为等步骤。通常，攻击链可以图x形式展示。不同攻击方式的攻击过程可能不同，半数攻击者每一次都会改变具体攻击方法。

图X 攻击链

FireEye 在2017年3月发布的《Mandiant M-Trends 2017 Report》[2]中显示，针对金融企业的攻击者采用*** 邮件攻击时，会运用社会工程学辅助。为了绕过企业邮件安全网关防护，在发送含有恶意链接或恶意附件的邮件之前，通过电话与内部员工联系，获取员工信任放行收到的*** 邮件，完成攻击过程。这个示例攻击过程并不包含控制主机和战场清理。

攻击动机

了解你面对什么样的攻击者，可以让你理解他们的动机。

在2017年上半年，针对证券业的信息安全威胁主要由DDoS攻击、WannaCry勒索事件、客户资料数据窃取等，需要关注事件背后的攻击动机。如果有人用脚本小子(Script Kiddie)取得的工具来攻击你，这可能并非严重的威胁。如果有人用新的漏洞和精心设计的恶意软件来攻击你，如绿盟公司在2015年发现的证券幽灵攻击，潜伏最长十多年，默默窃取交易数据，那就要重点关注了。他们的能力可能也反映了他们的意图。例如，故意破坏（如篡改网站）比较可能是激进黑客，或许是政治目的攻击活动。但大多数攻击的目标是窃取信息，有时可能是可以马上换钱的金融信息，如支付凭证。有时可能是更加敏感的信息，如公司机密。《Mandiant M-Trends 2017 Report》中显示，较之欧洲、美洲区域，亚洲金融行业是全世界黑客主要攻击目标，针对金融企业的攻击复杂性逐步增加，攻击特点是不摧毁，更贪婪。

防御框架

理解和分析攻击链是关键，可以帮助企业在必要阶段部署适当的防御控制。运用攻击者视角，搭建企业防御框架。笔者建议防御策略包含明确防御目标、开展信息对抗、技术对抗、运营对抗三方面进阶建设。

明确防御目标，莫过于确认攻击者的动机，然后根据此动机判断入侵最可能发生的节点以及攻击方式，并拟定针对性的入侵防御方案，对目标进行重点防御。

图X  防御框架

信息对抗

信息对抗，目的是知己知彼，提供针对性设防的有效信息，并在事件发生时持续监控，获取攻击者攻击行为的信息。威胁情报就是有效信息，还原已发生的攻击事件、预测未发生的攻击威胁和提供应对建议，通常包含IP信誉库、漏洞库、武器库等，可为企业安全团队提供如何响应威胁或危害的决策信息。信息对抗关注信息的时效性和行业属性，如网络游戏行业、政府、金融企业的攻击者和攻击动机差异很大。

证券业对外服务的重要系统以交易WEB平台和交易APP为主，通过收集威胁情报，掌握国内外已发生的特定信息安全事件所利用的已知漏洞，是否与企业交易WEB平台存在的漏洞，或交易APP某项业务流程缺陷有关联，从而提出漏洞缺陷修补优先级。威胁风险分析过程需要将信息资产、存在漏洞信息、威胁信息综合分析，得出风险高低结果。

目前，已有国内安全厂商可提供威胁情报平台，支撑企业威胁风险分析和决策。

• IP信誉库

IP信誉库提供攻击源信息，通过配合设备指纹、时间属性来锁定攻击者的身份和物理位置。对于企业来说，一旦攻击者实施了恶意行为，如盗取第三方企业数据，就可以根据溯源结果进入法律程序。

通常，为了方便使用，提高溯源和运营效率，IP信誉库信息以攻击类型进行分类。

图X IP信誉库分类表

• 漏洞库

Struts2依靠连续5个漏洞成为2017上半年的一个焦点。在S2-045爆发的一周内，绿盟科技威胁情报中心监测到19,396次针对该漏洞的攻击尝试。针对Struts2利用的攻击次数超过所有框架及应用漏洞攻击总次数的80%。当有关键业务运行于Struts2框架之上时，24×7的漏洞监视机制、小时级的通报响应机制变得尤其重要。

• 武器库

武器库提供攻击者攻击方式的有效信息。以XSS攻击为例，XSS是WEB应用攻击威胁，又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是攻击者往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害通常是窃取cookie、放蠕虫、网站*** 等。利用过程即攻击者找出站点内动态表单页面，如含有富文本编辑器（自定义样式）的注册页面，通过插入特征文本、构造XSS代码、猜测过滤规则、用等价代码替换实施攻击。之后，只要用户注册该平台会员账号，这个包括恶意脚本的页面就被其本地浏览器执行，攻击者就可能获得该用户终端浏览器当下进程的注册信息（cookie）。整个过程未控制主机，仅是植入恶意脚本，即实现数据窃取的恶意行为。图X是XSS攻击核心步骤展示。

图X XSS攻击核心步骤

• 威胁处置效率

为了有效地应对挑战，需要快速适应信息安全管理理念的变革，那就是将传统安全投入只注重防护”Prevent”，不断向检测、响应、预测和持续监控转移，实现动态适应。只有化被动安全为主动安全，才能及时检测正在发生的威胁，甚至预测即将发生的威胁，快速地响应将成为安全团队新的聚焦点。

威胁处置效率，从被攻陷到处置的耗时，是衡量最高级别威胁处置效率的指标。平均检测时间(MTTD)和平均响应时间(MTTR)作为两个衡量企业安全能力的关键指标，已经被更多企业采纳。 MTTD是企业识别出影响公司的威胁所需的平均时间。这些威胁表现出实际的风险，需要进一步的分析和响应工作来验证。 MTTR是企业完全分析威胁并控制和解除威胁所需的平均时间。MTTD可被计为企业信息环境中第一次证明(收集到的)的威胁到其真正被安全团队发现的这段时间。 MTTR可被计为从威胁被检测确认到最终锁定存在风险或解除风险的这段时间。根据2016年FireEye(火眼)公司发布的报告，企业从被攻陷到发现的平均时间(MTTD)是146天。而平均MTTR是30天。

不难看出，降低MTTD和MTTR必须建立有效的威胁检测和响应生命周期。 而在这个检测与响应的每个阶段，能够以威胁情报驱动，并不断优化每个阶段的安全操作流程有效性的公司可以实现MTTD和MTTR的显着改进。

• 技术对抗

通过部署抗拒绝服务攻击、网络入侵防护和恶意程序防护措施提高基础安全水平。以信息安全经理思路开展安全建设，可参考笔者编写的《证券类金融企业网络安全建设方法与思路》。结合证券业现状，我补充对于证券业适用的漏洞管理问题、客户资料泄露应对、互联网资产暴露检查方法。

• 漏洞管理

通常，证券业金融企业自身拥有互联网信息系统和内部信息系统，防护对象重心是互联网侧系统。WannaCry勒索事件，证明内网不是绝对的安全。攻击者利用已知高危漏洞，采用蠕虫传播恶意木马，对内部信息系统（办公终端）发起攻击。

如何在种类繁杂数量众多的漏洞中，明确修补加固优先级。笔者建议，首先梳理资产，识别哪些是核心系统。证券业的核心业务大致是开户APP、交易APP、理财APP及门户网站。之后，明确每个系统的责任人。通常，系统的拥有者就是第一责任人。然后，设定漏洞管理安全红线，通过梳理历史漏洞，采用清单列表形式将必须加固整改的漏洞列示出来。

漏洞整改清单，是将漏洞分为三类：厂商补丁、配置管理、操作类。厂商补丁修复方法可能为打厂商补丁或升级软件版本，配置管理类修复方法可能为修改配置文件，操作类漏洞修复方法可能为执行某操作。各系统管理员对服务器的漏洞进行修复时，对清单中漏洞风险等级“高”，必须修复，并明确修复时间计划。其中，对涉及打补丁、升级版本的修复方法，首先按要求确认安全处是否发布补丁或版本，如未发布，可不修复；如已发布，可在变更时间内修复该漏洞，并明确修复时间计划。漏洞检测和加固的可选方式如下说明。

图X  漏洞整改清单示例

• 漏洞检测

• 在线检测，输入互联网应用URL，在线检测WEB应用漏洞

• 日常检测服务，由第三方安全厂商提供服务，如绿盟网站监测服务包含漏洞扫描与验证服务

• 扫描器检测，采购或租用漏洞扫描工具，由企业自有团队开展定期漏洞检测工作，可使用绿盟RSAS和WVSS对Web应用进行扫描

• 漏洞加固

• 补丁修复，下载官方补丁并安装

• 临时方法，如暂时无法升级Struts框架，可以采用禁用XML请求

• 纵深防御，互联网接入区部署入侵防御系统IPS

• 客户资料泄露应对

多数情况下企业仅凭依赖其IT部门来完成防护重点对象的确认，但实际上重点防护对象不仅限于IT部门所管辖的IT资产。

应对数据泄露的安全防护方案是个大课题，本节介绍在明确系统范围和特定数据（客户姓名、手机号码、交易账号）场景下的安全分析思路。基于此，后续扩大范围覆盖，逐步提高数据防护能力。

证券业客户开户APP和在线交易APP，梳理APP重要数据流，找出相关系统处理客户信息（手机号码、交易账号）的所有场景，包含数据生成、存储、传输、使用、导出/下载、删除，评估结果是提交关注数据存在泄露风险点，并对高危风险点提出整改建议。

• 互联网资产暴露检查

攻击者探测扫描攻击对象，暴露在互联网资产每天被上百次扫描司空见惯。绿盟科技《2017上半年网络安全观察》中显示，全球和国内物联网相关设备暴露情况，路由器、网络摄像头等设备的暴露数量统计。

图X全球和国内物联网相关设备暴露情况

证券业广泛采用CDN技术在全国设置多个分节点，提供用户通过互联网连接访问。新上线业务开通审批相对严格，但一段时间后，业务的使用状况、端口开放情况就基本失控了。结合行业互联网资产在物理位置上的分散部署，更有必要开展暴露资产检查。梳理企业自身所有互联网IP地址段和域名（如能提供尽可能完整的二级域名信息会更好），通过工具检查可以发现企业安全团队未知的互联网存活资产。绿盟NTI平台提供互联网资产稽查服务，在2017厦门金砖会议安全保障期间广泛使用，评估结果对于重保和迎检很有价值，且传统的服务中较少涉及，是比较独特的价值。

• 运营对抗

运营对抗是真正意义上的攻击者与防守方之间的综合比拼，与人、规范化、自动化工具、有效度量和优化息息相关。这些方面的组合就是能力体现。笔者在此简要列举三个安全运营能力供读者参考。

首先，企业监控预警能力高低，企业越早检测到攻击，就越可能阻止攻击。其次，企业漏洞管理能力强壮与否，如足够健全，就能降低发生安全事件风险。再次，通过对漏洞规则重新按照事件的攻击链划分，结合告警日志分析，利用智能化的势态分析工具，准确还原出攻击的整个过程，就能对攻击做出响应，减少攻击带来的损失和对业务运维的影响。

1. 结语

何为网络安全建设进阶？笔者认为，证券业金融企业的信息安全经理和安全团队构成了防守方，最初选择分阶段的安全建设思路，让企业有一个最基础的安全保障。之后，运用攻击者视角，发现当下安全威胁趋势，开展如漏洞管理、客户资料泄露应对、互联网资产暴露检查等工作。伴随安全建设持续调整防御目标，逐步具备威胁情报管理、监控预警、应急响应处置能力。此过程中，可以结合第三方安全能力，依托其大规模的安全情报系统和专业、智能的大数据分析模块相互融合，协助提升企业的综合安全运营能力。

参考文献

[1]Nuix公司《The Black Report》，在2016年召开的BlackHat黑帽美国大会与DEF CON 24上，针对已知黑客人员（专业术语称为渗透测试人员）进行了一番调查，旨在了解其使用的攻击方法、偏好选择的漏洞以及在实际操作中发现哪些防御措施最具成效等问题。原报告地址：https://www.nuix.com/white-papers/black-report

[2]《Mandiant M-Trends 2017 Report》，FireEye