金融行业要立足应对高级威胁构建综合防御体系

时间 :  2020年09月21日  来源:《金融科技时代》杂志社


1、引言


        金融信息基础设施特别是关键信息基础设施的状况,直接关系到国家金融安全和广大人民群众的切实利益。一方面,由于金融行业的高价值性,针对其信息基础设施的网络攻击时有发生;另一方面,在经过快速的数据积累后,金融行业信息采集使金融机构和设施成为入侵活动的重点,与此同时带来的数据资产安全风险不容忽视。

        随着我国信息化高度发展,网络安全风险也随之加剧。国家机密和重要数据被窃取、工业生产被攻击、金融资产被盗窃、科研成果被抄袭……各种风险挑战接踵而至。从个体攻击者,到以超级大国为背景具有超高能力的网空威胁行为体都活跃其中,水平越高的威胁行为体的攻击体系性越强。

        “物理隔离御敌于城门之外”是单点防御思维,无法对抗这种体系性的攻击威胁,需要以“敌已在内、敌将在内”作为敌情想定,构建动态、综合的网络安全防御体系。


2、复盘一个针对金融体系的“致命攻击”


2.1 网空威胁行为体的分级

        网空威胁行为体是网络空间攻击活动的来源,有不同的目的和动机,其能力也存在明显的层级差异。从作业动机、攻击能力、掌控资源等角度,北京安天网络技术有限公司(以下简称“安天”)将网空威胁行为体划分为7个层级,分别是业余黑客、黑产组织、网络犯罪团伙、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体。其中,超高能力国家/地区行为体(或称为超高能力网空威胁行为体),往往拥有超级大国情报机构背景,具有严密的规模建制,庞大的支撑工程体系,掌控体系化的攻击装备和攻击资源,可以进行最为隐蔽和致命的网络攻击。安天将这种网络攻击称为A2PT(高级可持续性威胁)。这种类型的攻击需要长期跟踪分析研究,才能了解其规律。安天在2019年6月发布了《“方程式组织”攻击中东SWIFT服务商事件复盘分析报告》,深度复盘了这起针对金融服务机构的A2PT攻击活动。

2.2 SWIFT服务提供商遭遇A2PT攻击

        “方程式组织”(EquationGroup)的背后是美国情报机构NSA,是典型的超高能力网空威胁行为体,而此次攻击行动的目标EastNets正是中东地区最大的SWIFT服务提供商。

        总部设在迪拜的EastNets是全球金融服务领域的合规和支付解决方案提供商,提供多种涉及SWIFT交易的服务。包括一些大型国际金融机构在内的750多家客户依赖EastNets的解决方案和专业服务,270多家企业和金融机构依靠EastNets提供外包SWIFT连接和合规软件解决方案。EastNets在全球主要城市设有地区办事处,并由广泛的全球战略合作伙伴网络提供支持。2019年6月,安天基于多年持续跟踪分析超高能力网空威胁行为体的成果,结合影子经纪人所泄露的信息,以态势感知视角,完整复盘“方程式组织”攻击中东最大SWIFT服务商EastNets的整个过程。按照威胁框架将整个攻击过程的动作逐一进行精细化拆解,通过回放每个攻击分解步骤,分析每个攻击步骤中防御方在基础结构安全工作、防御纵深设置、事件采集与留存、系统配置策略、安全产品布防等方面的不足。

2.3“方程式组织”攻击中东SWIFT服务商事件复盘

        通过分析“方程式组织”攻击行动可以发现,EastNets网络环境按照不同功能特性从VPN接入、区域边界再到分管理服务器、应用服务器、数据库服务器等进行了一定的层次和分区设计,各个逻辑分区之间也布置了基于端口、IP的访问控制策略,部署了企业级防火墙,并且在服务器上部署了主流品牌的安全防护软件。即使这种网络信息系统具有一定的基础防护能力,但在面对超高能力网空威胁行为体的攻击时,依然被攻陷。

        遭遇攻击的SWIFT Alliance Access(SAA)服务器有10台,其中6台分属5家中东地区银行,有3台为多家银行共享的SAA服务器,1台为共享SAA的备份服务器。这些服务器的操作系统均为Windows Server 2008,安装了赛门铁克的端点防护软件,服务器配置了相同的管理员口令。

        被窃取的信息资产主要有网络设备和网络安全设备的登录凭证、SAA业务服务器中多家银行机构的业务数据(如账号名、账号状态、密码)等。根据对网络设备和网络安全设备的配置文件信息进行分析,有不少于300个登录凭证被窃取。表1展示了经过屏蔽处理后的部分被窃取信息,从这些信息可以判断,“方程式组织”的攻击目的是获取部分其感兴趣的账号、密码,并进一步获取其资金情况、交易信息和资金流动轨迹等。

表1被窃取的部分信息资产信息


        能够绕过这些包括网络边界的VPN防火墙设备、企业级防火墙设备、管理服务器以及支撑SWIFT业务的SAA服务器,窃取到大量的资产敏感信息,超高网空威胁体的攻击装备大致分为3类:漏洞利用工具和攻击平台、持久化工具、控制/后门恶意代码,全套攻击装备拥有覆盖全平台全系统的攻击能力。

        从总体攻击上看,攻击者通过全球多个区域的跳板机器,使用多个0Day漏洞突破多台Juniper SSG和Cisco防火墙,然后植入持久化后门,使用“永恒”系列的0Day漏洞控制后续的内网应用服务器、Mgmt Devices(管理服务器)和SAA服务器。除了突破防火墙外,攻击者还突破了处于外网的邮件服务器,对外网的邮件服务器和同网段内的终端进行了扫描和信息搜集(如安全防护软件和应用软件的安装情况)。在部分攻击过程中,虽然还存在未能向终端植入持久化模块的失败操作,但通过多次入侵路径的先后配合,“方程式组织”最终还是完成了对EastNets网络中全球多个区域的银行机构数据的窃取。

2.4 被攻击资产简况和威胁框架分析

        在此次攻击中,EastNets网络遭受攻击的资产包括VPN防火墙设备、企业级防火墙设备、管理服务器、应用服务器、SWIFT业务服务器、终端主机信息、登录凭证、安全防护软件与应用软件等资产;至少有10台以上的网络安全设备和网络设备被攻击或被探测,主要以Cisco和Juniper两个品牌为主,相关设备名称、软件版本、开放端口等信息,被“方程式组织”完全获取;2台管理服务器和4台应用服务器被攻击。安天将分析工作映射到TCTF威胁框架,看出整个攻击活动跨越整个杀伤链的全程。这符合超高能力网空威胁行为体的活动特点,也为构筑防御体系提供了极为关键的敌情设定基础,如图1所示。

图1“方程式组织”攻击SWIFT服务商事件攻击动作TCTF威胁框架映射



3、建立起有效防御高级网空威胁行为体的防御体系


3.1 金融机构需对抗高度复杂的攻击活动

        与传统金融机构更多依靠物理空间安全手段保证信息系统安全不同,在互联网时代,金融机构的运行高度依赖于信息系统。由于为大量互联网用户提供服务以及开展银行间跨国汇兑转账等业务,金融机构的信息系统已经是一个事实上存在着互联网侧多暴露面的系统。在已有攻击事件中,金融系统的服务网站、网银接口、工作电子邮件信箱、跨行转账服务等,成为攻击的入口。尤其是电子邮件,会直接暴露信息资产,极易成为攻击者的攻击入口,且员工邮箱遭受攻击后,容易在内部实现基于邮件信任链的攻击,导致连锁反应。

        在A2PT级别的攻击背景下,金融关键信息基础设施更需要在实战化的安全运行环境中检验和持续提升防御能力。以资产安全运维平台明晰资产底数,形成网空地形,建立统一安全补丁、统一安全策略分发调整体系,实现有效的资产安全加固。通过端点侧、网络侧、分析侧的有效数据采集、情报生产,建设态势感知平台系统并进行数据汇聚和分析,形成有效的安全策略。安天正在研发的战术型态势感知平台,在全线产品体系的支撑下通过全面监测和发现、自动化甄别与研判威胁,辅助资产安全运维,利用多源威胁情报和私有化生产的内部情报,赋能客户,协助其客户开展网络安全防御体系的构建和防御能力的持续提升。

        安天在国际网络安全研究机构SANS所提出的“滑动标尺”模型的基础上,与国内多家能力型厂商共同约定为基础模型后,进行了延伸拓展,提出了叠加演进的网络空间安全能力模型。该模型将网空安全能力分为五大方面,其中基础结构安全、纵深防御、态势感知与积极防御、威胁情报四大方面的能力是网络安全防御体系所必需的。将防护目标所处的物理环境、通信网络、计算环境、应用和数据等技术层次与叠加演进的模型有效关联融合,能够迅速地找到所需的安全举措。在可管理性有保障的基础上,结合合理的防御纵深、态势感知与积极防御,才能发挥相应的作用,协同指挥部署安全的产品,使威胁情报的价值以最大化。对抗高级网空威胁行为体,必须在态势感知、积极防御以及威胁情报方面进行系统的建设与投入,但这种投入的有效性又依赖于基础结构的安全和纵深防御的支撑。需要看到的是,态势感知、积极防御和威胁情报都需要高成本投入,这符合安全对抗既是体系对抗也是成本对抗的特点。

图2基于“滑动标尺”的叠加演进安全模型




3.2 洞察威胁、系统规划、有效防护

        (1)金融机构须直面开放式场景和信息系统规模增长带来的安全挑战,全面提升网络安全规划能力,落实全生命周期的安全规划建设运维。传统银行系统依靠物理安全隔离保障自身资产的时代早已过去,随着跨行转账、通存通兑的广泛应用,类似SWIFT等服务必然成为在公网上可以到达的基础设施。因此,必须立足于开放式场景的现实条件、信息系统规模日趋扩大和复杂度日趋增加的前提,在规划、建设和运维的全生命周期同步提升网络安全整体能力。

        (2)重要信息资产和规模性信息资产,需要以“敌已在内,敌将在内”作为客观敌情设定。鉴于当前信息系统的规模、供应链的复杂程度以及各类信息交换的必然性,将威胁阻挡在边界(安全网关或网闸)之外已经是一种不现实的想象。对于掌握大量突破隔离网络装备、可以渗透配送物流环节、进行上游供应链预置作业的超级网空威胁行为体来说,其既能从网络边界逐层突破,也能借助其他作业手段直接建立内部桥头堡。

        因此,针对关键基础设施和重要信息系统,必须将“敌已在内”和“敌将在内”作为最基础的敌情设定。安天在2017年提出了“有效的敌情设定是做好网络安全防御工作的前提”的观点,即是源于军事演习的防御思考。但在过去两年的不断推动实践中,安天日趋感到网络空间所面临的风险比演习设定更为严峻。“敌将在内”可以作为一种设定,指导“防患于未然”的规划;而“敌已在内”,则已经构成了“现实战情”,需要具备将威胁行为体“找出来,赶出去”的威胁猎杀能力。

        (3)参考“威胁框架”,更新对威胁行为体和攻击活动的系统性认知,以深化和完善敌情设定,进而改善防御。网络防御者必须直面高级网空威胁行为体,而后者掌握着大量高级装备和攻击资源,其行动是复杂过程组合的既定事实,但复杂的过程并不必然均由“高级”的攻击手段和“高级”的装备支撑。一方面,一些低级的配置错误和未及时修补的漏洞会成为威胁行为体的入口;另一方面,高级网空威胁行为体也会劫持和利用低级网空威胁行为体所掌控的僵尸网络等资源。将安全防护工作视为对各种威胁类型(如恶意代码、DDoS、网站篡改和僵尸网络等)的一一应对,进行产品堆砌,显然不能组合起有效的防御体系。而从威胁框架出发,针对威胁的每个阶段、逐个行为进行推演,无论对评估当前防御体系及相关安全产品能力的有效性和合理性,还是对形成体系化的防御规划与建设目标,都是一项有益的工作。

        (4)任何单点环节均可能失陷或失效,包括网络安全环节本身。在复盘过程中可以看到,虽然整个SWIFT系统使用了两层防火墙,但攻击者基本上对所有的主流IT设备场景(包括各种主流防火墙),都有针对性的开发了适配性的攻击装备,所以任何单点环节均可能失陷或失效,包括网络安全环节本身。防火墙是一种必备的网络安全设备,如为重要边界安全设备配套类似安天探海等全流量监测和记录设备,再通过单向网闸将数据结果摆渡到内部,供态势感知平台进行深度分析,是一种行之有效的方式。其不仅可以弥补防火墙设备检测深度不足的缺陷,进一步提升边界防御能力,而且也能够留存对防火墙的攻击流量记录,为后续可能的威胁发现、取证、溯源、猎杀等工作提供必要基础。

        (5)全面精准的已知威胁检测防护能力和未知威胁发现能力都非常重要。在敌情设定下,可以看到,高级网空威胁攻击者所使用的攻击装备有极大可能是“未知”的。这种“未知”是指在局部或全局条件下,攻击装备对于防御方及其维护支撑力量(如网络安全厂商)来说,是一个尚未获取或至少不能辨识的威胁。但如果对已知威胁都不能进行有效防御,那么对超高能力威胁行为体的防御就更加难以实现。类似攻击EastNets所使用的漏洞利用工具在被分析报告揭示后,都成为了“已知威胁”,而被更低级别的攻击者所广泛利用,造成了更大的影响和损害。因此,有效防御这些威胁是必备的基础能力。未知威胁无法杜绝其首次突破防御的可能,应通过合理的防御体系来控制其活动的影响范围,限制其横向移动的能力。由于原有检测能力不能对攻击者实现留痕,所以需要更全面的数据采集能力和基于失效设计的防御纵深。同时,在与威胁对抗的过程中,能够对海量已知威胁事件进行精准检测也是必不可少的能力需要。

        (6)态势感知必须面对战术响应,才能够应对高速多变的网空威胁。不能停留在对“宏观态势”的“把握掌控”和策略调整上,基于PDCA循环的信息安全生命周期也无法抵御快速发生的攻击行动。例如此次行动,其攻击装备和相关技术动作都具备极高的隐蔽性,既不会触发防火墙、入侵检测和主机杀毒软件的相关告警,也不会带来明显的流量异常和突变,其相关的横向移动、控制与窃取操作混杂在系统正常流量当中。及时发现这种微观细节的差异,并快速针对该事件进行检测、理解、决策制定和行动执行,从而实现抵御攻击、进行恢复乃至实施反制是积极防御的目标。这种态势感知体系不是简单宏观层面的“监测+大屏”,而是复杂的战术型态势感知平台体系,是安天人正在全面发力的重要战略方向。

        (7)保障重要信息资产和规模性信息资产安全,必须建立起实战化运行机制。“体系化的防御”不仅是体系化的安全产品部署,“态势感知”也不仅是机器的态势感知。要发挥体系的作用,需要建立完备的安全运行流程,落实安全运行相关角色与职责,制定和完善配套的安全运行规范流程。尽管在基础结构安全和纵深防御方面部署的安全举措多数无需人参与即可生效,但也需要人工进行更新、维护和审计等相关工作,及时和持续开展这些工作是保障安全措施有效的基础。要建立起“资产、配置、补丁、漏洞四打通,运维安全一体化”的基础安全运维能力。态势感知与积极防御工作是围绕网空防御人员设计展开的,也就更依赖于实战化的运行机制,才能让“人在闭环之上”发挥出关键能动性价值。未来,安全厂商提供的安全产品、系统、平台都必须满足整体实战化运行的要求。

        (8)超高能力网空威胁行为体并非是无法应对的,既要对其面对超高能力网空威胁行为体能力有充分的认识,又要避免将其神化从而导致防御的虚无主义。以同批次攻击事件为例,“方程式组织”在本报告复盘分析的“JEEPFLEA_MARKET”行动中展示了超级攻击能力,但在被曝光的另一起针对BCG的攻击行动“JEEPFLEA_POWDER”中则未成功。对高级网空威胁,从防御到猎杀,不能基于偶然性,不能寄希望于超高能力网空威胁行为体的“高抬贵手”。需要坚定与之斗争的信念,要清晰地认识到与应对敌情所需的防御能力之间的差距,坚定投入的信心和决心,做好长期、持续和扎实的基础工作。


四、总结


        我国当前的金融信息化发展水平较快,在网络安全防护方面也积累了大量模式和经验,但同时也面临着更高的安全风险,需要应对超高能力国家/地区威胁行为体所发动的网络攻击,这些行为体具有坚定的攻击意志、能够承担巨大的攻击成本。在大规模工程体系的支撑下,进行体系化的攻击作业。防御这一层面的网络攻击,需要以能力导向建设,按照“综合发展、深度结合、全面覆盖、动态协同”的安全理念,形成高水平的防御能力。如习近平总书记所说,“那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。”在这个过程中,中国的能力型安全厂商,不仅要做好当下,也要逐步放眼全球,与中国金融机构共同积累沉淀安全防护理念、经验和解决方案,将中国金融信息基础设施安全防护的经验向全球输出。