銀行業如何扭轉當下安全領域的攻防不對等挑戰
近幾年“網路安全態勢感知”的概念被無數次提起,在以銀行為代表的金融行業中,部分銀行客戶開始對建設“安全態勢感知”平臺的必要性和可行性進行了大量探索和實踐,盛邦安全認為出現這種局面,主要有兩方面驅動,一是國家政策層面的推動,另一方面是銀行客戶面臨現實挑戰的實際業務訴求驅動。
政策驅動:國家和行業監管政策催生更高階的安全威脅檢測技術和態勢感知方案
2016年12月27日國務院刊發了《“十三五”國家資訊化規劃》,再次強調態勢感知的重要性。“十大任務”中的最後一項——健全網路安全保障體系,提出“全天候全方位感知網路安全態勢”和“加強網路安全大資料探勘分析,更好地感知網路安全態勢,做好風險防範工作”,與習總書記在419網路安全和資訊化工作座談會上的講話以及2017年生效的《網路安全法》的要求一致。
另外,銀行業監管機構歷來對資訊保安風險監管要求嚴格。2017年銀監會發布《中國銀監會辦公廳關於加強網路資訊保安與客戶資訊保護有關事項的通知》簡稱(銀監會發布(2017)2號文),指出金融機構及銀行應加強應用安全防護,建立事前、事中、事後的安全控制體系;支援日誌的檢測審計,對入侵事件的危害和範圍進行事後溯源和評估。以上,國家和監管機構相關政策的陸續出臺,加快了新的威脅檢測技術的誕生。
業務驅動:銀行客戶基於大資料分析的態勢感知需求是安全攻防能力不對等的產物
在全球金融資訊化發展的同時,黑產也在不斷進化和升級。高階惡意程式碼以快速變種、多樣化和動態互動的形式不斷演化,並在近幾年產生了強烈的攻擊效果。如:WannaCry, Petya等。網際網路每天新增的惡意程式碼和惡意網頁都在數十萬的量級,嚴重威脅著使用者網路安全。這些惡意程式碼,和傳統病毒相比,變種更多、更新更快,傳統檢測方式更難發現,攻擊多以經濟和商業利益為導向,實施大面積傳播。安全人員面對如此量級的惡意程式碼,完全依靠人工分析顯得力不從心。
隨著安全技術的積累和發展,無論是傳統的日誌審計,還是國內外應用廣泛的SIEM和SOC,完整方案裡實際上都包含大量的人工服務,通過日誌採集、關聯分析後的內容,依然需要大量的人工服務對資料進行二次分析和處理,龐大的人員和時間成本,無法有效應對高階持續威脅。另一方面,APT攻擊具有“海陸空”(不同攻擊載荷、攻擊方式、攻擊維度)全天候、全方位打擊的特點,採集單一的資料來源是遠無法提供安全趨勢分析的;傳統SIEM與SOC往往通過採集裝置日誌做分析,這些日誌資料本身已屬於“二手資料”,資料受限於不同裝置種類、品牌等,採集端裝置本身的威脅檢測能力也參差不齊,最終導致了資料誤報率居高不下,缺少具有高價值的元資料和具有金融行業特性的威脅情報支援。
安全攻防能力極度不對等,使決策者需要通過態勢感知工具瞭解當前環境的連續變化情況,從而更好地進行決策。
解決方案:基於大資料&人工智慧的態勢感知方案滿足以銀行為代表的金融行業需求
2011 年,韓國農協銀行外包人員電腦上的病毒傳染給了銀行 IT 系統,黑客進而侵入農協銀行長達 2 個月。黑客不僅破壞銀行正在執行的 IT 系統,還破壞了全部資料副本。最終農協銀行系統癱瘓,全部資料丟失。部分紙質資料通過人工回傳,而網上交易資料永久性丟失,農協銀行被迫停業 3 天,損失慘重。
通常金融系統的“外部安全堡壘”建設較為完善,但APT攻擊的強目的性往往藉助釣魚郵件、水坑攻擊等結合社會工程學的攻擊,從內部瓦解金融系統堅實的安全堡壘。通過變種木馬、勒索病毒,DGA域名組建僵屍網路、挖礦木馬、暗網流量等對金融系統造成嚴重安全威脅。而隨著針對金融行業的APT攻擊事件愈演愈烈,傳統的啟發式檢測對變種木馬病毒、勒索病毒等存在檢測難、誤報高的問題,常規的防禦體系面臨溯源取證難、缺少專業威脅情報支援、存在資訊洩露風險等困難。
為滿足金融行業目前面臨的問題和實際需求,我們需要利用基於大資料機器學習技術對已知威脅進行頻繁行為模式挖掘,然後通過專家分析篩選,提取惡意行為模式庫,並與可疑樣本在沙箱中的行為進行對比,檢測未知威脅;通過多種檢測技術交叉檢測來提高檢測率;同時,通過檢測網路流量中的DGA域名,定位網路內部已經被控的主機。融合安全裝置,具備威脅情報檢測、網路異常檢測、下一代入侵檢測、多AV檢測、基因檢測和沙箱行為檢測等多種安全能力,有效減少客戶投資及運維工作;從“端、邊界、雲”的空間維度上以及 “預警、監測、分析、清除”的時間維度上實現安全防護的閉環管理,真正做到 “全天候、全方位感知網路安全態勢”,滿足金融行業APT檢測的迫切需求。