银行业DAO数字化安全运营体系研究

李丁炜 林叶明 孙 钢 袁 昱

(浙商银行股份有限公司 杭州 311200)

(浙银网络安全创新实验室 杭州 311200)

网络空间已成为陆、海、空、天之外的第五主权空间,网络安全事关经济发展、社会稳定、国家安全和人民合法权益.然而,在当下复杂国际冲突背景下,黑客活动愈发活跃,各类重点行业、政府机构遭受大量网络攻击,作为现代社会经济建设中的重要一环,金融业同样无法独善其身[1].除钓鱼欺诈、漏洞利用、DDoS攻击等手段以外,人工智能、星链技术、基础设施漏洞扫描等也不断被应用于网络攻击中,形成了网络威胁呈技术多样化、规模产业化的持续发展趋势.

银行业金融机构作为金融体系的主体重要组成部分,其业务繁多、结构复杂,并与社会各领域存在数据与业务交互层面的紧密关联.随着以大数据、云计算、人工智能、区块链等技术为核心的金融科技应用发展对商业银行业务模式的不断重塑,银行业务不再受制于时空局限,获得了持续性发展窗口[2-3].然而,在网络威胁呈爆发式增长的今日,银行业这一发展趋势势必导致网络安全风险敞口的扩大,针对巨量且持续增长的信息基础设施防护需求,需不断扩大网络安全防线,持续增加的安全设备给网络安全的科学化运维与精准化管控等提出了新挑战.在这样复杂的网络安全威胁态势下,如何构建并科学管理有效的网络安全防护体系、如何在海量业务数据与网络威胁条件下保障安全运营效率、如何对抗多变且无从预知的真实攻击是银行业金融机构迫切需要解决的问题.

1 银行业网络安全运营面临的挑战

1.1 异构安全设备冗杂,管理存在挑战

银行业网络安全防护体系建设主流以安全设备的完备为目标,即通过在边界、网络层、应用层、主机层、数据层等部署异构安全设备以形成防御纵深,确保攻击行为可以被至少一种安全设备识别.由此不可避免地存在因安全设备堆砌导致的种类多、品牌繁、功能杂的问题,不同种类、不同品牌设备间维护逻辑相互独立,在物理维护的基础上同样需要对安全策略与基线的维护付出持续的成本[4];同时,设备能力调用过度笨重,典型如IP封禁场景,难以实现针对特定需求对特定位置、特定型号、特定功能的防火墙封禁功能的灵活调度,使得安全运营面对网络威胁动态变化、防护需求动态变化的场景处于被动.

1.2 安全运营任务繁重,数字化困难重重

网络安全运营涉及事件、风险、策略、人员、基线等诸多方面,银行作为金融领域的关键基础设施运营单位,其网络安全运营面临业务量巨大与遭受网络威胁频繁的双重压力[5].对此,银行业需以运营数字化、标准化的方式应对日趋复杂、繁重的网络安全运营任务.然而,在纵深防御体系构建的思路下,企业虽异构大量不同品类安全设备,但因缺少标准化、集成化的能力接口,整体安全建设多呈零散状态,安全设备存量虽大,但难以从全局视角进行统筹,设备间安全能力亦无法有效融合.由此,单一安全运营动作只能对接单一类别设备,动作覆盖面狭窄,且持续产生的特性化安全运营场景依赖于定制化设计,难以固化为标准流程,势必导致安全运营数字化程度有限,仍需大量人力资源介入运营流程.

1.3 平战一体机制欠缺,实战对抗能力不足

实战化网络安全攻防演习已逐步成为银行业机构检验网络安全防御及运营体系能否抵御拟真场景下复杂攻击的重要手段.相较于平时,攻防演习通过模拟真实攻击行为使靶标遭受的攻击烈度剧增,为与之对抗,目标机构需大幅提高防御投入,通过临时性投入的专家资源确保现有安全能力的充分发挥.然而,在真实场景下,高强度网络攻击的产生无从预知,银行业同样难以承受战时剧增的安全运营成本的常态化[6];同时,因欠缺基于数字化技术减少安全运营过程中对专家过度依赖的能力,无从实现低安全运营强度的平时与高安全运营强度的战时2种不同运营场景间的快速切换,势必导致所构建的纵深安全防御能力难以有效发挥,在真实的网络攻击对抗中受制于人、消极被动.

2 银行业DAO数字化安全运营体系

本文基于对银行业网络安全运营所面临挑战的分析,结合银行业网络安全防护现状,提出了以防御层、能力层、运营层3层架构为基础、融合平战一体化机制的银行业DAO(defence, ability and operation)数字化安全运营体系,如图1所示:

图1 银行业DAO数字化安全运营体系

2.1 基础架构

2.1.1 防御层——纵深化防御基础

防御层通过由在网络边界、网络层、应用层、主机层、数据层所部署的异构安全设备以及包括态感、情报、攻击面等在内的管理平台所共同组建的防御纵深,打造基础的防御架构.该层呈分级部署的多层次、立体式结构,覆盖设施、网络、平台、应用、终端、数据等方面[7-8].

防御层通过网络边界防护部署,拒绝非授权访问,实现对外部攻击的主动防御阻断;监测网络层全流量,提供安全事件观测溯源能力;部署应用层漏洞扫描、动态防御设备,基于事前控制理念及时发现及消除应用系统安全风险;对主机及终端进行持续性资产核查、入侵检测、基线检查,同时结合蜜罐蜜网,进行攻击诱捕,分流攻击行为,提供反制能力;在数据层基于零可信理念和容器技术,严格实施数据脱敏、边界控制,防范数据泄露.此外,引入威胁情报、攻击面管理、有效性验证等技术,从提升风险发现能力、收集管理风险暴露面、持续性安全防护能力验证等方面,辅助增强各级安全防护设备能力,提高协同防御效率.

2.1.2 能力层——原子化能力中枢

能力层基于原子化理念,将来自于不同厂商或属于不同网络节点的不同安全设备,由整体拆分为一系列标准能力集合,从而消除其异构性及分布性以实现设备能力的抽象及对安全运营体系的标准化、规范化接入.该层次将防御层复杂的安全设备重整为独立的能力点,并赋予其特定标签,以供运营层根据安全防护需求、目标进行安全设备的精细化管理与安全能力的统一调度.

能力层依据企业安全能力框架,将设备能力细分为5种标准能力:1)识别能力.即对系统、资产、数据以及网络所面临安全风险的发现及确认的能力,多于资产发现及安全检测等场景中发挥作用,如资产识别、用户识别、漏洞识别.2)保护能力.即通过一定的安全措施以保障关键设施及服务的能力,如阻断、隔离、鉴权、封禁IP.3)检测能力.通过流量分析等手段,对攻击行为、业务状态、防护措施等进行即时监控,以主动发现网络安全事件, 检测目标包括探测扫描、漏洞利用、Web攻击等.4)响应能力.作用于安全事件发生或产生一定影响后,对事件进行调查、评估及止损,如事件调查、证据收集、情报查询.5)恢复能力.即在损失产生后,对系统进行恢复及对漏洞进行修复,并确定事件原因加以预防,包括恢复系统、修复漏洞、数据恢复等.

2.1.3 运营层——数字化运营总台

运营层基于能力层所提供的原子化安全能力,将涉及事件、人员、风险、基线、策略等方面的安全运营要素封装为标准化的安全运营动作,并依托于数字化建模及自动化编排技术,将特定场景流程固化为安全剧本,从而将众多系统及安全设备协同联动,融合人与技术于标准数字化流程中,使各项安全运营工作转化为一致的、可重复的且可测量的工作流.

基于识别及检测能力,运营层持续接入来自不同安全设备的威胁告警,通过固化的专家经验剧本,使安全事件响应过程数字化,降低响应时延.

针对安全运营中的安全专家、运维及管理人员,运营层将人工动作嵌入各工作流中,依需求分配人员工作并标准化协作流程与内容.

被动的威胁检测以外,运营层能够提供不依赖于人力的风险主动探测能力,基于低时间敏感度的主动探测任务协调人员与网络,错开业务高峰对风险进行风险主动发现及分类、分析及处置.

运营层支持系统基线的管理和维护,能够通过标准流程主动实施基线探测,确保系统始终处于标准的、安全的配置状态.

此外,基于设备安全能力接口,运营层提供了安全策略统一管理的窗口,从全局视角协调安全设备与运营层剧本,动态适应不断变化的安全需求.

2.2 平战一体化安全运营机制

针对银行业网络安全运营中实战对抗能力不足问题,围绕常态化、高强度、无间断的保护目标,设计平战一体化安全运营机制.通过防御层、能力层的基础建设,以及运营层的策略建设,多设备联动,进一步构建涵盖“基础能力、运营能力、作战能力”的平战一体化能力体系.基于DAO基础架构为安全运营提供的局部动态调整能力,能够针对战时需求,通过运营层场景切换,并借由能力层与防御层串联,扩展基础能力覆盖范围、打通运营能力协同路径、提升作战能力响应强度,如图2所示:

图2 平战一体化运营机制能力体系

平战一体化安全运营机制依托于DAO基础架构.具体而言,以防御层纵深网络防御基础为根基,以能力层、运营层为媒介,围绕日常运营、资产管理、漏洞管理、威胁管理、人员管理以及事件管理,固化平时常态化安全运营机制和流程,从而依据等保2.0、关基保护条例等打造基础能力及运营能力.同时,依托于资产管理、威胁情报等以及运营层所提供的场景编排能力,赋予企业安全运营作战能力,如全天候监测预警、溯源反制、威胁狩猎等.

由此,平时常态化基础能力、运营能力、战时能力叠加的安全运营,战时针对性增强关键防护反制的作战能力,从纵深防御体系、威胁研判策略、威胁响应策略、人员资源配置等方面展开,由平时向战时的转化,以实现2种状态的平滑过渡.

3 应用实践

3.1 基础架构建设

3.1.1 全方位感知安全纵深建设

基于DAO数字化安全运营体系,因设备冗杂导致的管理困难问题得到缓解,防御基础的全面性应为防御层建设的首要关注问题.即围绕网络安全、应用安全、主机安全及数据安全,以网络边界为起点,通过足量安全设备部署及异构,建立基于5道防线的防御纵深[9-10],如图3所示:

图3 防御层防御纵深架构

在网络安全运营中,围绕安全视角的资产管理始终是银行业机构的痛点,包括僵尸资产、信息不匹配、难以有效梳理资产暴露面等问题.基于攻击面管理(attack surface management, ASM)概念,将具备资产信息收集能力的设备所获取的资产信息进行归集、清洗及融合,并将机构互联网资产及内网资产进行关联,形成资产访问路径图谱,建设由资产、路径、弱点3元素构成的ASM平台,能够为能力层提供设备指纹查询、资产攻击暴露面管理等原子能力.

除开展攻防演习以外,入侵与攻击模拟(breach and attack simulation, BAS)技术能够提供常态化、智能化的防护有效性验证手段.基于BAS平台原子能力抽取及运营剧本编排,关联ASM平台,周期性对机构资产的安全设备防护覆盖率及有效性、资产漏洞修复率进行自动化验证.

3.1.2 原子化设备能力基础建设

能力层通过构建原子化设备实例实现对安全设备及其能力的管理.实例化过程包括设备安全能力抽取、设备指纹信息补充及标签化.表1所示为2种设备的实例化结果.

表1 原子化设备实例

进一步,将不同安全设备原子能力调用手段进行集成,关联至特定原子能力,从而封装为原子能力接口,供运营层调度.能力层通过API、命令行、本地脚本等方式接入安全设备.以保护能力——阻断IP为例,异构的防火墙产品所需输入参数、格式存在不同,例如输入IP可分为IP、掩码、IP段等形式,同时部分设备支持输入阻断时间.能力层将该动作入参固定为IP掩码及设备标签,通过内部逻辑将掩码转化为各防火墙所支持的格式,并固定阻断时间置为永久,同时根据设备标签对需调度的设备进行过滤,由此形成标准化的原子能力动作,即标准安全编排动作(standard security orchestration action, SSOA),对各设备进行统一调度,如图4所示:

图4 原子能力接口示意图

3.1.3 安全运营总台建设

安全编排自动化和响应(security orchestration automation and response, SOAR)技术通过对安全工具、专家经验以及运维操作进行规划、整合、合作和协调,将其以剧本的形式进行输出,以实现跨多个技术范式的安全事件自动化响应[11-12].运营层依赖于SOAR技术,以能力层为纽带集成离散的安全设备和平台能力,构建安全运营指挥中枢,建立包括威胁事件响应、离职风险处置、资产风险探测、安全基线检验、设备策略维护等各类场景剧本,并逐步融合人工智能、基于时空的关联分析等技术,在标准化数字流程的基础上建立辅助决策机制.同时,运营层以SOAR平台为基底,集成基于Java与Python的开放SDK,开放脚本与APP开发接口,实现特定安全运营能力的自主定义、开发和嵌入.

运营层以SSOA为基础,能够实现在单一的场景节点中对异构安全设备的能力调用及资产的关联查询,同时具备了敏捷增加标准安全编排动作设备实体的能力,由此构建了能够响应威胁、防护需求动态变化的自动化场景,如图5所示:

图5 漏洞利用威胁排查自动化场景

3.2 平战一体化运营机制能力强化路径

DAO数字化安全运营体系基于平战一体化机制,集成平时、战时2种安全运营需求于同一运营层场景剧本中,通过读取全局参数对纵深防御体系、威胁研判策略、威胁响应策略、人员资源配置4个层面进行平战状态的自主切换,如图6所示:

图6 平战一体化运营机制能力强化路径

纵深防御体系战时转换侧重强化威胁狩猎及溯源反制能力.通过部署互联网高仿真高交互蜜罐,对攻击者进行迷惑以减缓攻击进度,并收集攻击者攻击手段以辅助进行0day抓捕;同时,可通过在蜜罐上部署MYSQL服务、放置CS马等手段,获取攻击者敏感文件,实现对攻击者的反制.

威胁研判策略战时转换侧重提升威胁研判的广度与效率.异于平时威胁识别高精度要求,战时状态网络攻击烈度增加,任何攻击行为的疏忽都可能导致资产的陷落,由此要求威胁识别以广度优先,这要求降低威胁响应等级阈值、放宽威胁关联分析判断条件,以确保攻击行为的全面、及时发现.

威胁响应策略战时转换侧重提升威胁响应的效率.平时为降低威胁自动化响应对业务产生的影响,处置过程需综合考虑威胁情报、告警等级、处置历史等因素.在战时,响应采取一刀切手段,如IP永久封禁,以阻断相同源的重复攻击.

人员资源配置战时转换侧重提升战时人员协调、资源调度效率.针对战时,建立基于运营层的专用部门级交流渠道,打破运维人员、安全专家、安全资源池间沟通壁垒,从而提升基于非自动化的针对性威胁溯源取证、事件分析及应急响应效率.

3.3 实践成果

银行业DAO数字化安全运营体系通过科学化安全设备管理在传统网络安全防护体系的基础上进一步增强完善其防御能力,同时凭借能力层与运营层结构建立起高效数字化平战一体的安全运营基础,在实践应用中取得了良好的效果.

3.3.1 科学的安全设备管理

实践企业先期完成了安全设备能力原子化建设,以安全能力为单位从安全防护与运营角度展开安全设备的科学化管理与调度实践.将多品牌防火墙、文件沙箱、IDS等设备能力敏捷集成为标准化的安全编排动作,从而得以灵活、定制化建立包括漏洞利用威胁排查、内网横向取证响应、漏洞检测及补丁下发等各类安全运营场景.

3.3.2 全方位风险发现能力

基于原子化设备能力机制突破了安全设备管理的瓶颈,实现了最大程度上的安全设备的接入及异构,并能够在此基础上对原处于零散状态的各设备进行全局统筹,融合多源设备能力增强威胁辨识能力,产生了“1+1>2”的实践效果.

3.3.3 安全运营流程规范化、高效化

通过该体系建设,将各安全设备、管理系统能力解构为原子化动作,提供了一种基于原子动作敏捷组合的安全运营场景灵活编排方案,使各类安全运营流程、风险响应流程标准化,大幅降低人工运营动作响应时间及人为因素操作风险的同时,促使各类安全运营事件实现100%闭环.

3.3.4 平战状态平滑转换

建立起安全运营战时平滑转换机制,实现作战能力的战时快速强化.同时该机制促进了应急响应机制、演练和测试机制等措施的优化,可以保障安全事件快速有效地响应和处置,保障银行系统的安全和可靠运行.

4 结 语

本文分析了当前银行业网络安全运营中所面临的困难,提出了一种以解决银行业网络安全运营中安全设备管理、运营流程数字化、常态化作战能力等方面痛点为目的安全运营数字化体系建设的创新思路.

在实际建设中,标准化运营流程的建设依赖于长期的专家知识沉淀,如针对各类攻击手段的分析及响应,因企业物理、网络及管理环境的变化性,其积累固化过程将极为困难漫长.目前随着ChatGPT等大型NLP模型的出现及发展,在安全运营中AI技术的应用前景被进一步扩展,将如威胁辅助决策、数据威胁探测等应用于安全运营场景流程中是进一步探索与完善的方向.