微步在線從成立開始便專注于威脅情報(bào)領(lǐng)域,自2015年公司成立至今����,我們積累了覆蓋金融、能源�、政府、互聯(lián)網(wǎng)等各個(gè)行業(yè)的數(shù)百家優(yōu)質(zhì)客戶�����,我們與銀行����、證券類各細(xì)分金融行業(yè)領(lǐng)域Top10機(jī)構(gòu)中的超過80%的客戶存在穩(wěn)定可持續(xù)的合作��。金融行業(yè)作為網(wǎng)絡(luò)安全防御體系建設(shè)要求最高�����、投入資力最大、現(xiàn)今網(wǎng)絡(luò)安全建設(shè)落地最為健全的特殊群體��,一直都是微步在線重點(diǎn)關(guān)注��、研究的行業(yè)之一����;谖⒉皆诰已有的海量情報(bào)數(shù)據(jù)����、金融行業(yè)客戶積累,我們從威脅情報(bào)視角出發(fā)����,對金融行業(yè)機(jī)構(gòu)真實(shí)環(huán)境中所面臨的整體網(wǎng)絡(luò)威脅進(jìn)行深度統(tǒng)計(jì)分析并探究部分真實(shí)行業(yè)威脅事件,致力于為金融行業(yè)客戶伙伴輸出情報(bào)側(cè)發(fā)現(xiàn)的威脅態(tài)勢����、為整體網(wǎng)絡(luò)安全防御體系建設(shè)提供參考依據(jù)。本篇專題研究報(bào)告發(fā)現(xiàn)金融機(jī)構(gòu)當(dāng)前面臨的網(wǎng)絡(luò)威脅簡要概括如下:
1���、金融機(jī)構(gòu)生產(chǎn)運(yùn)營過程中面臨著大批量的網(wǎng)絡(luò)攻擊活動���,其中以源自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡(luò)滲透攻擊為主�����、其次為釣魚郵件攻擊�;
2����、金融機(jī)構(gòu)內(nèi)部主機(jī)失陷占比最多的是挖礦木馬,其次是僵尸網(wǎng)絡(luò)及其下載衍生的各類家族木馬�����,勒索病毒和APT類攻擊占比最小����,但依然存在真實(shí)攻擊案列發(fā)生;
3�、金融機(jī)構(gòu)普遍存在內(nèi)部網(wǎng)絡(luò)資產(chǎn)暴露、敏感數(shù)據(jù)泄露等互聯(lián)網(wǎng)側(cè)威脅�,黑客組織對金融機(jī)構(gòu)敏感數(shù)據(jù)的興趣逐漸升溫�;
4、金融機(jī)構(gòu)供應(yīng)鏈安全問題形勢嚴(yán)峻�����,傳統(tǒng)的網(wǎng)絡(luò)、服務(wù)�、運(yùn)維等安全信任體系值得反思。
二�、金融行業(yè)背景
信息化建設(shè)與數(shù)字化轉(zhuǎn)型深刻地改變了各行業(yè)的業(yè)務(wù)模式,在帶來了發(fā)展和機(jī)遇的同時(shí)�����,也帶來了風(fēng)險(xiǎn)���,這一現(xiàn)象在金融行業(yè)最為顯著��。
金融行業(yè)的發(fā)展經(jīng)歷了從金融電子化到互聯(lián)網(wǎng)金融����、再到現(xiàn)在的金融科技這三個(gè)風(fēng)向的重大變革����,所謂金融科技,即“金融”+“科技”�,指利用前沿技術(shù)變革業(yè)務(wù)流程,推動業(yè)務(wù)創(chuàng)新�,突出大規(guī)模場景下的自動化和精細(xì)化運(yùn)作,代表性產(chǎn)品或業(yè)務(wù)如大數(shù)據(jù)征信、智能投顧風(fēng)險(xiǎn)定價(jià)�、量化投資、數(shù)字貨幣等��。隨著金融科技應(yīng)用深化及各類市場主體之間的對接合作不斷擴(kuò)展�����,金融業(yè)基礎(chǔ)設(shè)施的數(shù)字化轉(zhuǎn)型和能力提升�����、跨領(lǐng)域的金融科技市場主體合作成為主流趨勢�,并且技術(shù)與業(yè)務(wù)的邊界模糊化,業(yè)務(wù)反向驅(qū)動技術(shù)���、金融應(yīng)用場景成為新技術(shù)研發(fā)和應(yīng)用的重要驅(qū)動力�����。
就近年來金融行業(yè)的信息化趨勢來看���,金融科技與金融業(yè)務(wù)正在深度融合的過程中,諸如AI����、區(qū)塊鏈、大數(shù)據(jù)為基礎(chǔ)的新型技術(shù)在不斷為金融企業(yè)的業(yè)務(wù)創(chuàng)造更多的價(jià)值��。然而�����,在新型技術(shù)不斷引用和落地的過程中���,也延伸出了很多新的安全問題(隱私加密��、API安全�、高級威脅攻擊)�。金融市場天然擁有海量標(biāo)準(zhǔn)化大數(shù)據(jù),基于金融科技的特點(diǎn)�,金融市場信息化數(shù)據(jù)會集中化,數(shù)據(jù)交互頻繁化���,風(fēng)險(xiǎn)面和攻擊事件將成倍增長�����。國內(nèi)外安全機(jī)構(gòu)披露的針對金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊事件層出不窮����。
圖 1金融機(jī)構(gòu)經(jīng)典網(wǎng)絡(luò)安全事件
在新技術(shù)的廣泛使用后,業(yè)務(wù)產(chǎn)生的數(shù)據(jù)資產(chǎn)將更為龐大和集中�����,高價(jià)值的數(shù)據(jù)資產(chǎn)會成為黑客組織的重要攻擊目標(biāo)�����,這也對金融企業(yè)的安全建設(shè)提出了更高的要求���。除了金融機(jī)構(gòu)自身的網(wǎng)絡(luò)合規(guī)性建設(shè)����,更需要全方位提升系統(tǒng)安全防御及檢測能力��。從威脅情報(bào)角度來看���,借助威脅情報(bào)精準(zhǔn)����、及時(shí)的檢測能力擴(kuò)充整體安全防御體系可有效彌補(bǔ)傳統(tǒng)被動式檢測方案的短板�,國家層面出臺的網(wǎng)絡(luò)安全法���、公安部1960號文、等保2.0等法規(guī)政策也明確提出基于威脅情報(bào)檢測監(jiān)管的規(guī)范要求�。
圖 2網(wǎng)絡(luò)安全防御體系演變
三�、金融機(jī)構(gòu)情報(bào)側(cè)的風(fēng)險(xiǎn)發(fā)現(xiàn)
基于微步在線海量情報(bào)數(shù)據(jù)、強(qiáng)大的情報(bào)自動化生產(chǎn)能力���,我們針對金融行業(yè)方向的網(wǎng)絡(luò)威脅態(tài)勢展開了深入調(diào)研統(tǒng)計(jì)分析����。金融機(jī)構(gòu)面臨的網(wǎng)絡(luò)威脅可以分為三部分:源自互聯(lián)網(wǎng)側(cè)的攻擊威脅���、內(nèi)部主機(jī)失陷類威脅����、互聯(lián)網(wǎng)側(cè)資產(chǎn)暴露面及數(shù)據(jù)泄露類威脅�����。其中滲透攻擊類型的互聯(lián)網(wǎng)側(cè)攻擊種類繁雜數(shù)據(jù)量較大����,占據(jù)金融機(jī)構(gòu)日常威脅的80%以上����;內(nèi)部主機(jī)失陷類威脅需要機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)維人緊急處理并排查評估受損程度���,此類威脅一般占比較������;互聯(lián)網(wǎng)暴露面及數(shù)據(jù)泄露類威脅是以外部互聯(lián)網(wǎng)側(cè)視角評估金融機(jī)構(gòu)易受攻擊風(fēng)險(xiǎn)以及數(shù)據(jù)泄露的結(jié)果�,此類威脅評估早已成為衡量金融機(jī)構(gòu)網(wǎng)絡(luò)安全狀況的重要指標(biāo)之一。
3.1互聯(lián)網(wǎng)側(cè)攻擊態(tài)勢分析
研究發(fā)現(xiàn)�����,真實(shí)環(huán)境中金融機(jī)構(gòu)面對的網(wǎng)絡(luò)威脅以源自互聯(lián)網(wǎng)側(cè)的滲透攻擊為主�����,如常見的IoT設(shè)備漏洞掃描���、指紋信息收集�、特定服務(wù)口令爆破���、應(yīng)用軟件系統(tǒng)注入等�����。
圖 3 NDR威脅檢測平臺告警統(tǒng)計(jì)
我們對金融機(jī)構(gòu)日常遭受的各種繁雜的特定入侵行為統(tǒng)計(jì)梳理�,金融機(jī)構(gòu)面臨的整體網(wǎng)絡(luò)風(fēng)險(xiǎn)Top50類別列出如下:
圖 4 金融行業(yè)常見網(wǎng)絡(luò)威脅Top50
繼續(xù)對上述金融行業(yè)常見網(wǎng)絡(luò)威脅Top50按照大類威脅進(jìn)行梳理統(tǒng)計(jì),其大類威脅占比如下餅狀圖所示���,其中漏洞注入\入侵類占比最高,約68%��,其次為信息收集類����,約19%,相較于撞庫\爆破���、客戶端失陷等威脅��,互聯(lián)網(wǎng)側(cè)面臨的漏洞掃描����、利用類的威脅更加頻繁���。
圖 5 金融行業(yè)Top50威脅占比
為了便于了解各細(xì)分行業(yè)特有的網(wǎng)絡(luò)威脅態(tài)勢�����,我們以銀行����、證券、金融企業(yè)這三個(gè)細(xì)分方向?yàn)槔�����,對其告警?shù)據(jù)進(jìn)行分開梳理統(tǒng)計(jì)�����,發(fā)現(xiàn)漏洞入侵\注入����、信息收集這兩類外部威脅占據(jù)TDP威脅告警的80%以上,各細(xì)分行業(yè)所面臨的威脅類型占比趨于相同�。
圖 6 金融行業(yè)各細(xì)分行業(yè)威脅占比
外對內(nèi)威脅是絕大多數(shù)機(jī)構(gòu)或企業(yè)面臨的主要網(wǎng)絡(luò)威脅,通過分析整體威脅面貌有助于我們有針對性的去評估網(wǎng)絡(luò)環(huán)境中的脆弱資產(chǎn)�、準(zhǔn)入環(huán)境風(fēng)險(xiǎn)。
3.2失陷主機(jī)統(tǒng)計(jì)分析
基于甲方安全運(yùn)營的角度考慮,除了關(guān)注互聯(lián)網(wǎng)側(cè)的整體威脅態(tài)勢���,內(nèi)部失陷資產(chǎn)的處理排查也是當(dāng)務(wù)之急����,失陷背后的入侵通道即是最真實(shí)可靠的安全缺口�。對于失陷機(jī)器的精準(zhǔn)檢測同樣也是威脅情報(bào)類檢測產(chǎn)品最直觀的能力體現(xiàn)。
研究發(fā)現(xiàn)當(dāng)前金融機(jī)構(gòu)主要威脅類型如下所示���,包括僵尸網(wǎng)絡(luò)�����、挖礦木馬、惡意下載���、家族木馬����、網(wǎng)絡(luò)釣魚���、蠕蟲病毒�、勒索軟件、APT攻擊八類��。
圖 7 內(nèi)部失陷機(jī)器類型統(tǒng)計(jì)
其中占比最高的為挖礦木馬����、惡意下載、家族木馬�,分別占據(jù)失陷告警的28%、25%�����、25%��;其次為僵尸網(wǎng)絡(luò)�����,占比11%���;其他的如釣魚�、蠕蟲�����、勒索等威脅占據(jù)11%����?紤]到失陷機(jī)器上的植入木馬上下文連續(xù)性,其中的僵尸網(wǎng)絡(luò)��、挖礦木馬���、惡意下載�、家族木馬這幾類標(biāo)簽會存在一定程度重疊��。對于失陷威脅占比最高的挖礦木馬���,其與當(dāng)前虛擬貨幣形勢息息相關(guān)��,近些年區(qū)塊鏈及虛擬幣逐漸火熱,在經(jīng)濟(jì)利益的驅(qū)使下�,大量挖礦木馬誕生,也使得遠(yuǎn)控后門的迅速更新迭代����,“肉雞”、“礦機(jī)”交易頻繁����。
圖 8 失陷主機(jī)威脅類型占比
金融行業(yè)失陷類告警威脅類型Top20如下所示����,其中挖礦類型告警占據(jù)榜首�����,其次為惡意下載類型告警��。已知背景的告警威脅具有代表性的有麻辣香鍋病毒�����、驅(qū)動人生后門�、Dorkbot僵尸網(wǎng)絡(luò)、Andromeda僵尸網(wǎng)絡(luò)�、AsyncRAT間諜木馬等。
圖 9 金融行業(yè)失陷威脅Top20
3.3互聯(lián)網(wǎng)暴露面及數(shù)據(jù)泄露統(tǒng)計(jì)分析
隨著金融機(jī)構(gòu)在互聯(lián)網(wǎng)側(cè)的IT資產(chǎn)數(shù)量日益增多���,其暴露的信息也越來越多��。從甲方安全運(yùn)營工作立場來看���,缺乏外部事件對企業(yè)的安全感知���;資產(chǎn)體系龐大,存在安全人員不掌握的影子資產(chǎn)無法進(jìn)行安全防護(hù)����;企業(yè)員工、核心代碼等核心數(shù)據(jù)無意被上傳到互聯(lián)網(wǎng)的公共平臺上����,會對企業(yè)網(wǎng)絡(luò)安全或企業(yè)聲譽(yù)商譽(yù)造成損失。研究發(fā)現(xiàn)�,當(dāng)前金融機(jī)構(gòu)所面臨的常見的互聯(lián)網(wǎng)暴露面及數(shù)據(jù)泄露類威脅如下:
威脅分類——舉例說明
內(nèi)部資產(chǎn)隱患-低版本SSL證書;
網(wǎng)絡(luò)配置不合規(guī)�;
對外開放的登錄入口;
對外暴露敏感端口或服務(wù)��;
第三方風(fēng)險(xiǎn)代碼或組件……
數(shù)據(jù)泄露風(fēng)險(xiǎn) 內(nèi)部文件泄露�����;
暗網(wǎng)數(shù)據(jù)泄露��;
企業(yè)郵箱賬戶泄露���;
代碼泄露……
漏洞威脅——網(wǎng)絡(luò)設(shè)備漏洞�����;
軟件平臺漏洞�;
第三方服務(wù)組件漏洞……
基于已積累的內(nèi)部威脅數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析��,從各類別風(fēng)險(xiǎn)因素的數(shù)量級來看����,金融機(jī)構(gòu)最常見的風(fēng)險(xiǎn)為內(nèi)部資產(chǎn)的安全隱患,其次為漏洞風(fēng)險(xiǎn)和數(shù)據(jù)泄露風(fēng)險(xiǎn)�����。
圖 10 金融機(jī)構(gòu)外部威脅一覽
展開來看金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)資產(chǎn)安全隱患��,排在前三的風(fēng)險(xiǎn)依次為:不安全的第三方JS腳本���、SSL證書風(fēng)險(xiǎn)��、HTTP配置不合規(guī)��。諸如此類的各種風(fēng)險(xiǎn)因素�����,在攻防對抗中如果讓攻擊方收集到此類信息并形成完整攻擊通道將對目標(biāo)網(wǎng)絡(luò)系統(tǒng)造成不可控的破壞�。
圖 11 金融機(jī)構(gòu)內(nèi)部資產(chǎn)安全隱患占比
敏感數(shù)據(jù)泄露事件同樣是金融機(jī)構(gòu)及其監(jiān)管單位重點(diǎn)關(guān)注的高危安全事件之一。對于金融機(jī)構(gòu)而言�,出于其特殊的行業(yè)背景,數(shù)據(jù)敏感度高��、黑市變現(xiàn)價(jià)值高的特點(diǎn)均會促使惡意數(shù)據(jù)泄露事件的發(fā)生����,如竊密類的網(wǎng)絡(luò)攻擊活動、內(nèi)部人員的蓄意為之等�����。除此之外��,機(jī)構(gòu)內(nèi)部人員在使用網(wǎng)絡(luò)云盤�����、文庫�����、代碼倉庫等網(wǎng)絡(luò)平臺進(jìn)行數(shù)據(jù)轉(zhuǎn)移��、存儲時(shí)�����,經(jīng)常會因?yàn)閭(gè)人疏忽或未做數(shù)據(jù)脫敏處理等原因誤將機(jī)構(gòu)內(nèi)部敏感數(shù)據(jù)泄露到公網(wǎng)���。 近幾年來��,互聯(lián)網(wǎng)曝光的金融機(jī)構(gòu)敏感數(shù)據(jù)泄露事件層出不窮�。我們對本次調(diào)研的金融機(jī)構(gòu)公網(wǎng)數(shù)據(jù)泄露情況統(tǒng)計(jì)如下�����,其中最為常見的是文件泄露事件�����,占據(jù)58%���,其次為代碼泄露事件���,占據(jù)32%,最后為郵箱泄露事件和暗網(wǎng)數(shù)據(jù)泄露事件���。對于文件泄露事件而言�,其一般為企業(yè)內(nèi)部人員操作不當(dāng)而泄露出的內(nèi)部會議文件、通知文件��、培訓(xùn)內(nèi)容��、工作模板等等���;代碼泄露多為通過gitlab��、gitee���、github等平臺流出,此類事件跟程序員依賴github等平臺的個(gè)人習(xí)慣有很大關(guān)系�,金融機(jī)構(gòu)核心業(yè)務(wù)系統(tǒng)代碼泄露一般會帶來非常長遠(yuǎn)的風(fēng)險(xiǎn)隱患;占比最小的暗網(wǎng)數(shù)據(jù)泄露事件一般跟蓄謀的犯罪事件直接相關(guān)�����。
圖 12 金融機(jī)構(gòu)數(shù)據(jù)泄露風(fēng)險(xiǎn)
3.4金融機(jī)構(gòu)攻擊事件剖析
金融機(jī)構(gòu)在日常的正常生產(chǎn)運(yùn)營過程中不可避免地會暴露部分網(wǎng)絡(luò)資產(chǎn)��,除此之外由于內(nèi)部網(wǎng)絡(luò)配置策略不合規(guī)��、突發(fā)高危網(wǎng)絡(luò)設(shè)備漏洞等問題均會繼續(xù)增大機(jī)構(gòu)被攻擊風(fēng)險(xiǎn)。排除不可控的DDOS攻擊和由于內(nèi)部人員主動參與造成的攻擊事件����,金融機(jī)構(gòu)遭受的中高強(qiáng)度網(wǎng)絡(luò)攻擊主要分為兩大類:魚叉郵件攻擊、遠(yuǎn)程滲透攻擊�����。從攻擊流程來看�,絕大多數(shù)的攻擊行為處于以資產(chǎn)探測���、信息收集為目的的偵察階段��。我們結(jié)合部分具有代表性的金融機(jī)構(gòu)網(wǎng)絡(luò)安全事件說明真實(shí)環(huán)境中的網(wǎng)絡(luò)威脅��。
3.4.1魚叉郵件攻擊
金融機(jī)構(gòu)外部郵件系統(tǒng)是網(wǎng)絡(luò)攻擊事件的重要入侵渠道��,其背后攻擊者多為國外大中型黑產(chǎn)組織���,投遞郵件一般包含惡意攻擊文檔附件或惡意外鏈,受害者打開對應(yīng)內(nèi)容之后�����,攻擊者可后臺實(shí)現(xiàn)諸如信息竊密、本地賬密提取�、僵尸網(wǎng)絡(luò)肉雞等功能。
圖 13 金融行業(yè)魚叉郵件
從郵件內(nèi)容來看�����,黑產(chǎn)組織常用的“發(fā)票”��、“回執(zhí)單”�����、“交易清單”等相關(guān)的虛假話術(shù)正好與金融機(jī)構(gòu)日常的國際貿(mào)易業(yè)務(wù)相關(guān)郵件主題較為貼近����,這導(dǎo)致內(nèi)部工作人員更容易被釣魚郵件誤導(dǎo)從而打開惡意文檔或惡意外鏈。
圖 14 金融行業(yè)魚叉郵件話術(shù)
除了部分針對金融機(jī)構(gòu)人員的個(gè)人web郵箱賬號釣魚�,攻擊者投遞載荷多為竊密類型木馬或僵尸網(wǎng)絡(luò)后門,如AgentTesla�����、Formbook��、Ursnif����、Lokibot��、Trickbot等系列木馬��。下圖展示的為AgentTesla竊密木馬的郵箱后臺���,該木馬收集PC端瀏覽器記錄賬密等數(shù)據(jù)通過境外電子郵箱進(jìn)行回傳。
圖 15 銀行木馬后臺竊密展示
諸如此類的黑產(chǎn)魚叉攻擊活動短期內(nèi)并不會給金融機(jī)構(gòu)造成直接的經(jīng)濟(jì)損失�����,用戶側(cè)多數(shù)時(shí)候?qū)Υ祟惞羰录幱跓o感知狀態(tài)���,但是其潛在風(fēng)險(xiǎn)是無法預(yù)計(jì)的,我們并不能評估當(dāng)前的信息泄露及失陷PC在后續(xù)會不會引發(fā)高強(qiáng)度的定向攻擊事件�。從攻擊者角度來看,當(dāng)前境外黑產(chǎn)組織多采用成熟的SAAS模式進(jìn)行運(yùn)營����,自動化的攻擊服務(wù)、收集敏感PC數(shù)據(jù)���、后門植入權(quán)限等均為該違法的地下產(chǎn)業(yè)輸送經(jīng)濟(jì)利益�。
3.4.2內(nèi)網(wǎng)滲透攻擊
2021年10月,微步在線協(xié)助某金融機(jī)構(gòu)處理一起因郵件服務(wù)器失陷導(dǎo)致的域控攻擊事件�����,經(jīng)深入取證調(diào)查發(fā)現(xiàn)����,該機(jī)構(gòu)兩地非生產(chǎn)網(wǎng)域控失陷、數(shù)十臺主機(jī)失陷�����,在域控滲透階段�,攻擊者完美避開了全流量檢測系統(tǒng)、蜜罐系統(tǒng)��、終端殺軟及其他檢測設(shè)備�。經(jīng)過深入分析推理,還原此次攻擊事件基本入侵流程如下圖所示�。攻擊者采用Microsoft Exchange 1Day漏洞入侵該機(jī)構(gòu)郵件服務(wù)器,使用Mimikatz等密碼抓取工具在郵服短暫駐留后成功橫移至兩處位于兩地的非生產(chǎn)網(wǎng)域控服務(wù)器��,進(jìn)而兩地域環(huán)境完全失陷��������?尚业氖�,因?yàn)榘l(fā)現(xiàn)及阻斷及時(shí),當(dāng)前除了僅有的幾次異常登錄之外暫未發(fā)現(xiàn)明顯的網(wǎng)絡(luò)破壞或數(shù)據(jù)資產(chǎn)失竊等操作痕跡���。
圖 16 某金融機(jī)構(gòu)真實(shí)網(wǎng)絡(luò)滲透攻擊流程
域控機(jī)器失陷這類重大網(wǎng)絡(luò)安全事故一般會給應(yīng)急處置工作帶來很大困難�����。金融機(jī)構(gòu)自身網(wǎng)絡(luò)系統(tǒng)復(fù)雜��,域控失陷意味著域內(nèi)所有主機(jī)在攻擊者面前“裸奔”,如果存在部分主機(jī)跨域這類違規(guī)配置策略將造成其他域環(huán)境的攻擊隱患�,同時(shí)攻擊者對域環(huán)境的修改也會使得攻擊途徑復(fù)雜化。從應(yīng)急處置角度來看����,入侵排查的基礎(chǔ)是各類安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志�����、網(wǎng)絡(luò)流量等數(shù)據(jù)����,數(shù)據(jù)是否健全將直接影響排查效果���,實(shí)際取證排查過程中無論是因?yàn)闄C(jī)構(gòu)自身審計(jì)數(shù)據(jù)不全還是因?yàn)楣粽咧鲃觿h除關(guān)鍵日志導(dǎo)致取證進(jìn)度放緩或停滯都是大概率出現(xiàn)的情況,無法完全排查的客觀事實(shí)同樣給受害機(jī)構(gòu)埋下了攻擊隱患����。
對上述域控失陷案例中受害機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)評估發(fā)現(xiàn),該機(jī)構(gòu)存在不少較為常見的風(fēng)險(xiǎn)因素�,如內(nèi)部網(wǎng)絡(luò)資產(chǎn)暴露面過大、多業(yè)務(wù)網(wǎng)絡(luò)共用AD域��、域環(huán)境劃分不明確���、管理員弱密碼等等����。諸如此類的安全隱患問題幾乎出現(xiàn)在每一次網(wǎng)絡(luò)安全應(yīng)急事件中����,但亡羊補(bǔ)牢為時(shí)未晚,如何從源頭做好安全合規(guī)建設(shè)�����、降低易攻擊風(fēng)險(xiǎn)是各甲方機(jī)構(gòu)需要深入思考的問題。
3.4.3 APT定向攻擊事件
“危險(xiǎn)密碼”(DangerousPassword)APT組織是由微步在線率先披露的疑似具有朝鮮背景的高級威脅團(tuán)伙�����,該組織至少于2018年3月開始活躍�。后續(xù)芬蘭安全公司F-Secure對危險(xiǎn)密碼APT組織追蹤發(fā)現(xiàn),該組織疑似為Lazarus APT組織的一個(gè)分支機(jī)構(gòu)�����!拔kU(xiǎn)密碼”APT組織的主要攻擊方式為魚叉郵件攻擊��,目標(biāo)人員集中在加密貨幣行業(yè)���。值得注意的是,其投入使用的后門組件會監(jiān)測主機(jī)是否存在“金山毒霸”��、“360”等軟殺進(jìn)程�,以判斷繞過或是否駐留等后續(xù)操作����,此行為說明國內(nèi)用戶同樣處于該組織攻擊范疇內(nèi)。
圖 17 “危險(xiǎn)密碼”APT組織攻擊誘餌
歷史攻擊活動中��,攻擊者多通過釣魚郵件投遞惡意文件下載鏈接,誘導(dǎo)收件者從仿冒的谷歌�、微軟、亞馬遜云服務(wù)器下載木馬壓縮文件��,壓縮文件一般包含誘餌加密文檔和偽裝成密碼文件的惡意快捷方式���,用戶啟動后會下載后門腳本直接執(zhí)行�����,同時(shí)展示文檔密碼迷惑用戶��。其攻擊流程如下圖所示:
圖 18 “危險(xiǎn)密碼”APT組織歷史攻擊載荷執(zhí)行流程圖
區(qū)別與傳統(tǒng)APT組織的政治間諜獨(dú)特屬性��,“危險(xiǎn)密碼”APT組織的攻擊目標(biāo)早已不再局限于政府機(jī)構(gòu)了�����,而是偏向于直接攻擊金融機(jī)構(gòu)竊取錢財(cái)�。除了臭名昭著的Lazarus APT組織�,F(xiàn)IN7、Carbanak等APT組織均是如此����。面對APT類的高級定向攻擊活動���,傳統(tǒng)安全防御系統(tǒng)能力多數(shù)情況下會大打折扣,如何應(yīng)對未知的高強(qiáng)度定制化攻擊活動同樣是金融機(jī)構(gòu)需要長期思考的難題���。
四���、全球金融行業(yè)網(wǎng)絡(luò)威脅態(tài)勢
從全球視角來看,針對金融行業(yè)的各種網(wǎng)絡(luò)安全事件層出不窮����,微步在線安全運(yùn)營團(tuán)隊(duì)自2020年10月份開始梳理統(tǒng)計(jì)各類安全事件形成“安全威脅情報(bào)周報(bào)”進(jìn)行每周發(fā)布,通過整合2021年1月份至今近十個(gè)月的金融行業(yè)威脅事件���,發(fā)現(xiàn)如下:
1�����、金融機(jī)構(gòu)面臨嚴(yán)峻的網(wǎng)絡(luò)釣魚(包含魚叉郵件釣魚���、社交平臺釣魚等)攻擊威脅����;
2�����、從攻擊者動機(jī)來看����,網(wǎng)絡(luò)攻擊事件以加密貨幣盜取和機(jī)構(gòu)敏感數(shù)據(jù)竊取為主�,這些網(wǎng)絡(luò)罪犯的核心目的為牟取錢財(cái);
3�����、金融機(jī)構(gòu)安全威脅事件主要平臺為PC終端或服務(wù)器���,少部分針對移動端���。攻擊者投入使用的木馬武器庫組件更新迭代頻繁;
4��、針對移動端的攻擊事件逐漸增多��。
圖 19 金融機(jī)構(gòu)威脅事件分類占比
以比特幣為代表的數(shù)字加密貨幣價(jià)格持續(xù)走高一直是導(dǎo)致密幣盜取���、暗網(wǎng)數(shù)據(jù)買賣��、勒索軟件橫行的主要原因����,在巨大的經(jīng)濟(jì)利益面前,網(wǎng)絡(luò)犯罪份子的活動日益猖獗����。其中以加密貨幣交易平臺為代表的金融機(jī)構(gòu)是此類攻擊活動的主要受害者。整合部分加密貨幣相關(guān)安全事件如下:
時(shí)間——事件
2021年1月:Livecoin加密貨幣交易所在將域名丟失給黑客后關(guān)閉
2021年9月:ElonMusk加密貨幣充值返雙倍騙局����,黑客一周獲利58萬美元
2021年8月:騙子誘使Discord用戶使用偽造的加密貨幣交易所,竊取敏感信息
2021年2月:加密貨幣交易所Cryptopia再次遭到黑客入侵
2021年5月:黑客利用PandaStealer惡意軟件竊取加密貨幣
2021年5月:加密貨幣獎勵(lì)平臺Celsius第三方郵件系統(tǒng)遭到黑客入侵
2021年4月:ForceDAO遭黑客入侵����,價(jià)值36.7萬美元的加密貨幣被盜
2021年3月:加密貨幣新騙局:利用Discord對DEX用戶發(fā)起網(wǎng)絡(luò)釣魚攻擊
2021年第二季度:Cinobi銀行木馬針對加密貨幣交易所用戶展開攻擊。
2021年7月:“幣圈”最大迷惑行為:6.11億美元加密貨幣在被劫持后���,部分陸續(xù)返回賬戶
2021年8月:Crackonosh惡意軟件濫用Windows安全模式挖倔加密貨幣
2021年9月:全球最大的NFT平臺OpenSea被曝存在漏洞����,黑客可用來竊取加密貨幣
2021年10月:世界第二大加密貨幣交易所Coinbase遭到入侵����,約6,000名客戶的加密貨幣失竊
2021年8月:火狐插件“SafepalWallet”可用來竊取加密貨幣,用戶需小心���!
暫無:加密貨幣騙局:圍繞“薅羊毛心理”進(jìn)行的惡意攻擊
2021年9月:加密貨幣交易所SushiSwap的MISO平臺遭到軟件供應(yīng)鏈攻擊�����,864.8ETH被盜
暫無:加密貨幣成為金融網(wǎng)絡(luò)犯罪的完美選擇
2021年8月:塞舌爾加密貨幣交易所Bilaxy遭到黑客攻擊后�����,網(wǎng)站暫停服務(wù)
2021年8月:加密貨幣交易所CreamFinance遭到黑客攻擊��,損失近3,400萬美元
2021年9月:黑客組織針對Luno加密貨幣交易所開展網(wǎng)絡(luò)釣魚活動
2021年8月:黑客冒充OpenSea員工竊取加密貨幣資產(chǎn)和NFT
2021年8月:日本加密貨幣交易所Liquid遭到黑客攻擊�,存����、取款業(yè)務(wù)已暫停
2021年9月:跨鏈DeFi平臺pNetwork遭到黑客入侵,277個(gè)比特幣失竊
2021年10月:朝鮮黑客利用網(wǎng)絡(luò)瀏覽技術(shù)竊取比特幣
2021年第三季度:黑客入侵俄羅斯政府網(wǎng)站進(jìn)行“比特幣龐氏騙局”活動
2021年3月:Livecoin加密貨幣交易所在將域名丟失給黑客后關(guān)閉
出于金融行業(yè)的數(shù)據(jù)敏感特性�,網(wǎng)絡(luò)曝光的數(shù)據(jù)泄露類型的重大安全事故中的受害者同樣多為金融機(jī)構(gòu)。泄露數(shù)據(jù)多為金融用戶的個(gè)人隱私數(shù)據(jù)�,此類數(shù)據(jù)在暗網(wǎng)非法交易中往往具有較好的快速變現(xiàn)特性;對受害的金融機(jī)構(gòu)而言���,數(shù)據(jù)泄露事件不僅會給自己帶來較大的經(jīng)濟(jì)損失以及監(jiān)管單位的責(zé)罰��,而且還會讓機(jī)構(gòu)客戶產(chǎn)生信任危機(jī)�����。整合2021年至今代表性金融機(jī)構(gòu)數(shù)據(jù)泄露事件如下:
時(shí)間——數(shù)據(jù)泄露丑聞
2021年10月:加密貨幣行情網(wǎng)站CoinMarketCap的敏感數(shù)據(jù)疑似再次遭到大規(guī)模泄露
2021年10月:印度尼西亞銀行BankJatim疑似數(shù)據(jù)發(fā)生泄露�,378GB數(shù)據(jù)被售賣
2021年8月:美國太平洋城市銀行疑似遭到AvosLocker勒索軟件攻擊,數(shù)據(jù)發(fā)生泄露
2021年1月:CapitalEconomics泄露超50多萬高層用戶記錄
2021年1月:美國Flagstar銀行的客戶信息遭泄露
2021年5月: “歐洲版花唄”Klarna在線支付公司爆出數(shù)據(jù)泄露
2021年5月:加拿大保險(xiǎn)公司guard.me遭到網(wǎng)絡(luò)攻擊����,敏感數(shù)據(jù)泄露
2021年3月:美國汽車保險(xiǎn)供應(yīng)商Geico發(fā)生數(shù)據(jù)泄漏
2021年4月:巴西金融公司iugu數(shù)據(jù)庫配置錯(cuò)誤泄露1.7TB數(shù)據(jù)
2021年4月:印度股票交易平臺Upstox數(shù)據(jù)泄露,涉及超250萬用戶
2021年4月:俄羅斯銀行Dom.RF發(fā)生數(shù)據(jù)泄漏
2021年3月:3月下旬�����,疑似巴西保險(xiǎn)公司巨頭3600萬客戶數(shù)據(jù)遭泄露
2021年3月:印度金融科技平臺MobiKwik疑似發(fā)生數(shù)據(jù)泄露�,8.2TB數(shù)據(jù)在暗網(wǎng)售賣
2021年3月:外匯交易平臺FBS服務(wù)器存在漏洞,泄露160億條記錄
2021年7月:2021年7月中旬����,英國國家彩票公益基金發(fā)生數(shù)據(jù)泄露
2021年4月:美國橡樹嶺銀行披露數(shù)據(jù)泄露
2021年7月:美國金融公司摩根士丹利遭到黑客攻擊,發(fā)生數(shù)據(jù)泄漏
2021年6月:美國保險(xiǎn)巨頭AJG公布遭到勒索軟件攻擊��,數(shù)據(jù)發(fā)生泄露
2021年6月:2021年6月9日��,南非保險(xiǎn)服務(wù)提供商QSure數(shù)據(jù)遭泄漏
2021年6月:2021年6月12日,金融軟件公司Intuit的TurboTax賬戶被黑�����,致使數(shù)據(jù)泄露攻擊
在金融機(jī)構(gòu)安全威脅事件中�,同樣值得一提的是當(dāng)前較為火熱的供應(yīng)鏈攻擊�����。針對金融機(jī)構(gòu)上游基礎(chǔ)設(shè)施及軟件供應(yīng)商的攻擊事件已經(jīng)不足為奇����,今年10月份,中國人民銀行在“關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見”重點(diǎn)提到了金融機(jī)構(gòu)供應(yīng)鏈安全問題�����。
圖 20 人行關(guān)于“金融業(yè)開源技術(shù)應(yīng)用與發(fā)展”發(fā)文
供應(yīng)鏈基礎(chǔ)設(shè)施安全問題給傳統(tǒng)網(wǎng)絡(luò)攻擊提供了一條新通道��,金融機(jī)構(gòu)擁有繁雜的供應(yīng)商��,當(dāng)前對于供應(yīng)商產(chǎn)品的安全審查并不成熟��,一旦供應(yīng)商被成功入侵利用����,將直接摧毀傳統(tǒng)網(wǎng)絡(luò)安全防御信任體系�。如2021年9月份�,SushiSwap社區(qū)的MISO密幣交易平臺遭到軟件供應(yīng)鏈攻擊,攻擊者劫持平臺交易過程并盜取約300萬美金的以太坊幣�。
圖 21 SushiSwap MISO密幣失竊
2021年10月,國外 RAIDForum 論壇的ID為AgainstTheWest的用戶發(fā)布一篇成功滲透進(jìn)入國內(nèi)金融機(jī)構(gòu)的帖子引發(fā)國內(nèi)安全圈關(guān)注����,該用戶坦言是通過供應(yīng)鏈攻擊方式進(jìn)入,雖然經(jīng)后續(xù)核查確認(rèn)涉及的國內(nèi)金融單位并未遭到成功入侵���,但此類供應(yīng)鏈側(cè)的安全風(fēng)險(xiǎn)問題也為各金融機(jī)構(gòu)敲響警鐘�����。
圖 22 AgainstTheWest供應(yīng)鏈攻擊發(fā)帖
五�����、金融企業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)化能力提升—典型實(shí)踐
5.1金融企業(yè)安全建設(shè)現(xiàn)狀分析
5.1.1國家����、行業(yè)監(jiān)管政策日益嚴(yán)苛�,金融行業(yè)仍是強(qiáng)監(jiān)管重點(diǎn)
近年來����,圍繞習(xí)近平總書記國家網(wǎng)絡(luò)安全觀��,我國構(gòu)建了完備的網(wǎng)絡(luò)安全法律合規(guī)體系�,并陸續(xù)頒布了相關(guān)的法規(guī)政策要求,其中《網(wǎng)絡(luò)安全法》要求建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度���,《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》要求建立監(jiān)測預(yù)警�����、信息通報(bào)、應(yīng)急處置�����、網(wǎng)絡(luò)安全信息共享機(jī)制���,《網(wǎng)絡(luò)安全等級保護(hù)條例》要求三級以上系統(tǒng)集中管控����、集中監(jiān)測�����,構(gòu)建監(jiān)測發(fā)現(xiàn)能力、預(yù)警通報(bào)能力���、應(yīng)急處置能力���、態(tài)勢感知能力。另外中國人民銀行《科技金融(FinTech)發(fā)展規(guī)劃(2019-2021年))》也強(qiáng)調(diào)需要建設(shè)統(tǒng)一的金融風(fēng)險(xiǎn)監(jiān)控平臺����,構(gòu)建風(fēng)險(xiǎn)聯(lián)防聯(lián)控機(jī)制,強(qiáng)化風(fēng)險(xiǎn)信息披露和共享的能力�。由此可見國家和行業(yè)監(jiān)管已將事件通報(bào)預(yù)警與情報(bào)協(xié)同共享的能力作為網(wǎng)絡(luò)安全的建設(shè)重點(diǎn)和關(guān)鍵能力監(jiān)管指標(biāo)。
5.1.2攻防演練常態(tài)化�����,要求金融企業(yè)具備實(shí)戰(zhàn)化對抗能力
在國家監(jiān)管機(jī)構(gòu)的有力推動下�����,HW活動趨向常態(tài)化��,在規(guī)模和頻次不斷擴(kuò)大的同時(shí),攻防雙方的技術(shù)水平和對抗能力也在博弈中不斷升級���,其中攻擊隊(duì)常用的攻擊戰(zhàn)術(shù)包括漏洞利用�����、社工釣魚����、0day利用�、嘗試旁路攻擊滲透以及復(fù)合攻擊,再加之防守方對攻擊方的攻擊特征一無所知���,基于近幾年攻防形式看�,防守方基本處于敵在明����、我在暗的被動局勢�����。因此在網(wǎng)絡(luò)演練中需構(gòu)建實(shí)戰(zhàn)化對抗能力���,包括強(qiáng)化自身的“縱深防御”安全體系以提升“知己”能力�����,以及構(gòu)建權(quán)威��、準(zhǔn)確的攻擊情報(bào)自動化獲取渠道以提升“知彼”能力�����。
5.1.3 應(yīng)對嚴(yán)峻的網(wǎng)絡(luò)安全形勢�,金融企業(yè)的網(wǎng)絡(luò)安全建設(shè)和運(yùn)營體系仍存缺口
一方面,多數(shù)金融企業(yè)處在“局部整改 ”為主的安全建設(shè)模式�����,致使網(wǎng)絡(luò)安全體系不足���、碎片化嚴(yán)重�、協(xié)同能力差����。雖然體系已具備較多種類的安全防護(hù)產(chǎn)品但各成體系,這種安全防護(hù)割裂的情況導(dǎo)致被攻擊者抓到一些漏洞進(jìn)行利用�����,導(dǎo)致攻擊頻頻發(fā)生。另外一方面��,為了響應(yīng)國家號召�����,構(gòu)建數(shù)據(jù)集中采集���、分析��、處置及響應(yīng)流程自動化能力��,金融企業(yè)紛紛構(gòu)建態(tài)勢感知和處置平臺��,寄希望通過上收全網(wǎng)告警數(shù)據(jù)進(jìn)行威脅關(guān)聯(lián)分析���,提升全網(wǎng)威脅主動發(fā)現(xiàn)、分析��、預(yù)警��、共享等能力����,但由于上收的告警有誤報(bào)、量大�、態(tài)感關(guān)聯(lián)場景單一、需要重度依賴人工能力等眾多原因���,目前構(gòu)建態(tài)感的多數(shù)金融客戶覺得未達(dá)到預(yù)期的效果��。因此大量金融客戶通過引入高質(zhì)量�����、多樣化的攻擊情報(bào)進(jìn)行賦能�,以此提升真實(shí)威脅聚焦�����、主動預(yù)警�����、全網(wǎng)聯(lián)防的能力�。
5.2金融企業(yè)實(shí)戰(zhàn)化能力提升典型實(shí)踐案例
當(dāng)前網(wǎng)絡(luò)攻擊事件日漸頻繁、攻擊技能快速迭代增強(qiáng)�。作為防守方��,除了傳統(tǒng)的網(wǎng)絡(luò)安全防御建設(shè)���,使用威脅情報(bào)識別、NDR設(shè)備檢測���、自動化聯(lián)動邊界設(shè)備阻斷處置等類型的方案已成為擴(kuò)充傳統(tǒng)安全防御體系的必要選擇�����,微步在線依托國內(nèi)領(lǐng)先的高精準(zhǔn)威脅情報(bào)生產(chǎn)能力�、覆蓋網(wǎng)絡(luò)和終端(NDR�����、EDR)的強(qiáng)大檢測能力以及后臺研究響應(yīng)部門專業(yè)的分析能力(MDR)完美契合當(dāng)前新型網(wǎng)絡(luò)安全防御建設(shè)需求����。基于機(jī)器學(xué)習(xí)的自動化情報(bào)生產(chǎn)模型����、輔以蜜罐、云沙箱�����、空間測繪等情報(bào)收集手段�、以及專業(yè)分析員人主導(dǎo)的僵尸網(wǎng)絡(luò)追蹤、APT類高級威脅追蹤組成當(dāng)前微步的情報(bào)生產(chǎn)網(wǎng)�,情報(bào)數(shù)據(jù)的準(zhǔn)確率、及時(shí)性�、覆蓋面、數(shù)據(jù)量級均會影響第一環(huán)的威脅識別效果�,這往往也是評估一個(gè)威脅情報(bào)參與的新型擴(kuò)充安全方案的標(biāo)準(zhǔn)之一。除此之外����,此類擴(kuò)充方案更重要的一方面是如何真正地解決客戶實(shí)際生產(chǎn)運(yùn)營環(huán)境中場景化需求。通過總結(jié)微步在線金融客戶群體中已落地建設(shè)的安全防御擴(kuò)充項(xiàng)目�,我們歸納出常見的背景需求如下:
需求——場景描述
需求1:精準(zhǔn)告警、自動處置�,提升整體安全運(yùn)維效率 日常運(yùn)維工作中面對海量告警數(shù)據(jù)無從下手,無法分辨真正威脅�;缺乏自動化處置能力,無法應(yīng)對新型未知威脅���;雖然已建成SOC/SIEM安全運(yùn)營平臺����,但并未達(dá)到預(yù)期的運(yùn)維簡便的目標(biāo)。
需求2:精細(xì)化的失陷檢測及定位����、自動化攻擊鏈路溯源 當(dāng)前內(nèi)部網(wǎng)絡(luò)環(huán)境復(fù)雜,比起日常的實(shí)時(shí)網(wǎng)絡(luò)攻擊行為�����,內(nèi)部資產(chǎn)安全狀況同樣重要�。運(yùn)維人員需要準(zhǔn)確掌握內(nèi)部資產(chǎn)失陷狀況、自動化定位到物理機(jī)器及相應(yīng)進(jìn)程����、并繪畫出完整攻擊鏈路。
需求3:異地分支機(jī)構(gòu)實(shí)時(shí)網(wǎng)絡(luò)威脅監(jiān)管�,告警數(shù)據(jù)統(tǒng)計(jì)分析 多數(shù)大中型企業(yè)存在多地分支機(jī)構(gòu),其中多數(shù)較小的分散在外的異地機(jī)構(gòu)或網(wǎng)點(diǎn)往往缺乏網(wǎng)絡(luò)安全防護(hù)��、易淪陷成為黑客的攻擊跳板進(jìn)而危害總部安全�����,此外總部對分支機(jī)構(gòu)網(wǎng)絡(luò)狀況也缺乏安全監(jiān)管����,無法評估完整的公司安全態(tài)勢���。
需求4:攻防演練中的基礎(chǔ)告警過濾���、攻擊情報(bào)實(shí)時(shí)同步����、多地多端自動化阻斷 攻防演練如今已成常態(tài)���,在大大小小的HW中�����,除了基礎(chǔ)威脅的自動化過濾封禁之外�����,高可信情報(bào)的及時(shí)共享顯得尤為重要��。網(wǎng)絡(luò)安全設(shè)備除了日常的安全檢測處置之外�����,更需要承擔(dān)HW中高頻次高定向攻擊活動的防守對抗角色責(zé)任��。
表4金融行業(yè)背景需求
針對以上四種常見用戶需求����,我們以真實(shí)的金融行業(yè)網(wǎng)絡(luò)安全建設(shè)落地項(xiàng)目為例(抽象客戶實(shí)體,不含敏感信息)來介紹實(shí)際場景中的項(xiàng)目實(shí)踐�����。
5.2.1 情報(bào)賦能安全運(yùn)營體系—某大型銀行威脅情報(bào)實(shí)踐
Ⅰ�����、項(xiàng)目背景
銀行關(guān)鍵基礎(chǔ)設(shè)施承載著高價(jià)值業(yè)務(wù)數(shù)據(jù)和個(gè)人敏感信息�,安全合規(guī)和實(shí)戰(zhàn)化建設(shè)需走在各行業(yè)前列,面臨海量告警精準(zhǔn)研判���、自動化智能處置��、未知威脅發(fā)現(xiàn)預(yù)警等高階安全需求���,該客戶將威脅情報(bào)融入到自身的安全運(yùn)營體系中,并賦能給業(yè)務(wù)線�����,通過輔助豐富的威脅情報(bào)數(shù)據(jù),提升高級威脅檢測�、事件研判分析、自動化封禁等各方面的能力��。
Ⅱ���、應(yīng)用場景
基于威脅情報(bào),已聚焦4種場景的落地��,具體如下:
1����、匯聚全行DNS日志,對接IOC失陷指標(biāo)情報(bào)�,對全行內(nèi)部失陷主機(jī)進(jìn)行精準(zhǔn)識別;
2��、情報(bào)賦能大數(shù)據(jù)處置平臺��,精細(xì)化封禁策略����,降低誤封率和投訴率;
3、基于外部登錄IP的信譽(yù)進(jìn)行審查����,對于應(yīng)用異常登錄風(fēng)險(xiǎn)進(jìn)行識別;
4����、構(gòu)建HW期間攻擊情報(bào)的自動化接收渠道和聯(lián)動封禁手段。
Ⅲ���、落地方案
本地部署威脅情報(bào)平臺(TIP)����,與SIEM����、SOAR分別對接進(jìn)行情報(bào)賦能:對SIEM中海量告警進(jìn)行降噪、研判關(guān)聯(lián)分析����、告警優(yōu)先級排列。利用SOAR在事件處置編排時(shí)��,可調(diào)用TIP內(nèi)多種情報(bào)數(shù)據(jù)進(jìn)行輸入���,以支撐不同威脅分析與處置的編排劇本�,對即將處置的事件進(jìn)行準(zhǔn)確性診斷,并幫助客戶落地自動化階梯封禁策略�。
圖 24 威脅情報(bào)賦能安全運(yùn)營體系
Ⅳ、建成能力及價(jià)值
1�����、具備高質(zhì)量IOC失陷指標(biāo)情報(bào)�����,具備全球數(shù)十億IP信譽(yù)情報(bào)���,豐富的情報(bào)類型、情報(bào)字段����,豐富的情報(bào)上下文,幫助建立更多未知威脅關(guān)聯(lián)分析模型����;
2、通過實(shí)時(shí)情報(bào)碰撞����,精準(zhǔn)發(fā)現(xiàn)內(nèi)網(wǎng)被控主機(jī)等失陷威脅�;
3���、全面賦能大數(shù)據(jù)平臺和SOAR����,提升真實(shí)威脅的檢測�����、分析及處置能力��,實(shí)現(xiàn)閉環(huán)�;
4、基于網(wǎng)絡(luò)信息化數(shù)據(jù)進(jìn)行威脅的主動挖掘��,提升威脅的主動防御能力�。
5.2.2 XDR方案提升全方位安全檢測能力—某銀行XDR深度應(yīng)用
Ⅰ、項(xiàng)目背景
該金融客戶特別關(guān)注失陷主機(jī)檢測及定位能力��,希望通過引入XDR方案�,從網(wǎng)絡(luò)端及終端兩個(gè)層面,基于高質(zhì)量情報(bào)�����、規(guī)則、機(jī)器學(xué)習(xí)及沙箱技術(shù)提升現(xiàn)有安全體系威脅的檢出和分析能力���,并通過網(wǎng)端聯(lián)動能力實(shí)現(xiàn)網(wǎng)端日志自動關(guān)聯(lián)�,還原完整的攻擊鏈條���,定位失陷主機(jī)至威脅進(jìn)程����。
Ⅱ�����、落地場景
目前已在數(shù)據(jù)中心關(guān)鍵區(qū)域部署了多臺威脅感知平臺(TDP)設(shè)備���,接入對外服務(wù)域南北、外聯(lián)域南北�����、核心業(yè)務(wù)域互訪����、本地終端用戶訪問業(yè)務(wù)區(qū)等全流量進(jìn)行實(shí)時(shí)監(jiān)控���,檢測外聯(lián)、互聯(lián)網(wǎng)接入��、內(nèi)網(wǎng)下級單位節(jié)點(diǎn)�、內(nèi)部用戶等多點(diǎn)的攻擊風(fēng)險(xiǎn)。并從海量告警中自動聚焦Webshell���、外部攻擊成功����、針對性攻擊���、主機(jī)失陷等真實(shí)威脅���,智能串聯(lián)攻擊全路徑。
圖25 智能串聯(lián)攻擊路徑
在主機(jī)上部署輕量化 EDR Agent���,進(jìn)行終端層面進(jìn)的攻擊與異常識別����,基于ATT&CK攻擊特征識別規(guī)則識別攻擊鏈各階段攻擊、可疑和正常行為�����,并能智能串聯(lián)攻擊進(jìn)程鏈���,以及串聯(lián)賬號����、主機(jī)���、行為�、文件��、進(jìn)程�����、事件的實(shí)體關(guān)聯(lián)����。
圖26 智能串聯(lián)攻擊進(jìn)程鏈圖
基于TDP與EDR的聯(lián)動�����,從主機(jī)和流量互補(bǔ)攻擊威脅的識別線索,對于流量中初步發(fā)現(xiàn)的威脅��,可利用終端信息進(jìn)一步發(fā)現(xiàn)注入行為���、可疑文件�、進(jìn)程��、網(wǎng)絡(luò)行為����,實(shí)現(xiàn)深度自動溯源,另外對于發(fā)現(xiàn)的真實(shí)威脅���,既可聯(lián)動網(wǎng)絡(luò)實(shí)現(xiàn)威脅通信阻斷���,也能聯(lián)動終端深度定位取證查殺終端惡意文件或進(jìn)程。
圖 27 XDR多方位聯(lián)動檢測
Ⅲ����、使用效果
1、全面提升了數(shù)據(jù)中心的高級威脅檢測能力���,包括僵木蠕�����、惡意代碼����、挖礦、C2遠(yuǎn)控���、APT等多類高級威脅�����,方案實(shí)施兩個(gè)月����,失陷主機(jī)的數(shù)量從30+降至個(gè)位數(shù)�;
2、從海量告警中聚焦真實(shí)威脅并進(jìn)行完整攻擊鏈回溯���,提升了安全團(tuán)隊(duì)對于威脅事件分析�、處置的效率;
3���、準(zhǔn)確的情報(bào)數(shù)據(jù)提升真實(shí)威脅的檢測、分析能力�,有效降低了MTTD和MTTR。
5.2.3多職場辦公外網(wǎng)統(tǒng)一安全管控—某證券機(jī)構(gòu)威脅情報(bào)實(shí)踐
Ⅰ�����、項(xiàng)目背景
該金融客戶為總部-營業(yè)部-呼叫中心的并行網(wǎng)絡(luò)架構(gòu)���,且各職場均能獨(dú)立訪問互聯(lián)網(wǎng)��。但由于分支機(jī)構(gòu)安全防護(hù)體系與安全人員能力較為薄弱��,總部對于眾多機(jī)構(gòu)的安全管控鞭長莫及���,因此造成各職場網(wǎng)絡(luò)大規(guī)模感染釣魚、勒索軟件����、木馬病毒、蠕蟲�����、挖礦木馬等惡意軟件,因此通過引入輕量化 SAAS解決方案���,統(tǒng)一對分布全國的職場內(nèi)外網(wǎng)惡意通信的檢測����、分析�����、定位和阻斷����。
Ⅱ、應(yīng)用場景
通過將上海����、北京、營業(yè)部���、呼叫中心等職場的DNS流量指向微步在線云端OneDNS����,利用全球最新的情報(bào)數(shù)據(jù)、智能檢測引擎和機(jī)器學(xué)習(xí)模型及時(shí)檢測并攔截惡意遠(yuǎn)控通信��,并對正常通信進(jìn)行遞歸解析�������?偛客ㄟ^可視化控制臺實(shí)時(shí)對各機(jī)構(gòu)DNS服務(wù)進(jìn)行運(yùn)維監(jiān)控�����。
圖 28 異地多網(wǎng)點(diǎn)統(tǒng)一安全監(jiān)管
Ⅲ�、應(yīng)用效果
1����、通過將多個(gè)職場訪問互聯(lián)網(wǎng)DNS流量指向OneDNS,實(shí)現(xiàn)多職場威脅的集中管控��;
2��、全局和職場策略靈活組合����,對于攻擊和不合規(guī)上網(wǎng)行為進(jìn)行自動化阻斷��;
3�、基于VA���,接入本地DNS/DHCP日志����,實(shí)現(xiàn)檢出威脅與內(nèi)部終端自動關(guān)聯(lián)����,進(jìn)行精準(zhǔn)定位;
4���、針對告警數(shù)據(jù)�、威脅事件��、告警主機(jī)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)���,實(shí)現(xiàn)全局威脅可視��;
5���、0硬件��、輕運(yùn)維�����,快速拉齊各分支機(jī)構(gòu)的安全防護(hù)能力��。
5.2.4 構(gòu)建基于攻擊情報(bào)的自動化封禁能力—某大型金融機(jī)構(gòu)情報(bào)建設(shè)實(shí)戰(zhàn)
Ⅰ��、項(xiàng)目背景
目前金融客戶的數(shù)據(jù)中心已構(gòu)建了較為完善的安全防護(hù)體系,但省分行的安全防護(hù)能力相對薄弱���,省分行缺少與總行同等的安全監(jiān)測能力�,對于向下通報(bào)的威脅事件����,省分行往往因缺少威脅自動化檢測、分析�����、定位及處置能力均無法處理�,加之缺失情報(bào)共享通道,無法進(jìn)行威脅預(yù)警��,極易成為攻擊總部的跳板,該問題在高頻攻擊的HW中尤為突出���。
Ⅱ�����、落地場景
基于以上狀況���,在總部和各省分行引入基于情報(bào)的攻擊阻斷設(shè)備(TDP),通過旁路部署的方式接入全流量���,依托實(shí)時(shí)更新的攻擊情報(bào)(包括重保期間的HW情報(bào))以及規(guī)則提供雙向流量逐包檢測和IP封禁能力�����,提供行內(nèi)各區(qū)域安全設(shè)備進(jìn)行封禁的能力�,形成全網(wǎng)點(diǎn)到面的安全防護(hù)能力���。
圖 29 威脅情報(bào)多地多端級聯(lián)協(xié)防
Ⅲ����、形成能力
HW攻擊IP和狀態(tài)識別:在重保等特殊時(shí)期�,實(shí)時(shí)拉取HW攻擊情報(bào)判定HW攻擊隊(duì)IP����,并能結(jié)合現(xiàn)網(wǎng)的攻擊數(shù)據(jù)特征�����,判定HW攻擊隊(duì)的攻擊狀態(tài)��,內(nèi)容包括攻擊次數(shù)�、攻擊主機(jī)目標(biāo)、是否攻擊成功�����,是否反連等��,對于命中的HW 攻擊IP查同C端所有IP����,基于情報(bào)捕獲其他HW攻擊IP��,然后聯(lián)動邊界進(jìn)行封禁����。
圖 30 威脅情報(bào)在HW中的自動化封禁策略
支持多種阻斷方式:在不影響現(xiàn)有網(wǎng)絡(luò)組網(wǎng)架構(gòu)的情況下�,支持對接入流量進(jìn)行雙向包檢測和實(shí)時(shí)雙向IP reset封禁能力(小包��、長連接����、http連接);對于封禁策略����,支持基于攻擊方向、攻擊結(jié)果�、嚴(yán)重級別、地理位置及威脅情報(bào)檢測結(jié)果條件自有組合設(shè)置�,并支持設(shè)置阻斷時(shí)間;支持提供阻斷API��,供其他安全防護(hù)設(shè)備調(diào)用����,進(jìn)行協(xié)同聯(lián)動阻斷,提升網(wǎng)絡(luò)安全空間中安全防護(hù)設(shè)備的協(xié)同防御能力����。
威脅檢測與自動化響應(yīng):對流量大數(shù)據(jù)進(jìn)行智能、實(shí)時(shí)分析,識別出各類已知/未知網(wǎng)絡(luò)安全事件����,包括Web 漏洞攻擊、系統(tǒng)漏洞攻擊及黑客常用工具識別���,另需通過攻擊回包自動提取攻擊特征判定是否攻擊成功��,整個(gè)攻擊檢測覆蓋偵查���、漏洞嘗試、控制���、內(nèi)網(wǎng)滲透及對外攻擊�、挖礦���、數(shù)據(jù)竊取等破壞行為的全攻擊鏈,并進(jìn)行安全告警和自動觸發(fā)阻斷處置���。
構(gòu)建攻擊者畫像指導(dǎo)封禁:基于現(xiàn)網(wǎng)實(shí)時(shí)流量中提取攻擊者特征��,并結(jié)合情報(bào)進(jìn)行攻擊者IP畫像分析����,內(nèi)容包括攻擊時(shí)間、攻擊頻率�����、攻擊水平�、影響的業(yè)務(wù)系統(tǒng)、投遞木馬信息�,以及提供該IP的類型信息(網(wǎng)關(guān)/CDN/基站等),通過構(gòu)建攻擊者畫像���,確定攻擊IP的危害程度以及封禁可信度���,提升威脅事件人工分析、處置的效率��。
安全可視化:提供多維度可視化儀表盤和可視化大屏��,提升安全可見性��,為安全決策提供數(shù)據(jù)支撐���,便于安全運(yùn)維人員全面掌握安全狀況��,提高工作效率����。對于威脅告警分別以整體、內(nèi)網(wǎng)資產(chǎn)�、攻擊者多個(gè)視角分別展示安全態(tài)勢情況及安全處置等相關(guān)數(shù)據(jù)指標(biāo),支持自定義報(bào)告內(nèi)容和導(dǎo)出報(bào)告����,滿足日常安全運(yùn)營日報(bào)和重保期間向上匯報(bào)等場景的需求。
六����、建議及總結(jié)
從網(wǎng)絡(luò)安全攻防的角度來看,當(dāng)前任何自動或半自動化的安全防御系統(tǒng)最終仍需與人交互實(shí)現(xiàn)最后決策���,攻防對抗的本質(zhì)是人與人的對抗��,在攻防技術(shù)手段更新迭代中攻擊方能力永遠(yuǎn)處于領(lǐng)先狀態(tài)����,當(dāng)前任何安全防御系統(tǒng)都無法完全確保目標(biāo)系統(tǒng)的安全性�����。因此從長遠(yuǎn)的網(wǎng)絡(luò)安全建設(shè)來看�����,除了繼續(xù)擴(kuò)充加強(qiáng)整體安全防御系統(tǒng)外�,提升機(jī)構(gòu)全員網(wǎng)絡(luò)安全意識、規(guī)范化上網(wǎng)行為同樣是需要長期建設(shè)的內(nèi)容�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
