網(wǎng)絡(luò)安全縱深防護(hù)體系實(shí)踐

周蒙 裘岱

摘? 要：網(wǎng)絡(luò)安全形勢風(fēng)云詭譎，企業(yè)的傳統(tǒng)安全防護(hù)體系在面對高階持續(xù)攻擊時(shí)已無法實(shí)時(shí)監(jiān)控系統(tǒng)持續(xù)運(yùn)行、保護(hù)數(shù)據(jù)安全。為全方位保護(hù)企業(yè)的網(wǎng)絡(luò)安全，結(jié)合縱深防御的指導(dǎo)思想構(gòu)建一套從主機(jī)、應(yīng)用到網(wǎng)絡(luò)邊界的安全防護(hù)體系。利用技術(shù)手段實(shí)現(xiàn)多點(diǎn)實(shí)時(shí)檢測，結(jié)合威脅情報(bào)、日志安全分析以及自動(dòng)化阻斷惡意訪問的安全防護(hù)體系，經(jīng)過網(wǎng)絡(luò)安全攻防演練實(shí)戰(zhàn)檢驗(yàn)，有效的告警信息和快速的處置手段可大幅減少應(yīng)急響應(yīng)處置的時(shí)間。

關(guān)鍵詞：網(wǎng)絡(luò)安全體系;縱深防護(hù);實(shí)時(shí)監(jiān)測

中圖分類號：TP393.08;TP308 ? ? ?文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）24-0097-04

Practice of Network Security in Depth Protection System

ZHOU Meng，QIU Dai

（SSE Infonet Co.，Ltd.，Shanghai? 201203，China）

Abstract：The situation of network security is changeable，and the traditional security protection system of enterprises has been unable to real-time monitor the continuous operation of the system and protect the data security in the face of high-level continuous attacks. In order to protect the network security of enterprises in an all-round way，combined with the guiding ideology of defense in depth，this paper constructs a set of security protection system from the host，application to the network boundary. Using technical means to achieve multi-point real-time detection，combined with threat intelligence，log security analysis and automatic blocking malicious access security protection system. Through the actual combat test of network security attack and defense drill，effective alarm information and fast disposal means can greatly reduce the time of emergency response disposal.

Keywords：network security system;depth protection;real-time monitoring

0? 引? 言

伴隨著投資者、上市公司等資本市場用戶對信息交互便捷性的追求，公司越來越多信息系統(tǒng)部署互聯(lián)網(wǎng)化。與此同時(shí)，全球互聯(lián)網(wǎng)安全攻擊數(shù)量持續(xù)攀升，信息泄露、“薅羊毛”等安全事件頻發(fā)[1，2]，網(wǎng)絡(luò)安全威脅穿透邊界防火墻、Web應(yīng)用防火墻等邊界安全防護(hù)正在變得越來越容易。為更好地模擬網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)，上海證券交易所邀請實(shí)力強(qiáng)勁的攻擊隊(duì)從任意角度（互聯(lián)網(wǎng)、物理社工等）進(jìn)行安全攻擊，上證所信息網(wǎng)絡(luò)有限公司作為上海證券交易所的子公司，是攻防演習(xí)中防守方。攻擊隊(duì)在過程中利用應(yīng)用系統(tǒng)漏洞、中間件漏洞、人員信息意識薄弱等直接突破邊界安全防護(hù)，給公司現(xiàn)有的安全防護(hù)體系帶來了嚴(yán)峻挑戰(zhàn)。構(gòu)建立體塔式、縱深的安全防護(hù)體系已迫在眉睫，從傳統(tǒng)的被動(dòng)防御體系需要轉(zhuǎn)變?yōu)橹鲃?dòng)智能防御體系，從邊界安全防護(hù)轉(zhuǎn)變?yōu)榭v深防御體系[3，4]。

1? 現(xiàn)狀分析

如圖1所示，傳統(tǒng)的被動(dòng)和邊界防御體系通常在互聯(lián)網(wǎng)邊界處部署防火墻、應(yīng)用防火墻（WAF）、入侵防御系統(tǒng)（IPS）抵御來自外部的惡意訪問，結(jié)合內(nèi)部的安全管理流程實(shí)施安全防護(hù)。

圖1中所示架構(gòu)（圖來源參見《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（2012）》，附錄B基本網(wǎng)絡(luò)安全防護(hù)架構(gòu)參考圖），具備基礎(chǔ)的安全防護(hù)能力，但在面對網(wǎng)絡(luò)安全攻防演習(xí)實(shí)戰(zhàn)時(shí)進(jìn)攻隊(duì)的高級持續(xù)攻擊，不足之處有：

（1）監(jiān)控防御缺失。若攻擊流量穿透邊界防御，無法及時(shí)定位失陷服務(wù)器、分析失陷的源頭及泄露的數(shù)據(jù)情況等。

（2）被動(dòng)安全防護(hù)。傳統(tǒng)架構(gòu)的安全防護(hù)模式過于被動(dòng)化，邊界安全設(shè)備防護(hù)策寬泛，未及時(shí)同步外部的威脅情報(bào)進(jìn)行阻斷，且未實(shí)現(xiàn)安全風(fēng)險(xiǎn)自動(dòng)識別、分析和處置等。

2? 解決方案

在發(fā)生安全事件時(shí)，需要第一時(shí)間判斷惡意攻擊者如何突破邊界（應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）安全限制，以及是否在獲取服務(wù)器控制權(quán)后進(jìn)行內(nèi)部橫移操作。如圖2所示，以邊界至核心數(shù)據(jù)視角出發(fā)[4]，部署網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)和終端層安全防護(hù)，同步結(jié)合主動(dòng)的欺騙性防御、定期的信息資產(chǎn)梳理以及實(shí)時(shí)的威脅情報(bào)，實(shí)現(xiàn)縱深安全防護(hù)。

2.1? 多點(diǎn)布控

在邊界網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、主機(jī)、應(yīng)用等全方位部署安全監(jiān)控工具，實(shí)現(xiàn)多角度安全分析[5]。

2.1.1? 主機(jī)/終端層防護(hù)

主機(jī)服務(wù)器上部署著應(yīng)用程序代碼、數(shù)據(jù)庫系統(tǒng)，是信息系統(tǒng)的核心資產(chǎn)，在主機(jī)服務(wù)器上安裝主機(jī)安全防護(hù)產(chǎn)品是安全運(yùn)維的底線。主機(jī)安全防護(hù)系統(tǒng)如圖3所示，如主機(jī)入侵檢測系統(tǒng)（Host-based Intrusion Detection System，HIDS）、終端安全響應(yīng)系統(tǒng)（EDR）。利用防護(hù)軟件可實(shí)時(shí)清點(diǎn)主機(jī)/終端中內(nèi)部資產(chǎn)情況，并與風(fēng)險(xiǎn)和入侵事件自動(dòng)關(guān)聯(lián)，提供主機(jī)層面的信息用于靈活高效的回溯。同步可以實(shí)時(shí)發(fā)現(xiàn)入侵事件，包括高危命令執(zhí)行告警、shell及后門檢測告警、異常端口嗅探行為等，可協(xié)助運(yùn)維人員快速防御和響應(yīng)。

2.1.2? 網(wǎng)絡(luò)層監(jiān)控

網(wǎng)絡(luò)層的流量監(jiān)控作為安全威脅的溯源分析和影響判斷的數(shù)據(jù)來源，其重要性不言而喻。從信息系統(tǒng)數(shù)據(jù)的訪問入口出發(fā)，對下文所述兩個(gè)入口強(qiáng)化安全監(jiān)控手段：

（1）用戶入口。優(yōu)化應(yīng)用安全防火墻WAF安全防護(hù)措施，形成閉環(huán)、高效的WAF運(yùn)營機(jī)制并落地實(shí)施。在業(yè)務(wù)和研發(fā)充分溝通的基礎(chǔ)上，針對不同的應(yīng)用系統(tǒng)的防護(hù)策略進(jìn)一步細(xì)分，對應(yīng)用系統(tǒng)制定“一系統(tǒng)，一策略”的定制化服務(wù)。不斷完善WAF策略，分級分類的粒度越細(xì)致、越準(zhǔn)確，就越能在網(wǎng)絡(luò)攻擊防護(hù)和保障業(yè)務(wù)正常運(yùn)行之間找到合理的平衡點(diǎn)，給安全事件發(fā)生后的決策層提供更多的控制選項(xiàng)。

但傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)由于設(shè)備性能、檢測規(guī)則、隧道隱蔽及0day攻擊等各方面原因，存在繞過的可能性。在邊界安全設(shè)備后部署流量監(jiān)測設(shè)備運(yùn)用威脅情報(bào)、實(shí)時(shí)檢測引擎、文件虛擬執(zhí)行、機(jī)器學(xué)習(xí)等技術(shù)，精準(zhǔn)發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵行為。同時(shí)，利用日志安全分析平臺對流量日志和終端日志進(jìn)行存儲和查詢，結(jié)合威脅情報(bào)和攻擊鏈分析對事件進(jìn)行分析、研判和響應(yīng)處置，可以快速發(fā)現(xiàn)已知和未知的高級網(wǎng)絡(luò)攻擊。

（2）辦公/管理入口。很多時(shí)候，安全威脅不僅來自外部，更有可能來自內(nèi)部。如員工的辦公終端安裝了開源軟件或者即時(shí)聊天工具，被惡意攻擊者通過社工或者技術(shù)手段獲取信息后實(shí)施安全攻擊。如圖4所示，在辦公/管理網(wǎng)絡(luò)安裝流量監(jiān)控、辦公終端的防病毒管理和上網(wǎng)行為管理是構(gòu)建基本的安全防護(hù)體系不可或缺的一部分。

2.1.3? 綜合研判處置

在實(shí)現(xiàn)對內(nèi)部主機(jī)層、網(wǎng)絡(luò)層的安全監(jiān)控加固后，搭建日志分析平臺，匯聚來自網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)服務(wù)器、應(yīng)用中間件等日志，實(shí)現(xiàn)：

（1）統(tǒng)計(jì)安全監(jiān)測設(shè)備中的告警列表，便于及時(shí)在邊界處配置訪問控制策略。

（2）安全事件溯源，在日志系統(tǒng)中可快速查找失陷主機(jī)的日志記錄，避免重復(fù)登錄主機(jī)以及主機(jī)日志丟失等情況。

傳統(tǒng)的安全防護(hù)是由運(yùn)維人員將發(fā)現(xiàn)的惡意攻擊者的IP和域名輸入至安全設(shè)備，但是人工配置不僅時(shí)效低，還有錯(cuò)誤率高的風(fēng)險(xiǎn)。構(gòu)建自動(dòng)化處置平臺，將日志安全分析結(jié)果和外部威脅情報(bào)進(jìn)行進(jìn)一步處置，無須運(yùn)維人員登錄到每個(gè)安全設(shè)備上操作。

2.2? 主動(dòng)防御

面對高級持續(xù)定向安全攻擊，主動(dòng)安全防御已是企業(yè)保護(hù)自身安全的重要手段。

2.2.1? 資產(chǎn)梳理

利用主動(dòng)掃描、被動(dòng)流量監(jiān)聽等手段對信息資產(chǎn)進(jìn)行盤點(diǎn)，收斂互聯(lián)網(wǎng)暴露面，如限制向互聯(lián)網(wǎng)開放的管理頁面的訪問。同時(shí)，依據(jù)業(yè)務(wù)持續(xù)性、數(shù)據(jù)敏感性等條件對資產(chǎn)進(jìn)行分類，依據(jù)分類等級投入不同的安全防護(hù)能力。

此外，在Github、Gitee、Coding等開源社區(qū)、網(wǎng)盤和文庫搜索業(yè)務(wù)系統(tǒng)關(guān)鍵字，查看是否存在業(yè)務(wù)系統(tǒng)資產(chǎn)泄露情況，防止泄露有價(jià)值的數(shù)字資產(chǎn)，形成完善的資產(chǎn)回收流程，輸出資產(chǎn)臺賬。

2.2.2? 欺騙性防御

為消耗攻擊者的精力，部署一整套具備交互能力的欺騙式防御系統(tǒng)。該系統(tǒng)重在偽裝和混淆，使用誤導(dǎo)、錯(cuò)誤響應(yīng)和其他技巧誘使攻擊者遠(yuǎn)離真實(shí)資產(chǎn)，并將其引向蜜罐和其他誘騙系統(tǒng)，增加攻擊的難度和成本。

2.2.3? 情報(bào)監(jiān)控

與行業(yè)內(nèi)情報(bào)資源豐富的安全廠商協(xié)同合作，結(jié)合其威脅情報(bào)及時(shí)檢測、梳理和處置內(nèi)部已經(jīng)失陷主機(jī)或者存在高風(fēng)險(xiǎn)行為的主機(jī)，情報(bào)中主要的知識包括如文件HASH、IP、域名、程序運(yùn)行路徑、注冊表項(xiàng)、上下文、機(jī)制、標(biāo)示、含義等，以及相關(guān)的歸屬標(biāo)簽。

3? 驗(yàn)證

如表1所示，通過部署檢測、監(jiān)控、分析及情報(bào)等平臺/系統(tǒng)，結(jié)合網(wǎng)絡(luò)邊界處的防火墻等安全設(shè)備進(jìn)行高效的阻斷，一套可以發(fā)現(xiàn)、分析、處置的安全防護(hù)體系基本構(gòu)建完成。一場網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)方可檢驗(yàn)這套體系有效性。

驗(yàn)證場景：如表2所示，T日18：30開始模擬攻擊，19：07攻擊者通過命令執(zhí)行控制網(wǎng)站一臺MQ服務(wù)器，為避免對其他系統(tǒng)造成不可預(yù)計(jì)風(fēng)險(xiǎn)，不再進(jìn)行橫向擴(kuò)展入侵。為確保測試公正性，運(yùn)維A組人員和運(yùn)維B組人員互相之間不能互相聯(lián)系。

通過此次模擬攻擊測試，新的安全防護(hù)體系較之舊安全體系可以快速發(fā)現(xiàn)攻擊行為，定位安全問題/安全弱點(diǎn)，輔助運(yùn)維小組更快的處置安全攻擊事件。

4? 不足與改進(jìn)之處

利用主機(jī)設(shè)備的高危操作告警，流量監(jiān)控的高效溯源，日志平臺快速定位問題以及威脅情報(bào)預(yù)警風(fēng)險(xiǎn)形成一套行之有效的安全體系。但一起安全事件中，需要運(yùn)維人員干預(yù)的點(diǎn)仍然較多，如：需要在出現(xiàn)告警后及時(shí)查看流量監(jiān)控平臺和日志安全分析平臺進(jìn)行分析。后續(xù)可以繼續(xù)探索通過信息收集、典型安全事件場景演練以及行業(yè)的安全事件處置實(shí)踐經(jīng)驗(yàn)，對主機(jī)、流量監(jiān)控以及情報(bào)告警進(jìn)行場景化分析，通過用戶行為（UEBA）分析進(jìn)行高風(fēng)險(xiǎn)行為識別，生成自動(dòng)化封禁清單以及需進(jìn)一步處置的每日安全調(diào)查事件清單。換而言之，跟蹤的主體對象在何時(shí)進(jìn)行的何種異常操作，結(jié)合外部威脅情報(bào)分析是否有聚集現(xiàn)象，生成存在可信度較高的可疑主體對象并自動(dòng)化在邊界安全設(shè)備中配置封禁策略。同時(shí)，安全運(yùn)維人員根據(jù)可信度對安全事件進(jìn)行問題定位和問題修復(fù)。

假設(shè)上述運(yùn)維人員干預(yù)點(diǎn)的平均操作時(shí)間5分鐘（實(shí)際可能更久），若將上述人工干預(yù)點(diǎn)通過數(shù)據(jù)分析變成機(jī)器自動(dòng)化處理，那么至少可以將安全事件的處置時(shí)間縮短至少20分鐘。在安全事件處置過程中，爭取的這段寶貴的時(shí)間可以有效保護(hù)信息資產(chǎn)免于遭受進(jìn)一步的泄露和破壞。

5? 結(jié)? 論

攻防實(shí)戰(zhàn)的結(jié)果驗(yàn)證了完善后安全防護(hù)體系的有效性，將安全事件的影響范圍、應(yīng)急處置時(shí)間大幅壓縮，同時(shí)為確定事件的影響范圍、處置分析決策提供有力支撐。后續(xù)將進(jìn)一步研究如何將需要人工參與處置的部分電子化、流程化，進(jìn)一步提升安全事件的應(yīng)急處置時(shí)效，提供更好的保障同時(shí)，繼續(xù)堅(jiān)持模擬對抗、以攻促防，在實(shí)踐中不斷檢驗(yàn)和提升網(wǎng)絡(luò)安全防護(hù)水平，為我國證券市場發(fā)展保駕護(hù)航。

參考文獻(xiàn)：

[1] 高博.基于大數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)安全體系構(gòu)建對策 [J].現(xiàn)代信息科技，2020，4（12）：134-135+139.

[2] 張學(xué)林.計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（2）：140+144.

[3] 孫華山，張茂興.大數(shù)據(jù)背景下關(guān)于網(wǎng)絡(luò)信息系統(tǒng)安全形勢的研究 [J].信息系統(tǒng)工程，2019（12）：60-61.

[4] 趙峰，馬躍強(qiáng).基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)方案的設(shè)計(jì) [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（5）：109-111.

[5] 程永昕.計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè) [J].傳播力研究，2020，4（1）：182+184.

作者簡介：周蒙（1989—），女，漢族，江蘇東臺人，工程師，碩士，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)、網(wǎng)絡(luò)安全、應(yīng)用安全SDL管理。