从内部演练结果看上交所面临的安全挑战

从内部演练结果看上交所面临的安全挑战

谢毅 18918500599 yxie@sse.com.cn

张涛 18918500537 taozhang@sse.com.cn

摘要：在初次接触网络安全攻防时，往往会迷茫于海量的具体的安全漏洞和技术细节。是否解决了技术上的安全漏洞系统就安全了？各种类型的安全问题在实战中影响有多大？这些往往只有定性的描述而缺少定量的分析。本文依托上交所2020年度几次内部网络安全攻防演练结果的数据，通过攻击链还原确定入侵路径后，把上交所面临的安全挑战归类为五大主要因素，并针对各因素提出了相应的对策。

2020年初，上海证券交易所（以下简称“上交所”） 启动网络安全攻防演习准备工作时，上交所内部对网络安全的理解普遍还是停留在防火墙、IPS、WAF等网络安全设备的购置和应用上。直到三月下旬上交所组织的第一轮内部网络攻防演练，展示了何为有组织的网络攻防。

一、第一轮内部演练过程及结果分析

上交所内部网络攻防演练，以本所实际运行的信息系统为保护目标，通过有监督的攻防对抗，以红蓝对抗的方式，最大限度地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。内部演练中，上交所邀请了多支业界排名靠前的攻击队组成红队发起攻击，蓝队则由本所技术系统运维团队牵头组成，同时聘请外部安全服务厂商参与防御。

第一轮演练启动时，上交所尚未进行网络安全意识加强培训及技术整改加固。除了最基础的防火墙、IPS、WAF之外，没有部署其他的网络安全防护设备。

一周的演练过程中，初始设定在攻击目标范围内的大部分技术系统均被突破。各攻击队均有斩获，导致百台以上主机陷落或重要敏感信息泄露的重大风险案例就有5起。第一次攻防演练让上交所对大规模团队网络攻击首次有了切身体验。

第一轮演练结束后，经过红蓝技术交流还原攻击链条，归并同类项后识别出上交所五大主要安全问题：

可以看出，在上交所第一轮网络攻防演练中，网络安全问题的技术因素（系统漏洞）占比接近六成，非技术因素（弱口令、敏感信息泄露、社会工程学）三者加在一起也接近四成。从重大风险案例的攻击链还原也可看出，一次成功的攻击往往需要综合利用多种技术与非技术手段：软件漏洞、弱口令、社会工程学一般用作单点突破，真正战果扩大往往是由于敏感信息泄露等原因被横向扩展，导致攻击队可以极大地扩展了攻击面。

二、第二轮内部演练过程及结果分析

2020 年6月初，上交所组织实施了2020年度第二轮内部网络攻防演练。此时，上交所技术相关部门（公司）的网络安全针对性技术整改加固已开展了一个多月，但新购置的安全产品尚未部署，场地、人员也未就绪。更重要的是，第二轮演练时除技术口外，上交所其他部门以及关联单位，均还未被纳入到网络安全防护体系中。这些因素都对演练结果产生了明显的影响。

第一、二轮演练发现问题类型占比对比如下：

从上表可以看出，第二轮攻防演练中，“系统漏洞”引发的问题大幅降低为上次演练的约1/4，与此同时其他四个原因引发的问题占比均几乎翻倍。本轮演练发现的安全问题接近八成是非技术原因引发的。

以上数据说明，经过近两个月的网络安全建设加固和自查整改，技术系统的各种漏洞比较第一轮演练已经大幅下降。但是与安全意识密切相关的弱口令、信息泄露、社会工程学问题，以及与安全架构密切相关的横向扩展问题，均没有取得进展。

与第一轮演练技术系统近乎全面沦陷不同，第二轮演练中出问题的技术系统在重要性和影响度方面都有所下降。演练中失陷的技术系统主要集中在外围，或是非上交所维护的部分技术系统。这一方面在某种程度证实了前一阶段工作的有效性，另一方面也指出了前一阶段工作中所忽视和遗漏的部分。

三、第三轮内部演练过程及结果分析

六月底上交所组织了第三轮内部网络攻防演练。此时上交所的网络安全防护工作指挥部已设立并全面开展工作。所有五类问题所内均指定了负责部门（公司），并在指挥部统一指导下针对各类问题进行了多轮培训、宣贯、测试、整改。全所及相关单位人员已经全面动员参与到演练中来，演练的场地、人员、培训均已基本就绪，各网络安全防护设备也基本安装完成并开始发挥作用。

从演练情况来看，第三轮演练较于前两轮取得了明显的进步。红队进攻成功率明显下降，红队得分大幅降低，蓝队报告质量明显提高，威胁分析能力增强，大量安全威胁事件能够被自动发现、排除。

三轮演练红蓝两队的得分如下：

三轮演练红队报告的各类问题分布趋势如下：

四、五类问题总结及对策分析

根据三轮内部网络攻防演练实践，上交所网络安全面临五大类问题总结如下。

（一）系统漏洞

定义：技术系统软硬件中能被威胁所利用的弱点，使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。

实例：重点在第三方软件和中间件，以及自主开发软件的应用层和数据层。涉及类型包含反序列化、命令执行（提升权限）、目录遍历、SQL注入、存储型跨站脚本（XSS(Stored)）、解析漏洞、代码逻辑漏洞、验证码缺陷、登录逻辑缺陷、重复注册、未授权访问等。

对策：信息资产梳理，漏洞扫描和渗透测试，补丁升级管理。

（二）弱口令

定义：口令无法有效对抗猜测或暴力破解。通用口令、初始口令、相邻区域口令也属于弱口令。

实例：涉及管理员账号（后台管理、服务平台、管理系统、审计系统等）、普通用户账号（服务平台、邮件系统等）、SSH账号（内网系统）、审计用户账号（防火墙）等。

对策：双因素认证，安全意识培训，口令强度自查+核查。

（三）信息泄露

定义：特指直接影响安全，可被攻击队进一步利用的重要信息，本不应当被外部访问到却通过网站、接口、外部存储等途径被未授权泄露到外部。

实例：主要有代码托管网站的源代码泄露，系统配置（文件）及脚本文件中的明文账号和密码，网盘或本地文件密码备份文件，数据库中存储的账号/密码（MD5）等，WIFI密码也在内。

对策：安全意识培训，主机/服务器敏感信息自查+核查。

（四）社会工程学

定义：通过欺诈他人以收集信息、行骗和入侵技术系统的行为。

实例：邮件木马，网页木马，U盘木马，QQ群或其他即时通信工具木马，电话欺诈，二维码欺诈，抵近攻击等。

对策：安全意识培训，邮件网关和沙箱，终端入侵检测。

（五）横向扩展

定义：内网关键区域安全隔离措施不足，被渗透成功后造成战果扩大。

实例：内网渗透，办公到生产网，测试到生产网等

对策：重要系统安全策略评估，网络架构安全评估优化，流量分析、日志分析及态势感知。

反思整个准备阶段，紧贴实战的多轮网络安全攻防演练，对上交所的网络安全防护准备工作起到了不可替代的作用。多轮演练摸清了家底，明确了重点，锻炼了队伍，警醒了员工，指明了改进的方向。反观主要问题类型，网络安全防护绝非技术条线能够独自完成的工作。没有全所动员、全员参与的组织形式，没有责任到人、层层落实的深度参与，不可能取得理想的网络安全防护结果。正如RSA Conference 2020安全大会的主题“HUMAN ELEMENT”所揭示的，人的因素既是网络安全的弱点，也是网络安全取得胜利的决定性力量。

选自《交易技术前沿》第42期 网络安全防护专刊

声明：本文来自证券信息技术研发中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。