作者:广州银行信用卡中心 翁静光 潘宏万
金融数字化转型给商业银行注入新的动能,推动金融服务业态转型升级,带动业务模式转变,更好地服务实体经济发展。但是,在数字化时代,网络安全边界和风险逐步扩大,传统的安全防护体系面临安全无法很好赋能业务并与业务共生的困境,因依赖于传统的设备扎堆模式而使商业银行安全工作不堪重负,且不同的安全管理策略与业务发展之间存在矛盾之处。促业务、保安全的战略目标如何落实,安全防护技术体系如何构建,是商业银行面临的重要问题。
2020年以来,广州银行信用卡中心(以下简称“广银卡中心”)加速推进安全防护体系的建设,以促业务、保安全为目标,积极探索安全防护技术体系建设,参照DevOps莫比乌斯环路径,推动安全左移和安全右移的安全体系落地(如图1所示),保障广银卡中心业务的安全、稳健、持续发展。
图1 广州银行信用卡安全防护技术体系
一、安全左移
以往传统的安全活动主要侧重于在运营阶段进行漏洞修复以及在生产阶段之前修复安全渗透测试发现的漏洞,从漏洞成本效益投入方面来看,运营阶段发现漏洞并进行修复所需投入的安全成本相当于研发阶段所需投入的100倍,而相对于研发阶段,生产前渗透测试发现并进行修复需投入10倍的成本和人力。随着数字化转型的推进,漏洞修复不仅仅阻碍了业务的快速发展,还引发了安全工作方面的信任危机。在这种情况下,唯一的解决方案是将安全置于业务的前沿,实现业务发展与安全的有机融合,这就是“安全左移”。
引用软件开发生命周期(SDL)体系来实现安全左移的理念早在十多年前就已经形成了多种流派和实践成果。目前,国内大型企业在引入和实施软件安全体系方面,以微软和BSI两大流派尤为著名。然而,在实际落地过程中,这些安全体系都面临一系列挑战,包括复杂的工具、繁琐的流程、大量的人力投入等问题。为了解决这些问题,广银卡中心从实际情况出发,以差距分析为导向,考虑到SDL体系的制度和落地实施情况,以及红线规范、安全、合规、开发、测试、运维等当前安全能力偏差等差异化现状,弥补和改变开发现状的缺失点及不合理状况,构建轻量化SDL体系。
1.流程体系化
传统的开发流程按照“需求分析—概要设计—详细设计—编码—SIT测试—UAT测试—上线”的步骤进行,然而其中除了渗透测试外,没有其他安全活动存在。广银卡中心通过差异性调度评估和多次迭代试运行,结合业务系统的实际情况,制定了合适的SDL体系流程(如图2所示),在开发流程中引入四个关键的安全活动,即安全需求识别、安全设计知识库、静态代码扫描和IAST自动测试,以实现安全左移,产品内置安全属性。
图2 SDL体系流程示意
2.过程管理
(1) 安全需求识别
从业务场景化视角出发,将安全需求、威胁、安全设计三者对应形成安全需求问卷,通过采用问卷形式,让业务人员直接参与安全需求的识别(如图3所示),由此降低了业务人员的专业性安全能力需求,同时简化了专业性安全需求分析的过程。
图3 安全需求识别示例
(2) 安全设计库
设计库是对广银卡中心现有的业务模式和开发框架的提取,通过分类、整理和安全专家模式积累,构建包括主要业务场景化、安全设计技术规范、安全类别和子类关联、威胁说明、合规需求等对标建设的安全设计知识库(如图4所示)。现有设计库涵盖29个大安全分类、144个子类的设计规范,设计库也会不断更新,建立应对新的业务环境和新的安全威胁能力。
图4 安全设计库示例
(3) 公共安全组件
不同业务系统开发人员的安全素养是导致软件安全质量参差不齐的重要原因,安全需要考虑如何统一,广银卡中心从公共统一框架出发,通过回溯历史安全测试或者渗透测试的TOP漏洞,基于当前开发框架定制开发安全公共组件,可以有效提高安全开发效率和安全效果,避免重复造轮子。例如用户输入验证、安全编码转义、XSS过滤器(适用于非富文本框场景)、统一日志SDK等公共安全组件,在落地时需要注意的是,公共组件推广一般由架构所属科室来做主导,其他组件的推广需要经过全面的兼容性测试,避免上线后影响业务和带来安全信任危机。
(4) 安全红线标准
回溯历史漏洞高发点及金融行业常见高危安全漏洞(SQL注入、XSS、文件上传、越权、代码执行等),根据威胁程度提取到安全规范中并纳入红线标准(如图5所示),是开发安全的红线要求,要求所有应用必须遵守。在实践中,红线要求不应过泛过大,需要考虑可校验和落地的因素,同时可以基于自动化工具针对红线标准快速自查和验证。
图5 红线标准
3.技术落地
安全左移不能仅靠规范和流程,虽然规范和流程是前导,但是在实际落地过程中工具是实现卡点的手段。广银卡中心在落地工具上考虑的流程点主要包括编码过程、组件引入、安全测试环节,并结合红线标准开展工具链落地实践(如图6所示)。
图6 工具链落地实践路径
(1) 安全代码检测
在编码规范中利用安全代码扫描工具发现漏洞,高误报率是安全代码扫描工具难以落地的阻力。在平衡推进过程中,广银卡中心关注的是系统迭代过程中的红线漏洞,以及通过持续优化检测策略,实现漏洞降噪和降重的优化;对于需要定时定期安全评估的应用,再启用全量漏洞的代码检测策略。
(2) 三方组件检测
在项目开发过程中使用三方组件可以提高研发效率、缩短项目上线周期并有效降低开发成本,据统计,当前50%~80%的代码来自于三方组件。但三方组件依赖库、SDK也增加安全威胁面。除了建立三方组件库准入标准外,广银卡中心还利用自动化检测工具检测三方组件,对引用的三方组件开展安全代码分析和漏洞发现。
(3) 测试阶段安全检测
将安全性测试嵌入软件开发功能测试阶段,需要在SIT测试和UAT测试中利用IAST自动测试工具实现持续性动态交互的漏洞检测,工具的能力包括展示漏洞信息相关的请求与相应、代码示例与修复建议、精准直接定位到代码位置等,但要实现测试工作与安全检测深度融合,关键在于IAST是否具备对漏洞的闭环修复验证及在污点数据流方面做闭环验证的能力。工具链实践结果如图7所示。
图7 工具链实践结果示例
(4) 上线安全评估
基于流程管理和自动化工具的落地,已经实现了集成环境的安全漏洞扫描、安全配置检查及代码审计的左移,广银卡中心在安全评估上释放了大部分自动化工具所消耗的人力,并从攻击者思维出发,不仅关注外部漏洞突破、业务逻辑绕过等安全测试,还评估内部的环境和业务操作安全。安全评估作为最后一道防线,也是对前面左移过程中流程化执行和工具检测效能的复核。
二、安全右移
安全左移是实现将安全性嵌入系统和产品的有效方法。通过安全左移,团队可以提升软件交付性能并构建更安全的系统。然而,安全体系的建设从来都不应该是单一维度的,在左移的过程中深入思考,我们发现安全的防御水平不应该局限在系统层面的内部安全防护上,还需要考虑“系统是否具备足够的灵活性来应对不断变化的网络安全环境”“如何实现运维上线后持续的安全检测”“如何进行应急响应”“如何让安全工作成为一个持续反馈和改进的循环过程”等问题;最重要的是,需要规避两级分化的情况,即只关注系统内部的安全而忽视了外部多变的安全威胁。因此,构建完整的安全防护体系建设需考虑如何以现有的传统安全手段实现安全右移能力与安全左移结合。
1.常规安全工作
(1) 安全基线配置
安全基线配置遵循木桶原理,在落地实践中安全基线配置的主要难点在于存量资产的盘查以及基线配置对业务的影响程度。广银卡中心主要从三个方面入手:一是对于存量资产的盘点除了基于CMDB外,还结合主机安全检测平台通过横向发现获取全网存量资产;二是在业务影响方面,在基线的配置前期需做灰度测试;三是实现镜像基线标准。需要注意的是,安全基线配置是一项持续的、反复的安全审计项。
(2) 运维平台集成
通过运维平台集成并依赖运维平台实现自动投产,降低运维人为操作风险,运维平台作为统一资产管理工具成为连通安全与运维的桥梁。
(3) 脆弱性评估
漏洞扫描是最传统直接的脆弱性评估方法,但在落地时也最容易造成安全信任危机,广银卡中心漏洞扫描重点关注高危可利用的漏洞,并结合近期爆发的安全漏洞形成检测模板,进行重点检查和验证,根据实际的业务场景区域的不同,采用分优先级修复漏洞的闭环策略。
(4) 常态化渗透测试
根据业务形态和安全管理策略实施渗透测试(见表1)。
表1 渗透测试实施要求
(5) 持续反哺循环
将对应急事件的分析、内部发现的漏洞、脆弱性扫描发现的问题、渗透测试发现的问题以及外部获取的0day、Nday攻击行为汇总,提炼出新的安全设计要求,不断反哺安全设计库,确保安全设计库与实际业务密切结合,适应复杂的网络安全变化。
2.安全威胁发现
(1)“WAF+机器人”防火墙
传统的WAF基于规则策略匹配,能实现对工具扫描及已知漏洞利用的防护拦截,而对于高细粒度的自对抗策略缺乏对抗模式,无法实现精准和有效防护。广银卡中心在实际落地中,将WAF与机器人防火墙结合使用,实现异构防护技术上的取长补短,发挥最大的应用安全防护能力(如图8所示)。利用机器人防火墙对自动化工具做第一层过滤,减少自动化工具带来的攻击威胁,防止恶意扫描及漏洞探测,降低服务器资源损耗。第二层过滤基于动态挑战结合传统规则策略做防护,除了包含规则匹配和语义分析技术以外,利用无规则动态防护技术,可以对已知和未知的自动化攻击及各种利用自动化工具发起的恶意行为实现及时、高效拦截。同时,机器人结合WAF技术,能够有效对抗传统安全防护无法拦截的新型攻击手段,包括基于多源低频攻击、模拟业务逻辑攻击以及针对网站0day漏洞的自动化攻击。
图8 “WAF+机器人”组合架构示意
(2)主机安全
广银卡中心在HIDS落地时关注两个方面:
一方面,因为HIDS功能依靠Agent的数据收集功能,在HIDS落地时考虑Agent需要轻量化,Engine安全引擎考虑具备在漏洞、弱密码、Webshell写入行为、内存木马检测、异常网络连接行为、异常命令调用等方面的安全行为监测覆盖能力,强调暴露面梳理、持续威胁监测的安全防护策略。
另一方面,扩展能力,特别是0day或者Nday的爆发,需要做快速检测,如果依靠服务商推送检测策略,在安全防守抢占时机上将受制于人,甚至本身安全团队自行发现的漏洞也需要自动化校验能力实现。因此,广银卡中心在HIDS落地中考虑到扩展能力及0day或Nday的爆发,安全团队第一时间可以漏洞检查插件下发漏洞特征来准确判断并响应当前环境中的威胁影响面。
(3)内网威胁检测
内网威胁检测主要针对边界防御失效后,通过全流量威胁感知、蜜罐等措施感知内网入侵和横向攻击行为,广银卡中心内网威胁检测能力主要基于分析平台实现攻击趋势分析、攻击事件溯源识别,以攻击者视角提取事件行为,与实时数据和历史数据的匹配碰撞,发现历史中未曾发现的入侵线索,在通过数据检索功能追溯分析,从而发现相应的0day威胁,由此实现以现实的情报评判历史的行为。
(4)个人信息安全隐私检测
对于个人信息安全隐私检测,广银卡中心以合规的角度出发并落地,依据《网络安全法》《消费者权益保护法》《数据安全法》《个人信息保护法》《互联网个人信息安全保护指南》《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息自评估指南》《App违法违规收集使用个人信息行为认定方法》《信息安全技术 个人信息安全规范》《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》《移动金融客户端应用软件安全管理规范》《个人金融信息保护技术规范》等个人信息保护相关法律法规、技术标准开展App隐私合规性全面评估,识别App设计风险点并整改达到隐私合规要求,并提炼个人信息安全隐私安全需求识别点补充进安全需求识别库,实现安全需求场景化。
3.安全应急响应
广银卡中心现有安全应急响应流程由以下三个部分组成,各个组成部分之间相互联结形成一个有机整体(如图9所示)。
安全事件流程:外部及内部监测发现的安全事件的处置流程,包括事件发现启动步骤、上报路线、应急处置、溯源、分析总结等处置环节。
漏洞管理流程:发现资产存在的漏洞并进行处置的过程,形成漏洞库与漏洞态势。
策略优化流程:持续、动态优化防御策略并不断补充。
图9 安全应急响应流程示意
4.持续安全运营
在实战演练常态化的背景下,安全资源的整合、安全工作的自动化、安全资产的管理是安全运营的关键。从安全维护到安全运营转变的核心点是安全资源的整合,即将各类安全设备集中平台化安全运营,再将安全工作和安全资产进行融合,最终实现安全运营全面覆盖。主体思路是分期建设、逐步落地,以适应业务快速迭代发展需求。
(1) 平台化建设
在持续的安全运营建设中,以SOC安全运营平台建设为基础实现企业的集中化中心、事件闭环管理和溯源分析。但是,建立适合企业自身的安全运营能力,单纯依靠引入一个成熟的SOC平台远远解决不了企业自身复杂的安全环境问题,如当前安全设备数量多、各安全设备关联关系存在壁垒和割裂,各安全设备告警繁多,以往在实际应急场景中心依靠经验的关联分析无法得到有效溯源和快速应急响应,部分标准化、影响小的事件场景依赖现有条件难以实现自动化,缺少可视化的指标等。因此,企业在做SOC产品选型阶段,需要综合考虑实际的痛点和安全环境现状。广银卡中心在SOC选型中采用自研SOC安全运营平台,主要目的是解决安全单点运营的问题,实现集中化汇聚能力和事件溯源分析能力建设,开放包容其他商用产品的接入。在SOC安全运营平台的建设过程中,广银卡中心采用了多步走的策略(如图10所示)。
图10 SOC安全运营平台建设路径
第一阶段,以数据驱动安全为理念,建设日志汇聚基座平台,实现异构设备的安全日志全接入。基于基座平台实现全网安全日志的统一分析,误报降噪、持续迭代事件告警,实现全局可视发现安全威胁。
第二阶段,基于第一阶段的能力基础,建立安全运营流程体系,根据监控、分析、处置、优化等各阶段工作组建运营团队和提升人员能力;在安全分析过程中,对于明确处置流程的,编排剧本以实现自动或半自动的封禁。实现日志分析过程快速关联资产、漏洞、情报信息,加快分析处置效率,形成闭环。尝试以SOAR打通现存安全设备的API接口能力,实现安全监测、分析、处置联动。
第三阶段,细化安全运营体系,实现多部门协同运营,优化运营流程效率,基于运营成果,持续优化防御策略;引入模拟攻防演练、防御有效性等度量,验证安全运营成熟度,优化SOAR能力。
第四阶段,实现平台持续运营,对技术、经验积累和流程进行持续性优化,按需增加必要的安全设备,不断优化平台规则模型,提升威胁狩猎能力。
截至2023年8月,广银卡中心SOC建设汇聚相关安全设备日志并将日志泛化,实现安全事件关联规则,目前已梳理完成20多个安全事件类关联规则,将安全告警数量进行关联汇总。已完成的SOC建设路径如图11所示,平台运营情况如图12所示。
图11 已完成的SOC建设路径
图12 平台运营情况示例
(2) 安全能力验证
安全运营的有效性如何?短板在哪里?这些问题都需要通过实战和定期体检来解决,因此,在平台的建设中需同步考虑安全有效性验证的建设。广银卡中心落地的安全能力验证方式包括参与红蓝对抗和定期开展安全有效性验证。红蓝对抗是最直观的安全有效性验证,但受制于红蓝对抗演练的投入成本和组织的复杂性,在红蓝对抗上更多是拥抱和积极参与。广银卡中心主要安全验证手段是常态化开展安全有效性验证任务(如图13所示), 通过自动化验证平台,模拟攻击与入侵手法,通过各个攻击平面有针对地验证安全设备及规则的有效性,从而能够快速有效定位策略的缺失点,及时优化策略。安全有效性验证某系统验证任务结果如图14所示。
图13 安全有效性验证任务
图14 安全有效性验证某系统验证任务结果
三、未来展望
如今,金融数字化转型深入推进,新技术应用日益普及,技术应用模式也发生了很大转变,微服务的大量使用、云环境的应用、API应用场景的增长、个人隐私合规要求的提高、DevOps模式的应用等,使得数字化转型带动业务快速增长,同时业务场景面临的安全威胁也在不断扩大。安全永远在路上。安全防护体系建设的探索和实践是一个不断打磨和演变的过程,包括技术工具的整合、方法论的应用、人才建设和跨团队合作、安全与数字化转型的融合等多个方面。下一步,广银卡中心将积极拥抱变化,不断探索和完善安全防护体系。
声明:本文来自中国信用卡,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
