守护金色脉搏,长亭证券业安全体系建设实践

阅读量    17796 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

从宏观视角,证券行业正以业务和技术的双料创新作为引擎驱动发展,区别于相对成熟的面向机构客户(To B)的交易与投融资等定制化业务局限于线下渠道,企业们争相在互联网推出更加标准化线上产品,以获取C端庞大的用户人群。

在股权、债券、保险等庞大业务数据交互下,结算、清算,大数据分析,APP服务等内容,需要扎实的技术作为服务输出的基础支撑:

证券网络上流动着的巨大财富,足以吸引无数人意图铤而走险,因此确保证券网络安全也成为了规避业务风险与企业损失的重要一环。

在关于证券行业的网络安全分析报告中可以得知证券行业现状:

  1. 在头部券商中有平均3成以上的业务已经完成“云上”迁移
  2. 53%的券商的安全值评价处于高风险水平
  3. 安全漏洞、网络攻击、恶意代码构成主要的外部网络威胁

网络安全体系的建设,无法脱离对客户业务与技术的梳理与分析,我们以更加了解客户业务的视角,剖析当前技术体系下的安全痛点,区别“西医”式查缺补漏的单点问题解决,此次案例将以“中医”思路为客户体提供系化的全面安全防护,为其施以妙材良方。

 

案例

某国内领先证券公司,近年来发展势头迅猛,不断拓宽业务边界,相继推出的网页、移动交易系统逐步成长为该企业重要交易模式。但高度依赖互联网的业务模式,也向企业核心资产安全发起了挑战。

该企业从业务角度出发提出诉求,希望安全产品的部署可以承载客户日间高并发的交易数据,保障盘后的清算、结算任务等重IO负载下数据的稳定性。同时因业务涉及资产财富的特殊性,对企业内外安全体系完善程度有较高的要求。

问题1:

  1. 证券行业的特殊性要求,企业必须部署高度稳定且误报、漏报低的WAF产品。
  2. 散户市场日间交易峰谷差异大,业务谷值时会造成闲置资源浪费,同时消耗运营运维成本。

诉求:

WAF在有效阻断Web攻击的同时不得影响业务连续性,希望杜绝漏报、误报,产品最好支持弹性扩容、缩容,进行资源的有效调配。

问题2:

现有安全防护体系以早期搭建的边界防护产品为主,多为被动防御,缺少主动防御体系。

诉求:

需要建设一套基于欺骗伪装技术的威胁感知系统,以构建主动防御体系。

问题3:

业务量增长“太快”,安全建设难免疏忽,易遭受黑客攻击,新系统上线或在重保期间,安全团队难以支撑企业内整体安防体系。

诉求:

亟需与专业的安全服务团队合作完善安全服务和应急能力。

 

长亭科技体系化解决方案

通过分析该证券公司的安全建设痛点,长亭科技为其定制了体系化的解决方案,对应解决客户安全建设需求:

1、应用安全

下一代WAF满足防御要求:部署长亭雷池(SafeLine)下一代Web应用防火墙,凭借成熟的智能语义分析算法,近乎0漏报、误报,和高度稳定性架构,满足客户应用层防护需求。

2、主动防御

欺骗伪装系统实现主动防御:通过部署谛听(D-Sensor)伪装欺骗系统,建设主动防御体系,及时发现入侵行为和蠕虫木马内网传播等问题。

3、定制化服务

高质量安全服务查缺补漏:专业安全服务团队护航重保,深入挖掘系统安全漏洞,辅助企业提升防御能力。

 

1、应用安全:智能WAF面对“严苛”考验,轻松应对“峰值”流量

在选择WAF时,该证券公司为了最大程度保障业务安全性以及减少运维复杂度,提出了比较“严苛”的要求:

  1. 一个网卡配置多个IP地址,并且不同IP地址根据不同路由选择不同路径,传统规则库WAF往往只能配置一条默认路由,实现不了此项需求。
  2. WAF反向代理客户端IP地址时,根据防护目标IP地址和端口,限定WAF反向代理使用的IP地址,从而确保策略的统一,来减少运维难度并提高安全性。

在该案例中,雷池(SafeLine)在一个网卡上可以配置多条静态,支持配置多个IP地址,并且根据防护目标IP地址和端口选择特定的IP地址作为反向代理使用IP,全面支持该证券公司的要求。

本案例中雷池(SafeLine)以软件集群反向代理模式部署在该企业网络中,支持IP配置要求下,具备高性能、高可靠、弹性扩容缩容的特性,满足业务流量峰谷差异下资源的灵活调配,保障业务可靠、稳定、安全运行。

雷池(SafeLine)软件集群反向代理部署示意图

雷池(SafeLine)下一代Web应用防火墙通过接入Web访问流量,进行协议解析与深度解码,然后调动访问控制、规则检测、语义分析和自定义插件引擎进行分析,有效降低了错报、漏报,智能识别和分析http/https流量数据,发现和阻断针对Web的SQL注入、跨站、WebShell等各种攻击行为。

与规则匹配型威胁检测方式相比,雷池(SafeLine)基于智能语义分析技术,提供良好的人机交互界面,安全管理者无需维护庞杂的规则库,即可便捷地对防护站点和安全策略进行调整,有效提高了Web防护工作效率。

 

2、主动防御:“黑暗”主机陷阱,伪装欺骗主动出击

经过对该证券公司业务系统的深入研究,结合丰富的蜜罐布防经验,长亭科技技术团队利用谛听(D-Sensor)在用户真实操作环境中,配置了一台“黑暗”主机。由于该IP没有被使用,合法流量不会主动对该主机进行访问请求,除非网络配置错误,否则出现在“黑暗”主机的网络流量都是不合法的。由此打造出一个“陷阱网”,改变被动防御的局面。

该欺骗诱捕系统高度模仿系统服务、数据库、Web、系统缺陷等资产信息,诱骗攻击者进入系统,及时告警并监控记录攻击者操作、路径。通过分析日志信息,还原攻击工具与方法,回溯攻击者IP,准确定位攻击发生区域,为企业安全负责人争取应急响应时间。

谛听(D-Sensor)部署拓扑示意图

该企业通过部署长亭谛听(D-Sensor),在重保期间及时发现攻击行为,和网络中出现的病毒、蠕虫、木马等传播行为。

  1. 高交互低风险——通过部署大量谛听(D-Sensor)检测节点,迅速识别攻击行为,第一时间通过短信、邮件通知安全管理人员,结合安全服务提供应急响应支持,降低信息资产受损风险。
  2. 延缓攻击进程——采高交互蜜罐诱使攻击者耗费大量时间攻击谛听(D-Sensor),从而保护真实网络环境,延缓攻击者攻击进程,争取应急响应时间。
  3. 预测攻击意图——采集攻击数据,精准预测攻击意图,协助客户感知核心资产威胁,实现针对性主动防御。
  4. 重现攻击过程——持续记录攻击者攻击过程,并以视频的方式回放攻击事件,便于客户全面直观感知攻击过程,并为攻击取证提供支持。

 

3、定制化安全服务:专家级攻防实力,高筑安全体系防线

长亭科技深耕攻防技术研究,积累大量攻防实战经验,曾多次在国际攻防比赛中获得优异成绩,曾荣获世界级网络安全技术大赛DEFCONCTF全球第二名,斩获2020“强网杯”网络安全挑战赛第一名,并屡次受邀在国际大会BlackHat分享技术成果。凭借优质的安全服务能力为该企业提供基线核查、渗透测试、应急相应和重保值守等相关服务,为体系化安全建设注入安全因子。

基线核查,补齐安全短板—

一些调查报告显示,实施CIS标准的前五个控制项,即可有效防御大约85%的攻击。长亭科技安全服务人员参考国际CIS(Center for Internet Security)标准执行基线检查服务,对内部服务器、操作系统、中间件、安全设备、网络设备等的配置进行检查,发现现有的安全设置能否达到要求,并输出安全基线整改建议,协助该企业进行安全加固。

检查项目包括但不限于以下内容:

渗透测试,“王牌”服务安全防护—

提供渗透测试的过程中,长亭在充分沟通测试目标、测试内容的基础上,针对客户业务逻辑、网络环境、系统架构定制测试计划与实施规划,包括但不限于时间安排、流程控制、参与人员、工具使用等。

在测试过程中,对存在重大弱点目标系统,测试人员通过直接控制目标系统,调查弱点分布;没有重大弱点目标系统,测试人员通过获得远程普通权限,根据已有权限进一步收集目标系统信息,提升权限,最终获取系统最高权限。

作为长亭的“王牌”服务,在多次渗透测试服务中为用户报送高危漏洞若干,中危漏洞百余个,先攻击者一步完成漏洞修补。

重保值守,“0”事故安全防护—

在国家重要活动、会议期间,长亭为该企业提供重保值守工作,技术专家为其提供7*24小时不间断的全方位值守驻场保障,在国庆、全国人民代表大会等重要活动保障期间,抵御来自境外IP攻击数十万次,并在第一时间提供事件研判和事件处置建议,确保该企业在重保期间“0”安全事故。

应急响应,即时解决安全事件—

长亭科技为该企业提供紧急信息安全事件的应急响应服务,及时提供所需的信息安全设备、安全处置服务等,协助企业恢复业务到正常服务状态,并协助调查安全事件发生的原因,避免同类安全事件再次发生。

以体系化的模型框架方案,应对安全事件:

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多