文 / 中国邮政储蓄银行软件研发中心总经理 胡军锋
“内生安全,是在信息化环境内不断衍生出安全能力,即使网络的边界防御被打穿,系统依然能够在一定程度上保持健康运行,并保证数据和业务安全。”内生安全防护机制要求企业安全建设需要与业务功能全面、紧密耦合,而不只是后期的附加防护措施。与此同时,内生安全的后天成长能力要求企业安全体系必须能够适应不断变化的网络环境,并具备持续演化的能力。
近年来,黑客和不法分子不断发展其攻击手段和产业链结构,攻击日益体系化、攻防双方的不对等,使得银行及金融系统网络安全和数据安全面临着严峻的挑战,需要在不影响业务正常运行的前提下,有效地提升现有的安全防护体系,以更好地应对外部安全威胁。为保护客户信息安全和系统安全,邮储银行以“十四五”规划纲要和“十四五”IT规划为指引,基于内生安全框架建设思路,结合安全攻防实践,构建并检验内生安全防护体系,助力邮储银行高质量发展。
中国邮政储蓄银行软件研发中心 总经理 胡军锋
邮储银行以平台支撑、自主研发、数据洞察、金融科技创新、专业队伍、风险防控六项信息科技专业能力建设为基础,结合研发安全运营一体化框架,以及系统化的业务与数据安全治理框架,打造专业的自有攻防队伍,使信息系统实现自适应安全生长,打通安全工作“最后一公里”,赋能内生安全防护机制。
1.攻防专业团队建设需要立足于研发安全赋能。邮储银行面向商业银行数字化转型的敏捷开发安全管理系统,结合行内工作实际,将ISO27001信息安全管理体系和CMMI能力成熟度模型进行有效融合,形成具有特色的研发安全风险管理体系。基于“安全左移,贯穿开发全生命周期”的研发安全理念,以软件内生安全为目标,将研发安全管控工作前移,从业技融合、组织建设、体系融合、流程优化、工具赋能等多维度进行研究和实践,持续优化软件全生命周期的安全管理能力。
同时结合行内实际情况,组建专业安全团队,负责总行系统开发全流程安全管控工作,包括安全需求、安全设计、安全编码、安全测试和投产上线前安全评估工作,保障在稳态和敏态双模IT开发模式下系统的安全交付,实现安全管控策略在软件研发过程中的落地,建立安全研发运营一体化能力建设机制(如图1所示)。
图1 安全研发运营一体化
此外,通过安全团队与项目组的不断完善和实践,持续优化DevSecOps管理流程,并建立完善的内部安全制度体系和纵深防御体系,通过人防+技防的方式,提升软件全生命周期的安全管控水平,提高全员的安全防范意识和应对能力,从技术和管理方面保证应用系统本身的安全。
2.攻防专业团队建设也需要赋能业务与数据安全。近年来,邮储银行深入推进智慧、平台、体验、生态、数字化和协同“加速度”(SPEEDS)科技战略实施,构建了全面覆盖、持续有效的数据治理体系,并结合安全攻防团队建设,保障数据存储阶段的保密性和访问控制,数据传输阶段的加密协议和身份验证,数据交换阶段的访问控制,数据销毁阶段的数据防泄漏等,形成了从决策层到技术层,从管理制度到工具支撑,自上而下、贯穿整个组织架构的完整链条,确保数据在每个阶段都受到妥善的保护。此外,安全攻防团队加强新技术研究力度,加快数据防泄露、数据多方安全计算等支撑系统建设,增强数据安全技防能力,并依托智能风控模型,提升线上审批效率和客户体验,落实金融风险防控责任,有效保障业务与数据安全。
安全不是一蹴而就的,为避免内生安全防护体系陷入“重建设,轻运行”的陷阱,安全攻防团队基于网络攻击杀伤链(Kill Chain)、ATT&CK等攻击模型,通过攻防演练、常态化渗透测试、攻防竞赛等方式开展实战练兵,实战化检验和完善内生安全防护体系,提升自主安全能力。
“工欲善其事,必先利其器”。在开展实战练兵之前,攻防团队通过Kill Chain和ATT&CK来理解和学习攻击者的思维方式和策略:首先通过多种手段获取立足点,在此基础上通过权限提升、信息发现和横向移动扩大控制权,最后达成数据收集、窃取和篡改破坏等目的(如图2所示)。
图2 网络攻击杀伤链
基于上述攻击思路,红蓝军针对提前设定的目标开展攻防演练,检验系统在真实攻击中的应急处置能力和纵深防御能力,并积极开展常态化渗透测试工作,通过常态化的实战练兵来检测网络基础设施及互联网应用中存在的安全问题及漏洞隐患,减少互联网系统暴露面。同时,在实战练兵过程中充分利用已有工具建设蓝军武器工事(如图3所示),夯实信息系统、移动应用、物联网、无线WiFi等业务基础,提供从信息收集到内网渗透、命令控制的整体解决方案,推进蓝军装备总体能力建设,提升重大复杂演练综合实战能力,构建蓝军装备体系平台库、设备库和攻防决策知识图谱,不断沉淀攻击战术和技术经验,提升攻击队员的攻防技战术水平,不断完善邮储整体安全防护体系。
图3 蓝军武器库视图
此外,在实战攻防技术方面,攻防团队紧密围绕行内对安全人才的技能需求开展攻防技能竞赛,以赛促建,提升行内员工的安全技术和知识水平,积累安全实战经验。通过开展攻防实战练兵,攻防团队将优秀的实战经验、技术积累内化为内部经验,在锻造专业化人才队伍的同时,也不断加强全员的安全意识,为实战化的内生安全防护体系打下坚实的基础。
穷则变,变则通,通则久。网络攻防是一场此消彼长的较量,尤其是在对互联网基础设施依赖越来越强的现在,传统的正向网络安全防护思维已经无法满足越来越复杂的安全需求。因此,建设以攻促防、攻防协同的内生安全防护体系变得尤为重要。只有不断地去发掘验证潜在的攻击路径,才能够更大程度地降低攻击风险,更好地提高网络系统和数据资产的安全性,更有效地提升自成长安全能力。
1.以攻促防,建立内生安全防护检验体系。攻防团队通过日常攻防工作来推动安全架构升级完善、安全设备策略更新、安全管理策略加固等,提升架构安全、被动防御等基础网络安全防护能力;通过实战场景下的追踪溯源,以及真实业务场景下的溯源反制,提升威胁情报的获取及分析能力,推动追踪溯源和进攻反制能力提升;通过安全攻防培训、攻击武器库完善、攻防演练体系化管理等来完善和提升攻击体系,并赋能防守工作;通过人员能力培养和黑客视角的模拟实战,检验内部防御体系的防御效果。
此外,攻防团队深度参与漏洞管理机制和漏洞管理平台的构建,将攻防实战经验落实到精准高效的漏洞管理能力上,基于自有攻防人员对内部业务的了解,结合通用漏洞评分系统(CVSS)和业界最佳实践,通过日常攻防工作梳理内部资产信息,并对漏洞分类分级、修复紧急程度等情况进行评估,协助项目组开展漏洞修复工作。同时,借助漏洞管理平台,将漏洞的排查处置、漏洞整改跟踪等漏洞管理工作进行自动化和智能化,从多个维度建立起更加完善的内生安全防护检验体系。
2.攻防协同,全面推动内生安全防护体系提升。攻防团队贯彻“知敌方能制敌”的思想,通过攻防对抗来检验攻防人员能力和安全监测及响应能力,推动攻防双方能力建设;基于D3FEND网络安全知识图谱和攻防实战经验,梳理整合漏洞知识和经验,建立漏洞知识库,将海量散布的安全数据高效融合,将安全知识可视化、关系化和体系化,并结合ATT&CK框架拆解高级持续性威胁(APT)攻击每个阶段的TTPs,与防护手段进行映射,形成定制化的防御措施。
通过持续更新的漏洞知识库,帮助研发和运维人员了解安全漏洞和解决方案,提高人员安全意识,形成闭环,从源头规避潜在风险。同时在漏洞知识库的持续更新过程中,积极探索降低人工参与度的方法,比如借助漏洞管理平台,批量化抽取相关的漏洞信息,提高漏洞知识库的更新效率和可维护性等。
目前,全国涉诈形势依然严峻,电诈犯罪案件数量涉案账户攀升、犯罪手法快速迭代、风险识别难、电诈技术“革新”快,金融行业是电诈犯罪的主要目标,涉赌涉诈工作“痛点”明显。面对这种情况,邮储银行积极强化攻防反诈团队水平,提升针对电信诈骗的溯源排查能力,加强事前和事中防控规则的准确性,在保证正常用户高质量的业务体验前提下,有效地阻断和打击电诈行为,筑牢金融安全防线。
1.攻防能力输出,提供强有力的反欺诈安全技防保障。在数字化转型背景下,邮储银行紧跟形势,在业务场景和技术方面不断推陈出新,以客户需求和体验为中心的服务理念贯穿全行,新技术、新业务提升客户体验和黏性的同时,也衍生了新的安全风险。近期我行发生的网络电信诈骗安全事件及客诉事件明显增多,这也是同业目前共同面临的问题。针对各类电信网络诈骗案件进行溯源分析,排查案件线索,绘制嫌疑人画像,协助监管机构和公安机关提供关键证据和线索是攻防能力的重要体现。我行攻防反诈安全团队已牵头排查数十起数币钱包盗刷、薅羊毛、信贷电诈等安全事件,成功溯源多名电诈盗刷团伙成员及多个黑产组织,用实际行动为反欺诈安全提供了安全支撑。
2.建立纵深攻防体系,沉淀案防经验,推动业技融合。邮储银行已经建立了总分联动的攻防体系,攻防成员通过比赛和考核择优录取,形成了总、分行选拔机制。同时,攻防技术人员与业务人员紧密协同,技术部门和业务部门间建立了联动合作机制,攻防反诈团队根据已有电诈案件的溯源经验,梳理技防薄弱点和业务逻辑漏洞,形成案防规则库和反诈安全基线,配合业务部门分析可疑交易,制定风险管理策略,完善风险管理流程,建立和优化反诈模型,提高事前、事中反诈规则和反诈模型的命中率,及时阻断或提示电诈行为的发生,将电诈行为“扼杀在摇篮中”,促进业技融合。
邮储银行通过安全攻防团队建设和安全管理体系的不断完善,优化潜在风险发现和规避机制,推动“自适应安全能力”的提升;通过实战练兵检验内生安全防护体系,提升安全攻防能力和人员安全意识,进而推动“自主安全能力”的提升;通过以攻促防、攻防协同和人工智能、云计算、大数据等新技术研究,建立健全自动化智能化安全平台管控,推动“自成长安全能力”的提升。通过多维度的安全攻防实践,将安全需求逐渐内化为自发需求,并深入开展金融黑产防控和反诈溯源,完善业务反诈流程,从而持续改进安全策略,强化系统安全性能,全面提升内生安全防护体系,为数字化转型和业务发展提供安全保障。
(此文刊于《金融电子化》2023年12月上半月刊)