FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
信息化建设与数字化转型深刻地改变了各行业的业务模式,在带来了发展和机遇的同时,也带来了风险,这一现象在金融行业最为显著。
金融行业的发展经历了从金融电子化到互联网金融、再到现在的金融科技这三个风向的重大变革,所谓金融科技,即“金融”+“科技”,指利用前沿技术变革业务流程,推动业务创新,突出大规模场景下的自动化和精细化运作,代表性产品或业务如大数据征信、智能投顾风险定价、量化投资、数字货币等。随着金融科技应用深化及各类市场主体之间的对接合作不断扩展,金融业基础设施的数字化转型和能力提升、跨领域的金融科技市场主体合作成为主流趋势,并且技术与业务的边界模糊化,业务反向驱动技术、金融应用场景成为新技术研发和应用的重要驱动力。
就近年来金融行业的信息化趋势来看,金融科技与金融业务正在深度融合的过程中,诸如AI、区块链、大数据为基础的新型技术在不断为金融企业的业务创造更多的价值。然而,在新型技术不断引用和落地的过程中,也延伸出了很多新的安全问题(隐私加密、API安全、高级威胁攻击)。金融市场天然拥有海量标准化大数据,基于金融科技的特点,金融市场信息化数据会集中化,数据交互频繁化,风险面和攻击事件将成倍增长。国内外安全机构披露的针对金融机构的网络攻击事件层出不穷。
图1金融机构经典网络安全事件
在新技术的广泛使用后,业务产生的数据资产将更为庞大和集中,高价值的数据资产会成为黑客组织的重要攻击目标,这也对金融企业的安全建设提出了更高的要求。除了金融机构自身的网络合规性建设,更需要全方位提升系统安全防御及检测能力。从威胁情报角度来看,借助威胁情报精准、及时的检测能力扩充整体安全防御体系可有效弥补传统被动式检测方案的短板,国家层面出台的网络安全法、公安部1960号文、等保2.0等法规政策也明确提出基于威胁情报检测监管的规范要求。
图2网络安全防御体系演变
基于微步在线海量情报数据、强大的情报自动化生产能力,我们针对金融行业方向的网络威胁态势展开了深入调研统计分析。金融机构面临的网络威胁可以分为三部分:源自互联网侧的攻击威胁、内部主机失陷类威胁、互联网侧资产暴露面及数据泄露类威胁。其中渗透攻击类型的互联网侧攻击种类繁杂数据量较大,占据金融机构日常威胁的80%以上;内部主机失陷类威胁需要机构网络运维人紧急处理并排查评估受损程度,此类威胁一般占比较小;互联网暴露面及数据泄露类威胁是以外部互联网侧视角评估金融机构易受攻击风险以及数据泄露的结果,此类威胁评估早已成为衡量金融机构网络安全状况的重要指标之一。
研究发现,真实环境中金融机构面对的网络威胁以源自互联网侧的渗透攻击为主,如常见的IoT设备漏洞扫描、指纹信息收集、特定服务口令爆破、应用软件系统注入等。
图3NDR威胁检测平台告警统计
我们对金融机构日常遭受的各种繁杂的特定入侵行为统计梳理,金融机构面临的整体网络风险Top50类别列出如下:
图4金融行业常见网络威胁Top50
继续对上述金融行业常见网络威胁Top50按照大类威胁进行梳理统计,其大类威胁占比如下饼状图所示,其中漏洞注入\入侵类占比最高,约68%,其次为信息收集类,约19%,相较于撞库\爆破、客户端失陷等威胁,互联网侧面临的漏洞扫描、利用类的威胁更加频繁。
图5金融行业Top50威胁占比
为了便于了解各细分行业特有的网络威胁态势,我们以银行、证券、金融企业这三个细分方向为例,对其告警数据进行分开梳理统计,发现漏洞入侵\注入、信息收集这两类外部威胁占据TDP威胁告警的80%以上,各细分行业所面临的威胁类型占比趋于相同。
图6金融行业各细分行业威胁占比
外对内威胁是绝大多数机构或企业面临的主要网络威胁,通过分析整体威胁面貌有助于我们有针对性的去评估网络环境中的脆弱资产、准入环境风险。
研究发现当前金融机构主要威胁类型如下所示,包括僵尸网络、挖矿木马、恶意下载、家族木马、网络钓鱼、蠕虫病毒、勒索软件、APT攻击八类。
图7内部失陷机器类型统计
图8失陷主机威胁类型占比
金融行业失陷类告警威胁类型Top20如下所示,其中挖矿类型告警占据榜首,其次为恶意下载类型告警。已知背景的告警威胁具有代表性的有麻辣香锅病毒、驱动人生后门、Dorkbot僵尸网络、Andromeda僵尸网络、AsyncRAT间谍木马等。
图9金融行业失陷威胁Top20
随着金融机构在互联网侧的IT资产数量日益增多,其暴露的信息也越来越多。从甲方安全运营工作立场来看,缺乏外部事件对企业的安全感知;资产体系庞大,存在安全人员不掌握的影子资产无法进行安全防护;企业员工、核心代码等核心数据无意被上传到互联网的公共平台上,会对企业网络安全或企业声誉商誉造成损失。研究发现,当前金融机构所面临的常见的互联网暴露面及数据泄露类威胁如下:
威胁分类
举例说明
内部资产隐患
低版本SSL证书;
网络配置不合规;
对外暴露敏感端口或服务;
第三方风险代码或组件……
数据泄露风险
内部文件泄露;
暗网数据泄露;
代码泄露……
漏洞威胁
网络设备漏洞;
软件平台漏洞;
第三方服务组件漏洞……
表1外部威胁分类
基于已积累的内部威胁数据进行统计分析,从各类别风险因素的数量级来看,金融机构最常见的风险为内部资产的安全隐患,其次为漏洞风险和数据泄露风险。
图10金融机构外部威胁一览
展开来看金融机构内部网络资产安全隐患,排在前三的风险依次为:不安全的第三方JS脚本、SSL证书风险、HTTP配置不合规。诸如此类的各种风险因素,在攻防对抗中如果让攻击方收集到此类信息并形成完整攻击通道将对目标网络系统造成不可控的破坏。
图11金融机构内部资产安全隐患占比
图12金融机构数据泄露风险
金融机构在日常的正常生产运营过程中不可避免地会暴露部分网络资产,除此之外由于内部网络配置策略不合规、突发高危网络设备漏洞等问题均会继续增大机构被攻击风险。排除不可控的DDOS攻击和由于内部人员主动参与造成的攻击事件,金融机构遭受的中高强度网络攻击主要分为两大类:鱼叉邮件攻击、远程渗透攻击。从攻击流程来看,绝大多数的攻击行为处于以资产探测、信息收集为目的的侦察阶段。我们结合部分具有代表性的金融机构网络安全事件说明真实环境中的网络威胁。
金融机构外部邮件系统是网络攻击事件的重要入侵渠道,其背后攻击者多为国外大中型黑产组织,投递邮件一般包含恶意攻击文档附件或恶意外链,受害者打开对应内容之后,攻击者可后台实现诸如信息窃密、本地账密提取、僵尸网络肉鸡等功能。
图13金融行业鱼叉邮件
图14金融行业鱼叉邮件话术
图15银行木马后台窃密展示
诸如此类的黑产鱼叉攻击活动短期内并不会给金融机构造成直接的经济损失,用户侧多数时候对此类攻击事件处于无感知状态,但是其潜在风险是无法预计的,我们并不能评估当前的信息泄露及失陷PC在后续会不会引发高强度的定向攻击事件。从攻击者角度来看,当前境外黑产组织多采用成熟的SAAS模式进行运营,自动化的攻击服务、收集敏感PC数据、后门植入权限等均为该违法的地下产业输送经济利益。
3.4.2内网渗透攻击
图16某金融机构真实网络渗透攻击流程
域控机器失陷这类重大网络安全事故一般会给应急处置工作带来很大困难。金融机构自身网络系统复杂,域控失陷意味着域内所有主机在攻击者面前“裸奔”,如果存在部分主机跨域这类违规配置策略将造成其他域环境的攻击隐患,同时攻击者对域环境的修改也会使得攻击途径复杂化。从应急处置角度来看,入侵排查的基础是各类安全设备日志、网络设备日志、网络流量等数据,数据是否健全将直接影响排查效果,实际取证排查过程中无论是因为机构自身审计数据不全还是因为攻击者主动删除关键日志导致取证进度放缓或停滞都是大概率出现的情况,无法完全排查的客观事实同样给受害机构埋下了攻击隐患。
对上述域控失陷案例中受害机构网络风险评估发现,该机构存在不少较为常见的风险因素,如内部网络资产暴露面过大、多业务网络共用AD域、域环境划分不明确、管理员弱密码等等。诸如此类的安全隐患问题几乎出现在每一次网络安全应急事件中,但亡羊补牢为时未晚,如何从源头做好安全合规建设、降低易攻击风险是各甲方机构需要深入思考的问题。
3.4.3APT定向攻击事件
“危险密码”(DangerousPassword)APT组织是由微步在线率先披露的疑似具有朝鲜背景的高级威胁团伙,该组织至少于2018年3月开始活跃。后续芬兰安全公司F-Secure对危险密码APT组织追踪发现,该组织疑似为LazarusAPT组织的一个分支机构。“危险密码”APT组织的主要攻击方式为鱼叉邮件攻击,目标人员集中在加密货币行业。值得注意的是,其投入使用的后门组件会监测主机是否存在“金山毒霸”、“360”等软杀进程,以判断绕过或是否驻留等后续操作,此行为说明国内用户同样处于该组织攻击范畴内。
图17“危险密码”APT组织攻击诱饵
历史攻击活动中,攻击者多通过钓鱼邮件投递恶意文件下载链接,诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件,压缩文件一般包含诱饵加密文档和伪装成密码文件的恶意快捷方式,用户启动后会下载后门脚本直接执行,同时展示文档密码迷惑用户。其攻击流程如下图所示:
图18“危险密码”APT组织历史攻击载荷执行流程图
区别与传统APT组织的政治间谍独特属性,“危险密码”APT组织的攻击目标早已不再局限于政府机构了,而是偏向于直接攻击金融机构窃取钱财。除了臭名昭著的LazarusAPT组织,FIN7、Carbanak等APT组织均是如此。面对APT类的高级定向攻击活动,传统安全防御系统能力多数情况下会大打折扣,如何应对未知的高强度定制化攻击活动同样是金融机构需要长期思考的难题。
从全球视角来看,针对金融行业的各种网络安全事件层出不穷,微步在线安全运营团队自2020年10月份开始梳理统计各类安全事件形成“安全威胁情报周报”进行每周发布,通过整合2021年1月份至今近十个月的金融行业威胁事件,发现如下:
图19金融机构威胁事件分类占比
事件
2021年1月
Livecoin加密货币交易所在将域名丢失给黑客后关闭
2021年9月
ElonMusk加密货币充值返双倍骗局,黑客一周获利58万美元
2021年8月
骗子诱使Discord用户使用伪造的加密货币交易所,窃取敏感信息
2021年2月
加密货币交易所Cryptopia再次遭到黑客入侵
2021年5月
黑客利用PandaStealer恶意软件窃取加密货币
加密货币奖励平台Celsius第三方邮件系统遭到黑客入侵
2021年4月
ForceDAO遭黑客入侵,价值36.7万美元的加密货币被盗
2021年3月
加密货币新骗局:利用Discord对DEX用户发起网络钓鱼攻击
2021年第二季度
Cinobi银行木马针对加密货币交易所用户展开攻击。
2021年7月
“币圈”最大迷惑行为:6.11亿美元加密货币在被劫持后,部分陆续返回账户
Crackonosh恶意软件滥用Windows安全模式挖倔加密货币
全球最大的NFT平台OpenSea被曝存在漏洞,黑客可用来窃取加密货币
2021年10月
世界第二大加密货币交易所Coinbase遭到入侵,约6,000名客户的加密货币失窃
火狐插件“SafepalWallet”可用来窃取加密货币,用户需小心!
暂无
加密货币骗局:围绕“薅羊毛心理”进行的恶意攻击
加密货币交易所SushiSwap的MISO平台遭到软件供应链攻击,864.8ETH被盗
加密货币成为金融网络犯罪的完美选择
塞舌尔加密货币交易所Bilaxy遭到黑客攻击后,网站暂停服务
加密货币交易所CreamFinance遭到黑客攻击,损失近3,400万美元
黑客组织针对Luno加密货币交易所开展网络钓鱼活动
黑客冒充OpenSea员工窃取加密货币资产和NFT
日本加密货币交易所Liquid遭到黑客攻击,存、取款业务已暂停
跨链DeFi平台pNetwork遭到黑客入侵,277个比特币失窃
朝鲜黑客利用网络浏览技术窃取比特币
2021年第三季度
黑客入侵俄罗斯政府网站进行“比特币庞氏骗局”活动
表22021年密币安全事件
出于金融行业的数据敏感特性,网络曝光的数据泄露类型的重大安全事故中的受害者同样多为金融机构。泄露数据多为金融用户的个人隐私数据,此类数据在暗网非法交易中往往具有较好的快速变现特性;对受害的金融机构而言,数据泄露事件不仅会给自己带来较大的经济损失以及监管单位的责罚,而且还会让机构客户产生信任危机。整合2021年至今代表性金融机构数据泄露事件如下:
数据泄露丑闻
加密货币行情网站CoinMarketCap的敏感数据疑似再次遭到大规模泄露
印度尼西亚银行BankJatim疑似数据发生泄露,378GB数据被售卖
美国太平洋城市银行疑似遭到AvosLocker勒索软件攻击,数据发生泄露
CapitalEconomics泄露超50多万高层用户记录
美国Flagstar银行的客户信息遭泄露
“欧洲版花呗”Klarna在线支付公司爆出数据泄露
加拿大保险公司guard.me遭到网络攻击,敏感数据泄露
美国汽车保险供应商Geico发生数据泄漏
巴西金融公司iugu数据库配置错误泄露1.7TB数据
印度股票交易平台Upstox数据泄露,涉及超250万用户
俄罗斯银行Dom.RF发生数据泄漏
3月下旬,疑似巴西保险公司巨头3600万客户数据遭泄露
印度金融科技平台MobiKwik疑似发生数据泄露,8.2TB数据在暗网售卖
外汇交易平台FBS服务器存在漏洞,泄露160亿条记录
2021年7月中旬,英国国家彩票公益基金发生数据泄露
美国橡树岭银行披露数据泄露
美国金融公司摩根士丹利遭到黑客攻击,发生数据泄漏
2021年6月
美国保险巨头AJG公布遭到勒索软件攻击,数据发生泄露
2021年6月9日,南非保险服务提供商QSure数据遭泄漏
2021年6月12日,金融软件公司Intuit的TurboTax账户被黑,致使数据泄露攻击
表32021年全球金融机构数据泄露安全事件
在金融机构安全威胁事件中,同样值得一提的是当前较为火热的供应链攻击。针对金融机构上游基础设施及软件供应商的攻击事件已经不足为奇,今年10月份,中国人民银行在“关于规范金融业开源技术应用与发展的意见”重点提到了金融机构供应链安全问题。
图20人行关于“金融业开源技术应用与发展”发文
供应链基础设施安全问题给传统网络攻击提供了一条新通道,金融机构拥有繁杂的供应商,当前对于供应商产品的安全审查并不成熟,一旦供应商被成功入侵利用,将直接摧毁传统网络安全防御信任体系。如2021年9月份,SushiSwap社区的MISO密币交易平台遭到软件供应链攻击,攻击者劫持平台交易过程并盗取约300万美金的以太坊币。
图21SushiSwapMISO密币失窃
图22AgainstTheWest供应链攻击发帖
在国家监管机构的有力推动下,HW活动趋向常态化,在规模和频次不断扩大的同时,攻防双方的技术水平和对抗能力也在博弈中不断升级,其中攻击队常用的攻击战术包括漏洞利用、社工钓鱼、0day利用、尝试旁路攻击渗透以及复合攻击,再加之防守方对攻击方的攻击特征一无所知,基于近几年攻防形式看,防守方基本处于敌在明、我在暗的被动局势。因此在网络演练中需构建实战化对抗能力,包括强化自身的“纵深防御”安全体系以提升“知己”能力,以及构建权威、准确的攻击情报自动化获取渠道以提升“知彼”能力。
一方面,多数金融企业处在“局部整改”为主的安全建设模式,致使网络安全体系不足、碎片化严重、协同能力差。虽然体系已具备较多种类的安全防护产品但各成体系,这种安全防护割裂的情况导致被攻击者抓到一些漏洞进行利用,导致攻击频频发生。另外一方面,为了响应国家号召,构建数据集中采集、分析、处置及响应流程自动化能力,金融企业纷纷构建态势感知和处置平台,寄希望通过上收全网告警数据进行威胁关联分析,提升全网威胁主动发现、分析、预警、共享等能力,但由于上收的告警有误报、量大、态感关联场景单一、需要重度依赖人工能力等众多原因,目前构建态感的多数金融客户觉得未达到预期的效果。因此大量金融客户通过引入高质量、多样化的攻击情报进行赋能,以此提升真实威胁聚焦、主动预警、全网联防的能力。
当前网络攻击事件日渐频繁、攻击技能快速迭代增强。作为防守方,除了传统的网络安全防御建设,使用威胁情报识别、NDR设备检测、自动化联动边界设备阻断处置等类型的方案已成为扩充传统安全防御体系的必要选择,微步在线依托国内领先的高精准威胁情报生产能力、覆盖网络和终端(NDR、EDR)的强大检测能力以及后台研究响应部门专业的分析能力(MDR)完美契合当前新型网络安全防御建设需求。基于机器学习的自动化情报生产模型、辅以蜜罐、云沙箱、空间测绘等情报收集手段、以及专业分析员人主导的僵尸网络追踪、APT类高级威胁追踪组成当前微步的情报生产网,情报数据的准确率、及时性、覆盖面、数据量级均会影响第一环的威胁识别效果,这往往也是评估一个威胁情报参与的新型扩充安全方案的标准之一。除此之外,此类扩充方案更重要的一方面是如何真正地解决客户实际生产运营环境中场景化需求。通过总结微步在线金融客户群体中已落地建设的安全防御扩充项目,我们归纳出常见的背景需求如下:
需求
场景描述
需求1:精准告警、自动处置,提升整体安全运维效率
日常运维工作中面对海量告警数据无从下手,无法分辨真正威胁;缺乏自动化处置能力,无法应对新型未知威胁;虽然已建成SOC/SIEM安全运营平台,但并未达到预期的运维简便的目标。
需求2:精细化的失陷检测及定位、自动化攻击链路溯源
当前内部网络环境复杂,比起日常的实时网络攻击行为,内部资产安全状况同样重要。运维人员需要准确掌握内部资产失陷状况、自动化定位到物理机器及相应进程、并绘画出完整攻击链路。
需求3:异地分支机构实时网络威胁监管,告警数据统计分析
多数大中型企业存在多地分支机构,其中多数较小的分散在外的异地机构或网点往往缺乏网络安全防护、易沦陷成为黑客的攻击跳板进而危害总部安全,此外总部对分支机构网络状况也缺乏安全监管,无法评估完整的公司安全态势。
需求4:攻防演练中的基础告警过滤、攻击情报实时同步、多地多端自动化阻断
攻防演练如今已成常态,在大大小小的HW中,除了基础威胁的自动化过滤封禁之外,高可信情报的及时共享显得尤为重要。网络安全设备除了日常的安全检测处置之外,更需要承担HW中高频次高定向攻击活动的防守对抗角色责任。
表4金融行业背景需求
针对以上四种常见用户需求,我们以真实的金融行业网络安全建设落地项目为例(抽象客户实体,不含敏感信息)来介绍实际场景中的项目实践。
Ⅰ、项目背景
银行关键基础设施承载着高价值业务数据和个人敏感信息,安全合规和实战化建设需走在各行业前列,面临海量告警精准研判、自动化智能处置、未知威胁发现预警等高阶安全需求,该客户将威胁情报融入到自身的安全运营体系中,并赋能给业务线,通过辅助丰富的威胁情报数据,提升高级威胁检测、事件研判分析、自动化封禁等各方面的能力。
Ⅱ、应用场景
基于威胁情报,已聚焦4种场景的落地,具体如下:
Ⅲ、落地方案
本地部署威胁情报平台(TIP),与SIEM、SOAR分别对接进行情报赋能:对SIEM中海量告警进行降噪、研判关联分析、告警优先级排列。利用SOAR在事件处置编排时,可调用TIP内多种情报数据进行输入,以支撑不同威胁分析与处置的编排剧本,对即将处置的事件进行准确性诊断,并帮助客户落地自动化阶梯封禁策略。
图24威胁情报赋能安全运营体系
Ⅳ、建成能力及价值
Ⅱ、落地场景
目前已在数据中心关键区域部署了多台威胁感知平台(TDP)设备,接入对外服务域南北、外联域南北、核心业务域互访、本地终端用户访问业务区等全流量进行实时监控,检测外联、互联网接入、内网下级单位节点、内部用户等多点的攻击风险。并从海量告警中自动聚焦Webshell、外部攻击成功、针对性攻击、主机失陷等真实威胁,智能串联攻击全路径。
图25智能串联攻击路径
在主机上部署轻量化EDRAgent,进行终端层面进的攻击与异常识别,基于ATT&CK攻击特征识别规则识别攻击链各阶段攻击、可疑和正常行为,并能智能串联攻击进程链,以及串联账号、主机、行为、文件、进程、事件的实体关联。
图26智能串联攻击进程链图
基于TDP与EDR的联动,从主机和流量互补攻击威胁的识别线索,对于流量中初步发现的威胁,可利用终端信息进一步发现注入行为、可疑文件、进程、网络行为,实现深度自动溯源,另外对于发现的真实威胁,既可联动网络实现威胁通信阻断,也能联动终端深度定位取证查杀终端恶意文件或进程。
图27XDR多方位联动检测
Ⅲ、使用效果
该金融客户为总部-营业部-呼叫中心的并行网络架构,且各职场均能独立访问互联网。但由于分支机构安全防护体系与安全人员能力较为薄弱,总部对于众多机构的安全管控鞭长莫及,因此造成各职场网络大规模感染钓鱼、勒索软件、木马病毒、蠕虫、挖矿木马等恶意软件,因此通过引入轻量化SAAS解决方案,统一对分布全国的职场内外网恶意通信的检测、分析、定位和阻断。
通过将上海、北京、营业部、呼叫中心等职场的DNS流量指向微步在线云端OneDNS,利用全球最新的情报数据、智能检测引擎和机器学习模型及时检测并拦截恶意远控通信,并对正常通信进行递归解析。总部通过可视化控制台实时对各机构DNS服务进行运维监控。
图28异地多网点统一安全监管
Ⅲ、应用效果
目前金融客户的数据中心已构建了较为完善的安全防护体系,但省分行的安全防护能力相对薄弱,省分行缺少与总行同等的安全监测能力,对于向下通报的威胁事件,省分行往往因缺少威胁自动化检测、分析、定位及处置能力均无法处理,加之缺失情报共享通道,无法进行威胁预警,极易成为攻击总部的跳板,该问题在高频攻击的HW中尤为突出。
基于以上状况,在总部和各省分行引入基于情报的攻击阻断设备(TDP),通过旁路部署的方式接入全流量,依托实时更新的攻击情报(包括重保期间的HW情报)以及规则提供双向流量逐包检测和IP封禁能力,提供行内各区域安全设备进行封禁的能力,形成全网点到面的安全防护能力。
图29威胁情报多地多端级联协防
Ⅲ、形成能力
HW攻击IP和状态识别:在重保等特殊时期,实时拉取HW攻击情报判定HW攻击队IP,并能结合现网的攻击数据特征,判定HW攻击队的攻击状态,内容包括攻击次数、攻击主机目标、是否攻击成功,是否反连等,对于命中的HW攻击IP查同C端所有IP,基于情报捕获其他HW攻击IP,然后联动边界进行封禁。
图30威胁情报在HW中的自动化封禁策略
威胁检测与自动化响应:对流量大数据进行智能、实时分析,识别出各类已知/未知网络安全事件,包括Web漏洞攻击、系统漏洞攻击及黑客常用工具识别,另需通过攻击回包自动提取攻击特征判定是否攻击成功,整个攻击检测覆盖侦查、漏洞尝试、控制、内网渗透及对外攻击、挖矿、数据窃取等破坏行为的全攻击链,并进行安全告警和自动触发阻断处置。
基于微步在线研究响应中心丰富的应急响应经验,我们梳理了部分金融机构网络建设中存在的较为明显的安全隐患问题,如下表所示:
类型
问题描述
整改建议
网络合规建设
网络资产暴露过多。
收敛暴露面(端口、服务、接口等),非必要环境收入内网。
域环境杂乱耦合。
域环境严格划分,隔离管理。
日志存储期短、缺乏日志审计系统。
安全检测设备覆盖不全。
完善整体网络安全防御系统。
通信链路协议复杂、威胁感知能力差。
优化网络链路,提升威胁检测能力。
设备或终端系统陈旧落后。
更换设备或升级系统版本。
缺乏终端检测产品或终端检测产品未严格落地。
落地终端检测设备。
人员安全意识
弱密码。
强制落地强密码规范,加强内部人员网络安全意识。
内部人员安全意识薄弱(下载盗版软件、钓鱼邮件)。
流程规范
补丁修补不及时。
及时升级系统补丁。
缺乏内部安全应急团队。
建立内部应急响应团队。
缺乏7*24小时事件监测响应机制。
建立7*24小时监测响应机制。
表5金融机构网络建设安全隐患梳理
从网络安全攻防的角度来看,当前任何自动或半自动化的安全防御系统最终仍需与人交互实现最后决策,攻防对抗的本质是人与人的对抗,在攻防技术手段更新迭代中攻击方能力永远处于领先状态,当前任何安全防御系统都无法完全确保目标系统的安全性。因此从长远的网络安全建设来看,除了继续扩充加强整体安全防御系统外,提升机构全员网络安全意识、规范化上网行为同样是需要长期建设的内容。