宋克亚,金融行业网络安全专家,2005年接触网络安全行业,曾参与“CNCERT/互联网应急指挥中心-实验室”内的相关工作,目前就职于中国民生银行总行信息科技部。负责渗透测试体系建设,成立了以“实战”为核心思路的安全攻击团队,关注“纯业务安全漏洞”研究,将网络安全技术漏洞挖掘思路融入到业务漏洞挖掘中。统筹安排渗透测试相关工作,每年开展高级可持续威胁的攻防演练。2016、2017年度参与银监会组织的银行业信息科技风险管理课题研究(商业银行信息安全威胁情报管理体系研究、商业银行智能化资产安全管理体系研究与实践)均获一类成果奖。

前言

互联网金融的飞速发展极大地推动了银行业的变革,但也使银行的风险边界呈现出扩大化、分散化趋势,导致银行面临的安全形势更加严峻:网络经济犯罪活动居高不下,攻击对手向组织化、集团化发展,攻击手段也从纯技术入侵向高级组合攻击转变等。在此形势下,我们有必要重新规划渗透测试相关的工作,建议树立“以业务安全为核心”的渗透测试体系,依托技术与业务相结合的渗透测试思想,在平台开发、技术创新、管理制度、团队建设等方面进行了一系列的探索和实践,切实保障科技系统安全和业务安全。

商业银行建立“以业务安全为核心”的渗透测试体系的必要性

第一,当前银行面临的安全形势更加严峻,网络经济犯罪行为的趋利化特征日益明显。一方面,互联网化极速发展给银行客户提供越来越丰富的业务服务的同时,也导致安全风险敞口不断加大,伴随带来新的安全问题(例如信息泄露、身份假冒、数据窃取、远程渗透攻击等)。另一方面,近年来,利用网络进行网络窃密、网络诈骗等网络经济犯罪活动呈现持续上升趋势。网络经济犯罪行为的趋利化特征日益明显,给全球银行业带来了极大的威胁。如2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取;2016年7月台湾第一银行旗下20多家分行41台ATM机被盗8327余万新台币(数据来源于互联网网)。

第二,银行面对的攻击对手实力不断增强,攻击手段呈现多样化发展。当前,银行面对的攻击对手呈现出明显的组织化、规模化、产业化趋势,目标也非常明确,即窃取银行及客户资金,实现获利。在此趋势下,攻击方式也不再以“纯技术”入侵为主,而是隐蔽的APT侦察手段、技术入侵、利用业务逻辑漏洞、社会工程等多种方式组合。

第三,传统渗透测试工作存在痛点,不能有效保障银行的业务安全。渗透测试以入侵者的思维方式,模拟使用攻击对手可用的各种手段,对目标系统进行全面深入的渗透入侵和攻击演练,从而发现系统真实的安全问题并整改,是银行抵御外界威胁的有力武器。然而,我们却忽略了业务安全漏洞的研究,随着业务形式的不断革新,网络安全形势的不断变化,传统渗透测试工作存在以下痛点:

首先,传统渗透测试工作以技术为依附,缺乏体系化。通常渗透测试工作以技术外包为主,依托项目或嵌入在产品上线测试流程中,缺乏独立的团队、规范流程等一整套科学的体系,很难发挥实效性作用。

其次,传统渗透测试工作以“找漏洞”为目标,未深入分析漏洞对银行业务安全造成的危害。传统渗透测试工作中系统层面漏洞扫描工作根据工具找出漏洞,提出修复方案后基本结束,很难全部落地整改。在该过程中并没有深入分析漏洞自身的价值以及对整体业务安全的影响。这导致渗透测试不能深入发现银行业务安全问题,无法切实提高银行的业务安全防御能力。

再次,漏洞扫描周期长、漏洞修复全面性难。随着银行信息科技的不断发展,大中型商业银行的信息资产数量日益庞大,内部环境越来越复杂。在此形势下,依赖全网漏洞扫描技术的传统漏洞识别机制扫描周期长、耗费资源大,且容易影响银行业务的连续性。此外,信息资产的日益庞大也导致很难保证漏洞修复的全面性。

最后,传统渗透测试工作注重人员的技术能力,忽略了对其业务知识的培养和提升。由于以前银行面临的攻击以黑客为主,攻击手段非常技术化、专业化,银行渗透测试工作也注重测试人员的技术能力,但是当前银行面临的攻击手段多种多样,利用业务逻辑漏洞实施网络欺诈的案件层出不穷,只懂技术的渗透测试人员难以有效模拟这种攻击对自己的业务流程进行检测。

商业银行渗透测试体系建设

面对上述痛点,笔者对渗透测试的需求和目标进行分解和探索,提出了“以业务安全为核心”的渗透测试体系模型,在技术、平台、流程制度以及团队建设上做了一些探索和实践。

2.1 以“业务安全为核心”的渗透测试体系模型

图1 以“业务安全为核心”的渗透测试体系模型

随着互联网以及安全行业的发展,银行业已经在传统安全上积累了丰富的经验。但是随着新时代的发展,以“漏洞”为中心的体系已经不是我们所要深入关注的对象,信息科技系统各方面漏洞随着安全部门的推动,开发、运维在加固能力上的不断增强,已经具备了相对应的响应机制。那么面对新时代的要求渗透测试体系在重点模型中有了新的起点—-业务安全。

以“业务安全为核心”的出发点,包括在技术层面积累经验的使用,同时也包含在纯业务环节中的应用。笔者关注:业务审核机制的创新、业务安全系统平台建设、业务安全管理、以及面对业务安全的整体团队建设。以业务为核心的一体化、全流程化渗透测试平台支撑着业务安全建设,同时与其它科技部门共同建设协同联动机制,目的为打造强技术、强业务的专业测试团队。

2.2 以“业务安全为核心”的渗透测试体系创新机制

在银行业笔者认为业务安全是安全的核心所在,业务安全有五种基本特性:复杂性、多样性、不确定性、可持续性、攻击多元化的未知性。一个新的业务流程从思路到落地建设,这个过程会经历很多次变革及完善,业务需求复杂且多样化,导致了业务流程在安全上的不确定性。攻击者往往成组织化运作,对业务系统及流程的攻击方式是可持续的高级威胁,攻击方法、方式成多元化发展。以业务安全为核心的渗透测试机制就是本着以业务自身安全为出发点的创新机制,它可以是技术漏洞逆向思维在业务安全中的使用,也可以是以攻击一个或者多个业务流程的正向思路为核心的缺陷挖掘。

从上述角度出发我们可以将“漏洞”划分为两类:技术漏洞、非技术漏洞。技术漏洞我们在建设“漏洞生命周期管理系统”的同时不断完善对漏洞的预防、修复、管理。而非技术漏洞我们要通过非技术的手段去实现,漏洞挖掘的思路也与技术漏洞有所差异,但是我们要借鉴技术漏洞漏洞挖掘的思维,演变成业务安全漏洞的挖掘思维。比如:“逆流程思维、角色猜测思维、正向推理、业务体系中流程的聚拢与分散、使用者侧的缺陷分析、业务接口缺变等等”,在整个以业务安全为核心的渗透测试机制内,我们即遵循正向的思路流程,也思考逆向的流程,推敲缺陷。

我们革新、优化旧的渗透测试体系,创建以业务安全为核心的渗透测试体系机制,该机制的运行与各部门间的协同响应密不可分,这要求与业务需求部门、开发部门、业务架构等部门的合作,要形成一个完整的链条。我们将业务安全的渗透思路介入到业务需求分析阶段,从开始参与业务需求的讨论,形成完整的业务安全评估流程。最终我们对业务漏洞进行数据价值分析,帮助业务完善在流程上的安全问题。

2.3 技术与业务相结合的漏洞生命周期体系框架

打造技术与业务相结合的渗透测试体系平台框架,是以“业务安全为核心”的价值观体现。根据实际需求我们需要定制了渗透测试工作的合规流程,组建以安全技术为核心的自主可控团队。建设一体化的渗透测试平台框架,稳抓基础工作建设。在统一完善传统漏洞生命周期管理平台的同时,兼顾以业务安全需求为核心的体系建设。体系架构图如下:

图2 以“业务安全为核心”的渗透测试体系框架

该体系的运行将技术漏洞与业务漏洞相结合,展现了服务于以业务安全为核心的价值观,安全是业务发展的基石,要严守安全底线。从业务价值视角出发,对特定业务进行定制化的活动分析和漏洞挖掘,有效识别业务价值在不同节点上的安全隐患。从而面向业务发展,保障互联网金融战略实施的核心竞争力。该体系中的各类环节相互输入输出,注重技术漏洞价值体现的输出,注重技术问题导致的业务漏洞与纯业务漏洞相结合,最终形成安全管理中的渗透测试工作最优机制。

同时笔者认为信息科技资产是安全的基石,资产的科技属性、业务属性是技术漏洞以及业务漏洞的源头,也可以提示出整体安全风险的源头。整个平台在运行过程中充分发挥安全资产的管理能力,新的渗透测试体系框架表明我们对资产管理的深入程度,同时资产数据也是安全大数据平台的基础内容。在目前相对复杂的网络环境数据环境中,影响漏洞价值的因素有很多,我们首先想到的是资产在整体架构环境中的“位置”,这里包含资产自身的科技属性、网络位置属性、资产自身数据价值属性,通过对资产数据的分析就可以区分出优先级,从而鉴定该漏洞的修复优先级。当多个漏洞来临时可以鉴别其重要程度,提高修复效率,比如我们优先封堵最先造成影响漏洞的第一道闸门。

最后技术漏洞与业务漏洞在整体体系中不断输入输出,这就形成了一个关于漏洞的知识数据库,那么如何使用这个知识库,发挥它的潜在价值成了我们最终要关注的问题。我们将漏洞价值成果转化为两点输出,一是信息科技系统的安全、二是业务系统的安全。漏洞的数据直接影响了开发部门的代码质量,漏洞的重复出现会在该知识库的分析下得到完善。同时业务漏洞数据也为业务系统的安全性打下了坚实基础,开始我们已经将安全的理念融入到了业务形成之初,各类型的业务安全漏洞为新业务系统的安全性提供了强有力保障。

渗透测试体系总结展望

本文阐述了关于商业银行树立“以业务安全为核心”的渗透测试体系的思考。在一路的探索和实践中,笔者发现虽然商业银行渗透测试工作已实施多年,但若想在新的安全形势下,有效地发现安全问题,切实保障银行和客户财产的安全,以业务安全为核心目标显得尤为重要。解决包含技术、平台、管理、团队等各方面的问题,并且保障切实有效工作落地。以业务安全为核心的渗透测试体系建设避免了开发代码设计、业务设计的各类缺陷,能够协助解决分析业务系统建设的各种问题,为业务提供可落地的安全建设方案。

致谢:感谢我的领导和同事对本文的帮助和支持。

声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。