CIS2020回顾 红蓝对抗是金融行业最好的安全运营落地？

在2020年年末于上海举行的CIS 2020网络安全创新大会中，来自天融信科技集团的华东安服总监——匡江华在金融科技安全专场议程内发表了《从红蓝对抗谈金融安全风险与防护 》的主题演讲。


匡江华在演讲开篇提到2019-2020年，整个金融行业持续面临大量的安全威胁，其中一二线城市金融行业受影响更大，如北京、上海、广州及天津、浙江等地的金融行业所承受的风险以及遭受攻击的频次更高。

从风险模型上来看，金融机构所面临的信息安全风险和常见的信用风险并重，甚至金融行业的安全风险已经全面上升到国家安全层面。其中信息安全的风险主要体现在：数据存储安全和大数据下信息本身的安全；信任风险则是由于金融机构的商业模式和业务架构都基于信任体系而建立，信任体系决定了互联网金融能否健康快速发展。

金融行业的六大主要安全风险及四大业务场景风险

在演讲中，匡江华总结了针对金融行业的六大主要安全风险，分别是APT、恶意代码、软件供应链攻击、内部人员作案、系统漏洞以及系统开发安全生命周期。在这之中，最主要的还是来自于APT组织的攻击，比如臭名昭著的蔓灵花，他们的重点攻击目标就是我国和巴基斯坦，而具体到攻击对象方面，我国金融体系的业务系统就是其中之一。

具体到业务场景风险方面，则集中在网络钓鱼、薅羊毛、登录场景以及支付场景。根据近年来的情况，钓鱼攻击已经成为了金融领域安全风险中最主要的受攻击方式。据相关机构的数据统计，2016年-2019年，金融领域涉及到钓鱼攻击的占比每年都是持续增长，而且攻击的比例都是接近50%左右，因此我们需要这种风险树立良好的防范意识，要具备一定的识别能力，不轻易点击、察看不明来源的邮件或附件。

当金融行业在面临这些风险的时候，传统的防御固然可以解决不少问题，但在实际和网络犯罪分子的手段进行对抗时，是否真的能确保有效，保证金融行业中的企业、机构的网络信息安全？仍然要打一个问号，这也是为什么需要应用红蓝对抗这种方式的因素之一。

模拟实战的攻防演练 是最好的安全运营落地

在现场，匡江华指出，我国这几年一直搞攻防对抗演练的目的，就是要把安全运营的工作落地化，检验金融机构在安全领域中的真实水平到底如何，因为安全本身就是攻击和防守，而通过这种模拟实战的攻防演练就可以充分检验自身的安全能力，这其实就是最好的安全运营落地。

匡江华认为，攻防有两大定律，第一定律就是——只要是代码，都有漏洞；第二定律则是——资产越重，机会越多。其实这两大定律都非常好理解，而在这两大定律基础上的红队渗透理论框架被分为四层，从上到下分别是理论层、技战法框架、武器库以及实战积累&验证。


在这之中，匡江华为大家重点阐述了一下理论层部分，并引入了网络杀伤链这一术语，实际上“杀伤链”这个术语来自于美国的军工企业——洛克希德·马丁公司，主要用于军事领域，这个概念现在被引入到网络当中。在网络中，这个杀伤链可以具象为一个从侦查跟踪（信息收集）开始，经过武器构建（使用漏洞和后门制作可发送武器的载体）、载荷投递（将武器投递向目标）、漏洞利用（在受害者系统上运行利用代码）、安装植入（在目标位置安装恶意软件）以及命令与控制（为攻击者建立远程控制目标系统的路径），最终实现达成目标（攻击者远程完成其预期目标）的目的。

匡江华根据自己所参加的很多内部演练活动，总结出了一个看法，那就是有时候演练结果不好的原因并不是因为安全工作做得不好，而恰恰是很多机构的正面防守都做的非常不错，使得攻击方不得不采用旁路攻击的方式来发起进攻。

攻击方以入侵到防守方内网系统为目标，对于攻击者而言，他要想拿到目标只需要找到一个可以实现目的的“点”发起攻击即可，而对防守方而言，则是要防御整个的一个“面”。因此，作为防守方，如何令自己的能力站在和攻击者能力的同一起点上，是非常重要的。

基于流程化的安全运营中 红蓝对抗处于关键地位

基于流程化安全运营过程当中，最重要的是什么？红蓝对抗的安全运营体系认为就是做攻防对抗的演练——红蓝对抗，只有利用对抗去验证安全架构体系的时候，才会发现问题，并依靠解决问题来持续的提升自己的安全运营能力。对于一个客户来说，自己的安全运维周期越短，说明安全运营能力越强，这才是一个安全运营能力衡量标准。

对于金融行业而言，红蓝对抗一定要有一个清晰的目标，匡在这里为大家总结了五大目标，那就是要利用其检验金融信息安全工作的有效性、检验金融安全应对安全威胁的响应能力、检验在威胁应对上的安全协同及应急处置的综合能力、发现金融环境漏洞和受攻击面并给出改进建议、检验金融的安全产品有效性（包括功能、性能、使用配置等方面）并给出优化建议。


关于红蓝对抗的安全运营体系建立方面，匡江华将对抗型安全运营放在了用户层、防护层和能力层的中间，并指出这套运营体系首先是基于用户层和防守层，随后在对抗型安全运营中要涉及到整体的红蓝对抗，这些都是基于流程（监控、分析、追踪、溯源、加固等）、人员（监控、综合研判、二线运维和开发）、场景（基于设备告警驱动、基于主机信息的检测驱动、基于全流量模型的检测驱动、基于情报的信息驱动）以及平台（全流量分析、态势感知、蜜罐及沙箱），最终才能实现一方面拥有此前不具备的能力；另一方面则是持续提升已有的能力的目标，形成一个强大有力的能力层。

按照上述方式建立起的安全运营体系，是可以令安全运维的周期缩短，也可以令安全运维能力不断地提升。

通过定期或不定期的红蓝攻防演练，我们就可以实现以下几个方面：

摸清家底：进行全面的风险评估，对上报的系统现状进行全面的综合风险评估；发现网络机系统架构、主机、应用、Web、业务存在的安全风险。
全面渗透：分为现场渗透和远程渗透两方面，发现与挖掘应用潜在的漏洞；优先处置中高危漏洞。
全面加固：对评估后的风险点进行分析并逐一解决。
全面监控：针对攻击行为进行监控、及时阻断并上报，从而形成闭环的处置工作。
全面联动：应急预案、演练、处置等。
查缺补漏：对整体的互联网入口、内网入口以及依据业务场景中的逻辑数据流，进行评估分析，进一步完善。

在演讲的最后，匡江华总结了应用红蓝对抗这种方式的几大收益点。首先是通过红蓝对抗，可以令金融行业的企业、机构能够主动的发现问题，降低金融安全风险；其次是通过这种新的安全运营理念可以提升应对风险时的快速处置能力和安全应急能力；最后是可以用来验证安全产品、工具的有效性。