【用戶背景】

近幾年，隨著中國(guó)3G、移動(dòng)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)民上網(wǎng)習(xí)慣的改變，某金融機(jī)構(gòu)的信息化建設(shè)也加快步伐，促進(jìn)了自身銀行業(yè)務(wù)的發(fā)展，改進(jìn)了服務(wù)方式和服務(wù)手段，提高服務(wù)水平，為各類業(yè)務(wù)開(kāi)展提供了有力保障;其內(nèi)部網(wǎng)建設(shè)也為其各項(xiàng)業(yè)務(wù)的拓展提供了堅(jiān)實(shí)基礎(chǔ)。

目前，某金融機(jī)構(gòu)的各分支行都有各自的局域網(wǎng)，通過(guò)專線鏈路將它們連接在一起，進(jìn)行各種數(shù)據(jù)的交換和處理，部分分支行有連接互聯(lián)網(wǎng)的接口或其它業(yè)務(wù)、網(wǎng)絡(luò)接口，大多數(shù)分行劃分了vlan隔離業(yè)務(wù)和辦公網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)鋱D如下：

圖一：某金融機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)圖

金融行業(yè)對(duì)信息安全向來(lái)十分重視，某金融機(jī)構(gòu)通過(guò)部署防火墻、防病毒網(wǎng)關(guān)、IDS、IPS、WAF等安全產(chǎn)品，一定程度上保障了整個(gè)網(wǎng)絡(luò)的安全運(yùn)行。

而隨著黑客攻擊手法變得更加靈活，攻擊途徑復(fù)雜多變，原有傳統(tǒng)的防御體系已無(wú)法完全保障現(xiàn)有網(wǎng)絡(luò)的安全。通過(guò)社工、系統(tǒng)的未知漏洞、信任欺騙、長(zhǎng)期潛伏等新舊方法結(jié)合的思路成功侵入眾多大型嚴(yán)密網(wǎng)絡(luò)的案例屢屢發(fā)生。如國(guó)外某農(nóng)協(xié)銀行系統(tǒng)被APT入侵后，導(dǎo)致服務(wù)業(yè)務(wù)中斷，核心備份數(shù)據(jù)也被刪除，系統(tǒng)故障持續(xù)3天后，才恢復(fù)部分服務(wù)。所以，某金融機(jī)構(gòu)發(fā)現(xiàn)現(xiàn)有的防御體系無(wú)法發(fā)現(xiàn)和防御當(dāng)前APT類的攻擊問(wèn)題，同樣可能會(huì)面臨APT類的網(wǎng)絡(luò)攻擊入侵風(fēng)險(xiǎn)，因此，某金融機(jī)構(gòu)希望在目前現(xiàn)有的網(wǎng)絡(luò)安全體系上作相應(yīng)的規(guī)劃設(shè)計(jì)，以此適應(yīng)其內(nèi)部的安全需求。

【方案建設(shè)思路】

經(jīng)過(guò)現(xiàn)場(chǎng)調(diào)研，了解到某金融機(jī)構(gòu)目前使用的安全體系，將會(huì)遇到以下的問(wèn)題：

◆未知威脅發(fā)現(xiàn)、告警能力 – 雖然已經(jīng)部署了防病毒網(wǎng)關(guān)，IDS、IPS，建立信息系統(tǒng)審計(jì)平臺(tái)，但未知攻擊/未知威脅時(shí)常進(jìn)入機(jī)構(gòu)內(nèi)部，經(jīng)常有員工因此而中招導(dǎo)致新病毒報(bào)告/攻擊潛伏/重要資產(chǎn)泄露/影響業(yè)務(wù)，引起公司高層非常關(guān)注。

◆防范未知威脅的運(yùn)維能力 —某金融機(jī)構(gòu)當(dāng)前已針對(duì)原有防御體系建立了成熟的響應(yīng)處置流程，而針對(duì)未知威脅如何進(jìn)行快速響應(yīng)處置，建立相對(duì)應(yīng)的處置流程，是他們急切需要的。對(duì)于未知威脅的運(yùn)維響應(yīng)，需要建立在對(duì)未知威脅的識(shí)別分析基礎(chǔ)之上，通過(guò)及時(shí)告警及快速的人工確認(rèn)進(jìn)行安全風(fēng)險(xiǎn)的響應(yīng)處置。

◆缺少對(duì)數(shù)據(jù)中心的深度防護(hù) — 某金融機(jī)構(gòu)數(shù)據(jù)中心服務(wù)器、網(wǎng)絡(luò)設(shè)備眾多，情況復(fù)雜多樣，存在不同軟硬件環(huán)境，不同應(yīng)用程序，如windows、*nix平臺(tái)。當(dāng)前部分安全防護(hù)措施的全面性還存在短板，如應(yīng)用層深度防御等還不夠。

數(shù)據(jù)中心是其最重要的核心資產(chǎn)之一，必須整合對(duì)整個(gè)數(shù)據(jù)中心的安全防護(hù)，提升應(yīng)用層的嘗試防御，提升最后一道安全防線的短板。

◆郵件服務(wù)需要額外的保護(hù) – 某金融機(jī)構(gòu)內(nèi)網(wǎng)中郵件服務(wù)是重點(diǎn)保護(hù)的對(duì)象。幾個(gè)月前的攻擊大都通過(guò)郵件進(jìn)行的，其中包含郵件釣魚(yú)，郵件附件包含惡意程序，而且公司部署的防病毒網(wǎng)關(guān)，IDS\IPS等安全設(shè)備都未報(bào)警，導(dǎo)致員工遭受攻擊，重要信息資產(chǎn)被竊。

基于上述安全風(fēng)險(xiǎn)現(xiàn)狀，我們有如下安全建議：

通過(guò)在數(shù)據(jù)中心及郵件服務(wù)器的關(guān)鍵通路上，部署惡意代碼檢測(cè)設(shè)備，通過(guò)旁路方式實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中傳輸?shù)奈募?，提供如下安全能力?/p>

1、 已知漏洞攻擊進(jìn)行識(shí)別

對(duì)利用已經(jīng)公開(kāi)的漏洞進(jìn)行的攻擊行為進(jìn)行識(shí)別

2、 未知漏洞攻擊進(jìn)行識(shí)別

通過(guò)對(duì)Shellcode特征的總結(jié)來(lái)進(jìn)行檢測(cè)，惡意代碼檢測(cè)設(shè)備的0day檢測(cè)引擎可快速對(duì)接收文件內(nèi)容或網(wǎng)絡(luò)報(bào)文內(nèi)容判斷是否包含惡意代碼。支持pdf,xls,ppt,doc,visio,rar,zip等大多數(shù)常用文件格式

3、 攻擊行為分析

惡意代碼檢測(cè)設(shè)備的虛擬執(zhí)行引擎來(lái)模擬應(yīng)用程序的執(zhí)行以及攻擊代碼的執(zhí)行，這樣攻擊代碼的一舉一動(dòng)都能夠被監(jiān)視下來(lái)。從而可以知道該攻擊事件的內(nèi)容和意圖，包括讀了什么文件，下載了什么惡意軟件，以及要把數(shù)據(jù)偷偷傳到什么地方等。

其典型部署模式如下圖所示

圖二：旁路方式部署的惡意代碼檢測(cè)設(shè)備(malware detect system)

【實(shí)際應(yīng)用】

在實(shí)際部署應(yīng)用接入期間，偵測(cè)發(fā)現(xiàn)監(jiān)控列表中出現(xiàn)大量高危事件，根據(jù)系統(tǒng)告警的展示信息，跟蹤進(jìn)入之后，發(fā)現(xiàn)是國(guó)外僵尸網(wǎng)絡(luò)冒充花旗銀行，主要針對(duì)銀行金融和運(yùn)營(yíng)商的新一波攻擊，在數(shù)天內(nèi)，其通過(guò)郵箱向內(nèi)網(wǎng)發(fā)送了上千條包含Worm.NetSky-14或zbo木馬的垃圾郵件，從界面可見(jiàn)，其中Worm.NetSky-14依然猖獗;zbo木馬為zbot變種;隨后，協(xié)助用戶啟動(dòng)安全事件應(yīng)急預(yù)案，由于郵件快速傳播，數(shù)量較大，無(wú)法集中清除，通過(guò)向全內(nèi)網(wǎng)用戶發(fā)送緊急通告，提醒不要打開(kāi)此類郵件，