金融科技智能安全解决方案
近年来,拥抱金融科技、实施数字化转型,成为金融行业普遍的战略选择。金融与科技深度融合的趋势,深刻改变金融服务市场格局,对传统商业模式和监管规则提出新挑战。从银行业来看,金融科技的采用加速了银行金融科技业务从成本中心向利润中心的蜕变。同时,中国人民银行发布《金融科技发展规划(2022-2025年)》,提出新时期金融科技发展指导意见,明确金融数字化转型的总体思路、发展目标、重点任务和实施保障。规划了八个方面的重点任务中也提出健全安全高效的金融科技创新体系。
金融行业网络安全面临风险及挑战
随着金融行业对外开放力度不断加大,借助大数据、人工智能、区块链等新技术赋能,全景银行、开放证券等新业务层出不穷,使得现有金融信息基础设施将直面国内外不同形式的网络风险,金融业网络安全面临的风险和挑战也将持续升级。造成金融业的网络安全威胁风险总结如下几个方面:
业务快速迭代对运维安全带来持续挑战
开源框架、开源软件、开源镜像等在开发过程中大量被集成以满足业务快速上线的需求,内在隐性缺陷开源软件被内嵌在大量业务应用软件中,将对运维安全带来持续挑战。
移动互联网、云计算和大数据等新技术的广泛应用对网络安全保障提出现实挑战
以云计算为例,大中型金融机构从传统两地三中心向私有云、信创云等跨云架构转变,以应对业务变化保持竞争优势。新型金融信息基础设施的改变,网络安全保障体系将对线下、多云线上等多方向的业务流、信息流等提供网络安全保障,如何快速有效、持续发现和评估网络安全体系将对网络安全提出更高要求。
事件型漏洞和零日漏洞威胁持续走高
2020年,据CNVD统计共有通用软硬件漏洞19964个,其中,高危漏洞6906个(占34.6%)。较2019年漏洞收录总数16050环比增加24.39%。同时,根据零日漏洞追踪项目的统计(下图),2021年至今至少发现了66个零日漏洞,几乎是2020年总数的两倍,比有记录的任何一年都多。这些漏洞在披露时尚未发布补丁或相应的应急措施,将严重威胁我国金融行业网络空间安全。
网络攻击种类、规模与方式不断增加
网络攻击组织化、专业化愈发严重。 当前,金融机构己成为国内外敌对势力、黑客组织、不法分子实施网络攻击、渗透窃密的重点目标。以SWIFT攻击、ATM攻击、信息泄露、恶意软件、勒索软件和DNS攻击等为主要攻击手段,对金融机构经营发展和商业声誉受到严重威胁。
数据安全和隐私保护需求与难度加大
网络攻击组织化、专业化愈发严重。 当前,金融机构己成为国内外敌对势力、黑客组织、不法分子实施网络攻击、渗透窃密的重点目标。以SWIFT攻击、ATM攻击、信息泄露、恶意软件、勒索软件和DNS攻击等为主要攻击手段,对金融机构经营发展和商业声誉受到严重威胁。
金融行业解决方案
应对金融行业网络安全体系的挑战和需求,墨云科技提出“虚拟的攻”促“真实的防”及融合“黑客”+“智能”+“机器”的理念,深入研究主动安全验证、攻击感知预警分析等相关技术,以攻击视角来主动验证用户网络安全控制的有效性,将积累多年的网络攻击技战术专业经验策略知识与数据分析建模结合在一起,设计“智能红队基因”的安全智能全景图谱,通过自动化漏洞验证利用、开源框架及勒索病毒自动化渗透评估、逻辑漏洞验证及评估、零日漏洞挖掘及软件供应链安全等解决方案,为金融行业保驾护航。
基于安全智能,应对金融行业的网络安全风险挑战提出如下方案:
1.自动化渗透利用黑客机器人(vackbot)
VackBot虚拟黑客机器人核心能力包括资产识别、攻击面挖掘、漏洞挖掘与验证、模拟攻击与取证、迭代攻击、风险量化,并把整个攻击过程可视化。帮助用户发现有哪些资产,有哪些攻击面,存在哪些漏洞,有哪些可被利用,有什么后果,渗入路径。VackBot会根据攻击目标的情报信息,不断规划可能的攻击路径和攻击手法,并进行模拟攻击利用,可以最大程度的模拟渗透攻击过程,达到类似人工渗透测试的效果。
2.自动化漏洞挖掘机器人(avdbot)
自动化漏洞挖掘成果是一套智能化漏洞挖掘软件系统,采用fuzzing技术,主要对c/c++/Java系统及软件进行智能化漏洞挖掘,重点解决众多应用软件及系统安全零日漏洞问题保障金融行业网络安全。相比人工方式难于挖掘,工作量大且效率不高,avdbot将实现更高效的产出。在真实环境下测试,在20余个程序中发现200余个未知安全漏洞,其中100余个被国际漏洞库CVE收录;与传统fuzzing工具相比,快速挖掘目标系统软件上存在的未知0day漏洞能力,漏洞挖掘效率提升200%;Crash数量提升500%。
3.逻辑漏洞检测机器人
逻辑漏洞检测机器人是采用流量代理方式结合AI实体识别技术以及差异参数流量重放等核心技术对目标系统进行自动化高精准度的水平越权和垂直越权漏洞进行检测。区别于当前市场上半自动化的越权检测工具。逻辑漏洞检测机器人采用身份点位提取技术对系统内通信接口中的关键参数自动进行提取识别,并对参数值自动进行交叉验证,根据接口响应结果相似度进行越权漏洞判断。通过自动化方式,逻辑漏洞检测机器人大大减少应用软件灰度发布前海量人工测试量,快速高效识别未经过开发人员成体系化的访问控制设计,缩短应用发布周期。
4.软件供应链检测系统
软件供应链检测系统可分析软件供应链中涉及的开源代码种类及对应的文件数量,并对开源组件进行跟踪管理的能力;同时能够检测软件供应链使用的开源组件内隐藏的安全漏洞情况,并进行安全风险等级评估及检测因软件供应链整体软件许可证情况,包括分析软件许可证的兼容性和限制条件,揭示相关知识产权风险;为金融行业各关联金融机构在软件的生命周期的各个阶段(代码开发、编程构建、软件测试和版本发布)进行软件成分分析及安全检测,持续监控,以隔离及防止跨系统、跨机构、跨区域的安全风险蔓延。
5.攻击模拟评估系统(bas)
攻击模拟评估系统参考Mitre ATT&CK模型,采用上千种TTPs攻击剧本模拟数据渗出、waf穿透、及端点安全评估等多种场景,检测现有安全防护体系是否识别、检测、及阻断“黑客”的网络攻击,通过BAS系统,帮助客户采取积极安全防御策略来提升金融行业的安全管理能力。
6.智能攻击路径管理平台(VackMagi)
Magibot是基于用户资产为核心的风险管理平台,通过对用户资产进行长期的全面监控,可以有效帮助企业建立全场景资产管理方案。平台支持多个扫描引擎实现漏洞交叉评估及漏洞利用复验,结合工单管理系统可扩展与现有安全管理能力平台对接,建立安全能力工具如自动化渗透、POC库与情报、态势、SIEM等平台对接形成完备安全保障体系。
应用场景
自动化渗透利用风险评估
安全基线自动化、报告格式自定义
越权管理自动化评估,防止应用逻辑漏洞发生
可定制渗透场景,满足行业独特安全渗透需求
自定义插件(POC)管理功能,实现行业定制攻击库
网络设备安全有效性评估,形成行业安全最佳实践
防范软件供应链安全隐患
实现基于资产的智能风险管理
零日漏洞挖掘保障关键应用安全