互联网协议第6版(IPv6)的发展是互联网向下一代演进的重要环节,是支撑经济高质量发展的支点,也是未来赢得国际竞争的必要条件。党中央和国务院高度重视下一代互联网发展,国家“十三五”规划纲要、国家信息化发展战略纲要等,都把超前布局下一代互联网和全面向IPv6演进升级作为首要任务。
2021年,中央网信办、国家发展改革委、工业和信息化部印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,明确了“十四五”时期深入推进IPv6规模部署和应用的主要目标、重点任务和时间表。同年,工业和信息化部、中央网信办印发《IPv6流量提升三年专项行动计划(2021—2023年)》,提出到2023年底,实现移动网络IPv6流量占比超过50%,固定网络IPv6流量规模达到2020年底的3倍以上等目标。
2023年,工业和信息化部、中央网信办、国家发展改革委、教育部、交通运输部、人民银行、国务院国资委、国家能源局等八部门联合印发《关于推进IPv6技术演进和应用创新发展的实施意见》,提出“构建IPv6演进技术体系”“强化IPv6演进创新产业基础”“加快IPv6基础设施演进发展”“深化‘IPv6+’行业融合应用”“提升安全保障能力”等五方面的重点任务。此文件的发布,标志着我国IPv6规模部署和应用工作进入到以技术创新和应用为主的新时期。
银行业高度重视IPv6网络安全建设,尤其门户和面向互联网提供业务服务的应用系统,均已支持通过IPv6访问。通过纵深防护体系和安全运营体系的建立与完善,其IPv6网络安全防护能力已大幅提升。与此同时,银行业机构也面临着一系列新的挑战:各项IPv6防护措施是否有效、是否存在需要改进提升的IPv6领域、如何进一步提升自身IPv6安全防护实战水平等。
恒丰银行金融科技部
总经理助理 李祥胜
机构在日常安全运营工作中的痛点
随着银行业安全运营体系和纵深防御体系建设日趋完善,安全检测防护体系的复杂度也急剧提升。安全检测防护体系以各区域的安全监测与防护设备为基础,依赖各设备配置的安全策略,以做到对攻击实时监测、恶意流量阻断、威胁实时报警、行为关联分析等。银行业机构内外部业务流程复杂、应用版本更新频繁,已有的测试环境无法完全对生产环境的全部架构进行模拟,如果出现安全策略变更错误、已有防护策略被绕过、设备告警存在大量误报等情况,不仅会导致安全防护策略失效,甚至会影响生产业务系统安全稳定运行。研究发现,在实战化网络安全攻防中,多数未能有效发现攻击事件的原因整体归纳为已有安全策略配置不当、安全设备性能不足、设备告警日志丢失、防护覆盖度不足等情况,各领域问题列举如下。
1.互联网边界侧防护缺失
银行业外部资产因未及时配置或遗漏等原因,导致不在安全防护范围内的情况较为常见,两地三中心或多个机房主备模式下,备用模式无实际防护机制、设备仅具备IPv4无IPv6防护策略、策略变更同步实施不完善,导致绕过安全防护机制的情况多有发生。
2.流量侧检测处理能力不足
经调研分析,行业内存在网络流量分析设备NTA、入侵防御设备IPS、Web应用防护设备WAF等,因流量镜像不全导致检测覆盖缺失,如缺少IPv6的业务流量,或因设备性能不足导致丢包的现象,如设备对IPv6流量解析存在不足,以及加密隧道或工具导致流量无法检测匹配的问题,从而存在攻击路径盲区,使得安全运营人员无法及时发现和阻断攻击者,进而扩大影响。
3.恶意IP封禁存在失效
在银行业的自动化安全运营中,需通过结合恶意攻击行为、威胁情报等信息对面向互联网的攻击IPv4/IPv6地址进行有效封禁,阻断其恶意行为。因封禁方式(防火墙、旁路阻断设备)和两地三中心网络架构的不同,难以实现封禁策略的全量覆盖,可能存在封禁时间延迟或IPv4/IPv6封禁失效等问题,如IPv6格式支持不足导致的封禁失效。
4.主机侧安全检测能力失效
主机入侵检测系统HIDS或类似产品可能缺少对内存马的检测能力,或者由于产品配置不完善而未开启诸如反弹shell、命令执行等监测功能,以及可能存在升级后的检测策略失效的情况。
5.终端侧病毒木马检测能力失效
防病毒系统可能因策略配置原因、系统软件功能BUG、云查杀网络不通等情况,导致出现病毒实时监测查杀模块失效、查杀能力降低的情况。
6.邮件拦截能力失效或遗漏
邮件安全网关对外部钓鱼邮件、垃圾邮件是否有比较完备的检测能力或拦截规则,邮件DLP系统对敏感数据外发是否存在检测拦截的遗漏,需要在日常安全运营过程中不断提升和加固。
因此,如何实现自动化、实战化、常态化的安全策略有效性验证,主动发现防护策略失效的盲区,尤其是IPv6相关的检测与防护策略的有效性,是银行业机构安全运营需关注的重要问题之一。
基于IPv6的安全策略有效性验证方案
1.平台部署
安全有效性验证平台由验证机、靶机、服务端三部分组成,具体如下。
(1)验证机,即攻击机,模拟攻击者对靶机发起攻击的主机,包含互联网验证机和内网验证机两类。
(2)靶机,即被攻击的对象,靶机上无任何真实生产业务,但部署有和真实环境一致的安全检测防护软件,通过在不同安全区域部署真实靶机,用于验证不同场景下安全策略配置的有效性,同时适配Windows、Linux、XC等不同环境。
(3)服务端,即后台服务节点,在运管区部署验证平台服务端,统一对接安全运营管理中心NGSOC或按需直接与安全设备对接。通过设备告警日志和攻击端发送的数据包进行比对,获取验证成功或失败的结果,最后排查验证失败的原因,并进行问题跟踪,以便于消除风险薄弱点。
有效性验证平台部署架构(如图所示)。在日常有效性验证中,例如针对互联网接入区的各类安全设备,安全有效性验证平台公网靶机发起验证任务,网络安全设备对外部IPv4/IPv6攻击流量实时监测,设备产生的告警日志同步发至安全运营管理中心NGSOC,验证平台后端日志解析节点与NGSOC日志服务器对接,通过将发起的测试用例与收到的设备日志进行比对,形成闭环验证机制,确保验证的准确性、有效性、持续性。
图 基于IPv6的安全策略有效性验证
平台部署架构图
2.验证场景
验证场景设计主要包含网络安全、主机安全、终端安全、邮件安全、HW场景等五个领域,涵盖总分行及各办公园区,场景设计(如表1所示),包含如下。
表1 有效性验证场景设计
(1)网络安全验证场景,包含边界串联防护类设备和旁路镜像流量检测类设备两部分;边界串联防护类设备,包括如入侵防御设备IPS、Web安全防护设备WAF等;旁路镜像流量检测设备,包括如Web入侵检测设备、高级持续性威胁监测设备APT、全流量分析设备TSA等。
(2)主机安全验证场景,包含主机服务器层面的安全检测与防护类设备,如主机入侵检测系统HIDS、主机防病毒系统等。
(3)终端安全验证场景,包含终端层面安全监测产品,如终端安全管理软件、终端防病毒软件等。
(4)邮件安全验证场景,包括外到内的邮件沙箱类防护设备和内到外的邮件DLP设备两类。
(5)HW验证场景,包含近三年各安全攻防演练中发现的漏洞利用攻击场景。
有效性验证在安全运营工作中的实践
我行通过部署基于IPv6的安全策略有效性验证平台,对各类安全设备系统和规则策略开展实战化、常态化、自动化的有效性验证,及时发现存在问题,针对性策略调优、完善,逐步构建事前全面检验安全策略有效性、事中突击检验应急响应处置有效性、事后持续优化改进并进行复合验证的全周期安全防护能力。
安全验证任务示例,通过对安全防护能力的持续有效性验证,安全运营人员可以发现纵深防御体系的薄弱环节及深层次问题(如表2所示),如防护设备未覆盖所有资产、安全设备IPv6策略未同步、IPv6检测模块失效等,此类问题在日常策略检查和安全监测时较难快速发现,被发现时可能已产生不良后果。
表2 安全防护能力有效性验证结果示例
总 结
随着IPv6改造部署与系统复杂度的提升,安全防御体系的管理难度也随之提升。对于IPv6防御体系的有效性验证,如果没有自动化的验证工具辅助或持续性的验证,安全防御体系的有效性验证也将成为一个难题。我行基于IPv6的安全策略有效性验证,实现安全设备验证的覆盖面可控、活动的可持续、攻击过程的可视化。基于行业IPv6改造部署现状,目前通过安全有效性验证平台可完成互联网接入区、互联网DMZ等区域的安全设备基于IPv6策略的有效性验证。随着IPv6改造部署工作的持续推进,基于IPv6的安全策略有效性验证将覆盖内外网各个安全区域。
无论BAS还是其他攻击模拟技术,技术的成熟度仍面临一些挑战,如何适应日新月异的技术与IPv6业务环境,构建出完整的面向企业实际场景的防御有效性验证,仍需要无数安全人的持续努力,我行也会持续跟进未来智能化IPv6有效性验证技术的发展趋势不断探索实施路径。
(此文刊发于《金融电子化》2024年11月下半月刊)
推荐阅读(点击图片查看精彩内容)
滑动查看公告详情
新媒体中心
主任 / 邝源
编辑 / 姚亮宇 傅甜甜 张珺 邰思琪
