今天要介绍的这家银行厉害了。
它是我国改革开放中*早成立的新兴商业银行之一,仅在国内153个大中城市就设有1432家营业网点,员工总数超6万名,总资产规模超8.5万亿元。
它就是中信银行。作为巨额财富的集散地,银行天然会吸引诸多可能饱含恶意的目光,办公终端安全是银行业网络安全挑战中*棘手的难题之一。
中信银行在几年前开启了数字办公背景下的办公网安全建设之路,对接入办公网的数万台终端实现了全面且有效的威胁防护。中信银行办公网终端安全建设分为远程办公终端防护、办公外网终端防护,以及办公内网终端防护等三个建设阶段。
下面小微将从三个阶段各自面临的主要威胁与解决思路,以为更多企业的办公网终端安全建设提供参考。
巧用DNS实现云化安全,远程终端安全再无虞
由于银行业务人员有频繁出差需求,再加上居家办公、移动办公的需求多发,中信银行远程办公人员与终端数量较为庞大。远程办公终端在脱离了银行办公网安全防护后,极易感染各种恶意程序进而入侵内网。同时在不安全环境下访问互联网,也有被攻击者植入木马,进而导致凭据密码等敏感信息被盗的潜在风险。
为了保障远程办公终端安全,中信银行安全团队在深入调研并反复评估后认为,利用云端安全DNS可以对远程办公终端安全提供有效防护。通过将DNS与威胁情报相融合,拦截终端上木马病毒发起的恶意反连,以此达成阻断网络攻击的目的。
OneDNS就是将DNS与威胁情报融合的云端安全DNS产品,其技术原理就是通过对终端发起的域名请求与云端情报库碰撞,进而拦截恶意域名,有效保护终端。
为了确保每一台远程终端都处于云端安全DNS的保护之下,需要在每台终端上安装有OneDNS提供的轻量级Agent插件。中信银行安全团队通过零信任进程准入技术来确保每一台访问内网的办公终端都安装有OneDNS轻量级Agent,以此实现对远程办公终端的防护。
这个轻量级Agent的作用还在于可以让办公终端实现内外网无缝防护。当Agent识别到办公终端处于银行内网环境时,将自动切换为默认DNS地址,将安全防护交给内网;当Agent识别到办公终端脱离内网环境后,自动切换为OneDNS防护云下。
据公开数据显示,90%以上的恶意软件都会通过DNS反连C2服务器。通过利用OneDNS来拦截恶意反连可阻断绝大部分的网络攻击,且精准度高达99.99%。
SaaS EDR服务助力中信银行办公外网安全
除了远程办公终端之外,中信银行办公网主要分为两张“网”,即办公内网和办公外网,前者严格隔离,无法随意访问互联网;接入办公外网的员工则可访问互联网,同时员工和第三方人员的自带设备(如个人电脑)主要接入办公外网。
自带设备“带病入网”等问题,给中信银行的办公外网带来了安全隐患,比如自带设备难以用常规方式管控,存在安全风险;而第三方人员的安全意识参差不齐,被攻击团伙利用的几率更高;并且,传统终端杀软也很难应对新型威胁。
中信银行安全团队对大量新型威胁样本及事件复盘分析后发现,尽管新型威胁绕过杀软的方法层出不穷,但产生的恶意行为却极其相似,利用EDR所使用的行为检测等新兴检测技术可有效检出新型威胁,补足终端杀软应对新型威胁的能力。
上述是中信银行办公外网终端安全防护体系示意图,通过杀软防护常见僵木蠕等威胁,利用云查杀实现对新型流行恶意软件的防护,再利用EDR有效应对APT攻击等网络*威胁。
经实践证明,集成了行为检测、图计算等新技术的 SaaS EDR可以有效应对*威胁,比如中信银行利用SaaS EDR有效防护了相关供应链投毒事件,同时还精准识别并处置了“银狐”团伙攻击事件。
云+端双重防护,中信银行办公内网安全再升级
中信银行办公内网终端数量超过8万台,尽管实施了严格的隔离与准入管控,相对不容易感染恶意程序。但内网之间的隔离依然是重点防护区域,一旦内网隔离被突破,内网间极容易遭遇大面积感染。
因此,中信银行对全行的各个内网都进行了终端DNS出口收敛,且均收敛到总行的本地DNS解析服务器上,再结合远程办公终端的成功经验,将本地DNS指向OneDNS,这样就可*轻松地将分散全国的内网都统一纳入到云端安全DNS的防护范围内,一旦内网感染终端发起恶意反连,均可被OneDNS实时拦截。
与此同时,中信银行安全团队通过总结办公外网利用SaaS EDR提高安全防护能力的成功经验,采取将SaaS EDR本地化部署的方式,来构建面向办公内网终端的入侵检测、研判分析、追踪溯源、定位取证、处置响应一体化防护方案。
小结
中信银行安全团队通过“三步走”的终端安全防护建设方法,成功实现了对远程办公终端、办公外网终端与内网终端的统一管控,受管控的办公终端数量高达数万台。不仅有效补足了全行办公终端难以应对新型威胁的网络安全防护短板,还完成了集检测、响应、处置一体的新型办公终端安全防护体系建设。
这套覆盖全行所有分行与支行的终端安全防护体系在中信银行日常安全运营中发挥了极其重要的作用。OneDNS对恶意软件发起的通信反连拦截率接近100%,基本实现了“所有终端远控威胁不出网、关键内网区域威胁闭环处置”。
中信银行以安全防护效果为先,不断构建更安全的办公网络安全环境,不仅仅满足于合规和演练,真正用心打造日常网络安全建设。因为,不断提升安全门槛,被攻击者盯上的可能性就会越小,严峻的攻击来袭时,扛得住的可能性也越高。
修炼内功,泰山崩于前而色不变。世间诸事,不止安全,皆是如此。
