隨著金融業網絡安全風險防范的形勢日趨嚴峻,部署于基層人行的各類Web應用系統因安全防護能力薄弱、改造升級成本巨大,成為了網絡安全防護的難點和痛點。本文立足浙江省人民銀行實際,探索研究RASP與IAST安全技術的技術原理與產品特點,強化基層人行應用系統的安全防護能力。實踐結果表明,基于“RASP+IAST”的新型安全防護體系具有高性能、低成本的特點,能有效攔截各類外部攻擊,提升系統安防水平,填補基層人行安全短板。最后,本文從穩定性、擴展性、協同性三方面對新技術、新產品提出進一步思考,為下一階段深度應用打下堅實的基礎。
近年來,隨著全國數字化改革不斷深入,金融業數字化轉型已成為實現高質量金融服務的關鍵路徑,“數據多跑路,群眾少跑腿”的線上政務服務理念已逐步被公眾所接受。在數字化基礎設施建設中,金融業Web應用系統既是面向公眾對外服務的重要窗口,又作為數據查詢、存儲、轉發的重要媒介,在社會活動、經濟活動中承擔著重要的角色。而另一方面,Web應用系統也成為網絡攻擊的主要入口,病毒、蠕蟲、后門、注入、DDoS等各類外部攻擊成為了主機安全、系統安全、數據安全的重大威脅。解決這些安全問題勢在必行。
2022年以來,在深入落實科技管理“三集中”的背景下,基層人行自建的應用系統逐步被上收至省級數據中心,實行應用系統的“統一運行、統一管理、統一維護”。然而部署于基層的應用系統大多為自行開發建設的系統,往往存在安全設計薄弱,安全開發松懈,普遍具有“體量小、數量多、業務少、防護弱”的特點。又因其系統架構五花八門,安全級別參差不齊,短時間內完成統一整合的工作量大、復雜度高。而應用系統自身又難以有效應對日益發展變化的新型Web攻擊,成為安全管理的難點和痛點。為進一步加強Web應用系統安全防范力度,基層人行亟需針對該“薄弱環節”強化入侵防護能力,提升應用系統自身的“免疫力”,以促進系統的優化升級。
(資料圖片僅供參考)
“運行時應用自保護技術”(Runtime application self-protection,簡稱RASP)與“交互式應用安全測試技術”(Interactive Application Security Testing,簡稱IAST)相結合的新型安全防護體系為應用系統安全防護提出了新思路:RASP技術能將自身與現有Web應用系統深度融合,構筑起一道內部防線,實現對外來攻擊的實時監測、阻斷攔截,使應用系統擁有自我保護的能力;IAST技術能幫助開發人員或者運維人員在Web應用系統的測試階段與運行階段,主動對系統的安全風險進行精細化的測試評估,為開發人員提供漏洞修復建議。基于兩類技術相結合構成的新型安全防護體系,能有效發現安全隱患、捕捉外部入侵、及時查漏補缺,實現了覆蓋事前、事中、事后各階段的安全保障要求。
中國人民銀行嘉興市中心支行 朱維聰
新型安全防護體系的特點
1.體系架構新
新型安全防護體系架構包含前臺嵌入式模塊與后臺管理平臺兩部分。前臺嵌入式模塊作為Web應用系統的插件,將檢測程序部署至應用程序內部,當用戶發起訪問請求時,全面精準地采集各接口函數的輸入輸出信息,并將結果反饋至后臺管理平臺。當Web應用系統遭受到實際攻擊的時候,嵌入式模塊能自動對其進行防御,做出相應的識別、報警和阻斷,不需要進行任何人工干預。后臺管理平臺對接各個部署在不同Web應用系統中的嵌入式模塊,將采集得到的信息進行分類統計、分析評判,并將分析結果通過可視化的方式向管理員展示。前后模塊各司其職,相互配合,全方位筑牢各應用系統抵御外部攻擊的安全防線。
圖 “RASP+IAST”安全防護體系架構圖
2.信息采集廣
新型安全防護體系能達到“白盒”式的信息采集和風險預警。其前臺嵌入式模塊能在Web應用系統內部掃描程序的函數調用和數據流向等信息,將每一次外部請求的執行情況和詳細結果以日志的形式記錄下來,保存到與之對接的后臺管理平臺,供進一步深入分析。安全管理人員能詳細地查看到風險請求在執行中的整個過程,這些信息對人工識別系統誤判和人工驗證攻擊風險都具有重要的參考價值。而傳統的Web應用入侵防御系統(簡稱WAF)僅僅只對每次請求的輸入輸出內容進行模式匹配,致使安全管理人員能掌握的信息十分有限。
3.漏洞覆蓋全
經過業界多年的探索研究和實踐沉淀,目前RASP與IAST的技術產品,已支持當前各類主流編程語言開發的Web應用系統,覆蓋所有常見的安全漏洞。依托安插在代碼中的探針,在獲取代碼數據流、代碼控制流等信息后,結合外部請求對漏洞進行綜合分析判斷,相較于傳統WAF系統,具有更高的覆蓋率和更低的誤報率。在此基礎上,新型安全防護體系還賦予了應用系統“自主發現,自我提升”的能力。通過捕捉代碼中未被捕獲的未知異常,幫助開發人員及時發現應用系統中存在未知漏洞,第一時間處理和修復,在運行時通過交互式的反饋與修復,使應用系統實現自我完善。
4.部署成本低
目前運行的各類存量Web應用系統,一部分由外部軟件公司開發,缺乏相關安全加固的維保服務,另一部分為科技部門自行開發,而因人員崗位調動或改造工程量大等客觀原因,難以實現通過系統改造的方式提升安全防護能力。新型安全防護體系的部署方式跳出了“必須對系統做改造”的約束,提供了一種“應用系統無感知”的部署方法:前臺嵌入式模塊以動態鏈接的方式與服務中間件進行整合,在安裝模塊程序后,只需進行簡單的配置,重啟Web服務后即可完成部署,部分版本還支持“免重啟”部署。在開通網絡訪問權限后,即可與后臺管理平臺進行對接。
主要功能與運作機制
1.基于規則匹配的攻擊檢測
前臺嵌入式模塊能基于歷史經驗通過風險字符串特征進行匹配識別。新型安全防護體系的規則匹配,相較于傳統的外部請求規則匹配更加精細化,其通過Hook(掛鉤)方法,獲取內部函數的參數,對參數值進行更具針對性的識別。不僅能有效抵御SQL注入、命令注入、文件上傳、跨站腳本等外部攻擊,在性能上更是顯著優于傳統的匹配方法。
2.基于污點追蹤的漏洞檢測
污點即Web應用系統中存在風險的變量和函數。新型安全防護體系通過追蹤外部可控制的風險變量和風險函數,判斷風險變量是否未經安全處理輸入危險函數中執行,并對危險函數的輸入輸出信息進行嚴格把關。此外,污點追蹤不僅包括在線的風險診斷,還涵蓋了離線的可疑攻擊分析:依托強大的信息存儲分析能力,后臺管理平臺能根據可疑攻擊的變換步驟、請求頻率等特征進行分析,基于目前先進的機器學習模型,不斷地迭代更新和自我提升,使整套防護體系不斷完善。
3.基于交互式的安全風險掃描
安全風險掃描是一種交互式掃描,在用戶發出請求過程中,前臺嵌入式模塊通過獲取到應用系統運行時的狀態信息,精確識別安全漏洞,從而實現對應用系統實時精確的在線檢測,與此同時將采集獲得的信息反饋到后臺管理平臺,對檢測出的安全漏洞進行匯總、統計、分析、展示。此外,應用系統所使用的第三方組件往往由于版本未及時更新而存在一些已知漏洞,后臺管理平臺能根據第三方組件漏洞庫對正在運行的組件進行風險掃描和安全檢測,精準定位到Web應用系統運行中加載的漏洞組件。
4.高覆蓋率Webshell檢測
Webshell是網站入侵的常用后門,入侵者利用Webshell可以在Web應用系統所在的服務器上執行系統命令、讀寫文件和竊取數據等惡意操作。Webshell具有隱秘性強、靈活度高、危害性大等特點,因此對Webshell的檢測始終是安全防御的重點。運用RASP技術能夠通過部署標記探針和檢測探針提取Webshell軟件特征,基于前臺嵌入式模塊采集的數據在后臺管理平臺做檢測。檢測方法包括規則匹配、行為統計分析、污點追蹤等,通過標記非信任的數據源,實現了對整個數據鏈路的全面監測。
實踐路徑與取得成效
1.驗證安全防護效果
為確保測試驗證過程的安全,避免對生產系統的干擾,人民銀行杭州中心支行首先在互聯網環境構建“二套模擬+三套實戰”的靶機環境作為模擬實戰的“試驗田”,對RASP與IAST技術的安全防護能力進行了實戰檢驗。并組織全省安全技術骨干,對測試靶機應用系統進行安全掃描和發起自由攻擊,結果表明RASP技術能有效攔截SQL注入、命令執行、目錄遍歷、文件包含等十余項常見Web攻擊行為,對大幅提升應用系統安全防護能力,具備顯著效果,彌補了傳統外部檢測系統的盲區。IAST技術能在日常交互過程中,將系統本身及其第三方組件存在的詳細漏洞信息反饋給安全管理人員,相較于傳統漏洞掃描方式具有更高的精準度和更廣的覆蓋面。
2.規劃部署測試路徑
前臺嵌入式模塊需直接嵌入Web應用系統代碼邏輯,因此產生的兼容性風險較高。為積極穩妥探索可行部署測試路徑,人民銀行杭州中心支行采取“先測試環境,后生產環境,先地市試點,后全省應用”的策略,克服內外網隔離等實際困難,在“金融數據報送系統”等多個面向金融機構的應用系統生產環境中成功完成了應用部署。經過6個月的連續運行,相關應用系統在RASP與IAST技術的持續防護下,保持連續生產,業務處理正常,兩項技術在同一Web應用系統中能保持穩定運行、良好兼容,同時進行應用安全檢測防護,未發生異常中斷或其他不兼容的情況。
3.全省推廣應用實踐
基于前期的階段性成果,人民銀行杭州中心支行組織省內各地市中心支行梳理各自Web應用系統,統計其使用的操作系統、開發語言、服務中間件等信息,評估部署RASP與IAST安全組件的可行性,盡可能將更多的系統納入部署清單中,共同推進新型安全防護體系應用的“全覆蓋”。截至目前已基本完成各系統的部署計劃,全省共完成20余套Web應用系統的部署工作,占全省地市中心支行自建信息系統數量近80%。
總結思考與未來展望
上述應用實踐與取得成效,為基層人行優化安全管理提出了新思路,積累了寶貴的經驗,包括RASP與IAST技術在各主機環境、各系統框架下的應用,新型安全防護體系在人民銀行內網中的應用等。下一階段將持續細化測試,探索新型安全防護體系在人民銀行內部系統中更深入地應用,包含以下三方面。
1.總結經驗,積極推進系統漏洞修復
在前期取得的實踐成果基礎上,一方面總結當前地市自建系統的安全態勢,重點關注安全防控的薄弱環節,維護建立系統的風險庫、漏洞庫和案例庫;另一方面歸納匯總推廣部署過程中的成功經驗和失敗教訓,沉淀形成知識庫和經驗庫。針對推廣部署工作中發現的漏洞列出計劃開展整改,對系統架構及技術框架老舊無法兼容新技術新業態發展的應用系統,推動其功能整合或由新系統替代。
2.做精做細,全面推廣深度融合應用
完成新型安全防護體系推廣部署全覆蓋的“最后沖刺”,進一步開展在基層人行現有系統的部署應用。研究RASP定制化工作,通過RASP工具調參、自定義編程接口,提升RASP運行機制與人民銀行系統體系的契合度。探索RASP與WAF的深度融合,配合實現定制化的防御策略,構建“內部+外部”的雙重防線,形成互補短板、協同強化的安全生態。
3.形成閉環,打造高效聯合運維機制
將新型安全防護體系的應用納入未來新系統建設的安全考量標準中,作為筑牢安全生產底線的重要一環。將應用系統安全運維作為重點抓手,推進新技術、新知識在基層人行的普及,提升全省科技隊伍的安全防控意識和安全運維水平。在下一步落實新型安全防護體系的運維與監測工作中,將其納入全省網絡安全聯合運維體系,落實責任單位和責任人員,做到漏洞風險的早發現、早處理、早解決。
(欄目編輯:李朝瑞)
責任編輯:Rex_09
營業執照公示信息