实战丨金融业安全渗透测试新发展
欢迎金融科技工作者积极投稿!
各抒己见!
投稿邮箱:
newmedia@fcmag.com.cn
——金融电子化
融联易云金融信息服务(北京)有限公司
产品中心安全及运营总监 于跃
伴随着我国互联网技术的迅猛发展和广泛应用,信息安全面临的威胁日益严重。国家、行业、企业开展各类安全评估、安全测试等活动。等级保护和行业安全标准要求企业建立常规渗透测试的项目机制,对于提高安全建设的整体水平,具有重要意义。
金融行业一向是新技术的领先应用者。无论是传统的柜台,还是线上业务,随着业务模式的快速变化,为了给客户提供更加完善的体验,对软件开发、运维以及业务自动化的需求和挑战都在不断增加,软件的安全性是企业顺利开展金融服务的基础保障。因此,金融行业对软件安全的重视以及确保所用技术安全性的实践力度都非常大。
安全渗透测试现状
传统的渗透测试和漏洞挖掘依赖于公司自身安全团队和第三方安全服务机构,参与测试的测试人员数量少、整体水平一般、测试手法单一,服务质量难以满足目前需求,信息安全供需双方的矛盾凸显。技术水平高的人员缺少途径,无法发挥其最大价值,同时企业也很难以找到高水平的人为其服务。
安全众测作为一种全新的渗透测试及漏洞发现服务模式崭露头角,该服务模式整合调动国内顶尖技术力量,汇集信息安全优秀人才,建立适应的人才评价和激励机制,共同抵御外部威胁,为保障金融行业的信息系统安全提供高水平、高质量的渗透测试服务。
近年来,国内“白帽子”的技术水平进步迅速,每年都为谷歌、微软、苹果和Adobe提交上百个漏洞。安全众测的运作模式已较为成熟,国内相关技术力量也已具备,用少量资源整合国内顶尖技术力量,有效解决“在信息安全上投入有限,难以聘用大量专业人才”的问题。
相比传统的渗透测试,这种开放式的安全众测能够取得很好的测试效果,但金融行业在探索安全众测时遇到以下问题。
(1)参与人员的身份背景是否可靠
(2)是否在授权的时间和测试范围内进行测试
(3)是否存在发现漏洞不报告的情况
(4)是否恶意窃取、篡改用户数据
(5)是否存在恶意攻击
(6)是否在服务器留后门
因此,需要从技术、安全管理机制、工作模式上,构建开放式安全测试的安全管控体系,保证人员、过程、结果的安全可控。
“可信”的安全众测
类比于当下信息安全热点之一的“可信计算”,被用户信任且能满足用户对相关业务和系统可用性与安全性需求的“可信安全众测”服务,正逐步被金融客户认可接受。安全众测达到可信需要在安全管理机制和服务原则两方面满足以下内容。
1.可信安全众测机制
建立一套安全众测和漏洞发现的接入和审计系统,系统提供渗透测试的安全接入和安全审计功能,所有渗透测试人员都通过安全众测管理系统对目标系统进行渗透测试,系统对所有测试人员的流量和行为进行备案和审计,保证测试过程的透明、可审计、可溯源。
建立事前、事中、事后的测试全生命周期的安全管理机制。事前审核测试人员的身份及背景,签署安全保密协议和测试工作协议,明确渗透测试的行为准则;事中通过技术手段,对测试人员行为进行备案和审计,保证测试过程的透明、可审计、可溯源;事后建立合理的违规处置机制,保证整个测试奖惩明确,净化渗透测试环境。
将行业漏洞发现、跟踪、检测、报送、管理和修复全流程打通,并针对金融行业安全工作和系统特点,组织专业分析和识别的管理体系,从而提高金融行业信息系统安全发展。
2.服务原则
众测服务将在国家法律、法规允许的范围内进行,特别是遵照并履行《网络安全法》《刑法》。
众测过程以及过程中涉及到的文档具有很好的规范性,以便于项目的跟踪和控制。可信众测过程所使用的工具、方法和过程会在双方认可的范围之内使用,使用规范成熟的评估方法,符合行业安全风险评估标准。
众测工作尽可能小地影响系统和网络的正常运行,不能对系统的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断),全量测试工作遵循在非正常上班时间进行漏洞扫描等工作方法来达到最小化影响。
项目组签订相关的保密协议,对众测工作中所产生的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人。
可信安全众测服务模式
可信安全众测服务根据企业的需求组建白帽子精英团队,为企业产品、系统进行针对性的安全众测。安全众测业务类型覆盖Web、APP客户端、智能硬件等,测试完成提供详细的漏洞细节和专业的修复建议。
通过实名认证、双因子认证、网络监管等多种手段保证测试过程安全,并提供专业漏洞修复方案,协同企业进行修复,并提供漏洞回检,帮助企业快速排除漏洞安全隐患,迅速提升安全能力。
白帽子测试过程通过VPN+流量监控的方式接入,全程对白帽子操作行为审计,实时记录参与测试白帽子的操作行为,提供完善的风险管控。安全众测服务流程如下图所示。
图 可信安全众测服务流程图
融联易云可信安全众测服务
作为由银保监会指导,十六家银行联合发起设立的银行系金融科技机构,融联易云致力于加强银行业网络安全协同防护和联动处置能力,提高信息系统安全运营风险的掌控能力和综合防护水平。融联易云以安全即服务(SECaaS)为理念,以解决行业共性的安全问题为导向,汇聚十六家股东行的最佳实践,为金融行业提供可信安全众测服务。
1.多家众测平台达成合作
融联易云可信安全众测平台,已与多家国内知名的众测平台达成合作,测试资源更加丰富,良性竞争实现按效付费。有效避免了因一家众测平台参与,而导致的“赶进度、轻质量”的思想、项目交付风险较高等问题。
2.中立、安全、合规
融联易云作为中立审计方,将搭建VPN安全测试通道,控制测试时间,可实现及时阻断。同时,安全众测过程无需进入内网操作。融联易云将建立良好的安全服务管理体系和流程,把控测试方按照金融客户的需求有序开展安全众测服务。
展 望
金融业的安全渗透测试,正从以往的满足合规要求向保障业务发展进行转变,当前已有部分企业为加强业务安全采用开放式的安全测试,类似于众测、攻防演练等。在“护网行动”的推动下,企业机构更加重视互联网系统的安全测试效果和测试团队的攻防水平。未来,开放式的测试是大势所趋,但开放必然带来无序,在《网络安全法》的要求下,保证安全测试、实战攻防演练有序、规范的进行,显得尤为重要。
建立一个开放可信的安全测试生态,引导可信安全众测服务在金融行业良性发展,对于提高我国网络安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
(点击查看精彩内容)
关于仿冒我刊收费的声明
我刊自创刊以来,从未向投稿人收取过任何费用。任何以刊发文章为名向投稿人收取费用的行为,均属于对投稿人的欺诈行为。
我刊官网地址为 www.fcmag.com.cn。
我刊投稿邮箱为 fcmag@fcmag.com.cn。
对于仿冒我刊网站、网页的违法行为,我社将追究其侵权责任,以维护我社和投稿人的合法权益。仿冒网站、网页举报电话:010-88232443
《金融电子化》新媒体部:主任 / 邝源 编辑 / 潘婧 傅甜甜