【用戶背景】

近幾年，隨著中國3G、移動網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)民上網(wǎng)習(xí)慣的改變，某金融機構(gòu)的信息化建設(shè)也加快步伐，促進了自身銀行業(yè)務(wù)的發(fā)展，改進了服務(wù)方式和服務(wù)手段，提高服務(wù)水平，為各類業(yè)務(wù)開展提供了有力保障;其內(nèi)部網(wǎng)建設(shè)也為其各項業(yè)務(wù)的拓展提供了堅實基礎(chǔ)。

目前，某金融機構(gòu)的各分支行都有各自的局域網(wǎng)，通過專線鏈路將它們連接在一起，進行各種數(shù)據(jù)的交換和處理，部分分支行有連接互聯(lián)網(wǎng)的接口或其它業(yè)務(wù)、網(wǎng)絡(luò)接口，大多數(shù)分行劃分了vlan隔離業(yè)務(wù)和辦公網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)鋱D如下：

圖一：某金融機構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)圖

金融行業(yè)對信息安全向來十分重視，某金融機構(gòu)通過部署防火墻、防病毒網(wǎng)關(guān)、IDS、IPS、WAF等安全產(chǎn)品，一定程度上保障了整個網(wǎng)絡(luò)的安全運行。

而隨著黑客攻擊手法變得更加靈活，攻擊途徑復(fù)雜多變，原有傳統(tǒng)的防御體系已無法完全保障現(xiàn)有網(wǎng)絡(luò)的安全。通過社工、系統(tǒng)的未知漏洞、信任欺騙、長期潛伏等新舊方法結(jié)合的思路成功侵入眾多大型嚴(yán)密網(wǎng)絡(luò)的案例屢屢發(fā)生。如國外某農(nóng)協(xié)銀行系統(tǒng)被APT入侵后，導(dǎo)致服務(wù)業(yè)務(wù)中斷，核心備份數(shù)據(jù)也被刪除，系統(tǒng)故障持續(xù)3天后，才恢復(fù)部分服務(wù)。所以，某金融機構(gòu)發(fā)現(xiàn)現(xiàn)有的防御體系無法發(fā)現(xiàn)和防御當(dāng)前APT類的攻擊問題，同樣可能會面臨APT類的網(wǎng)絡(luò)攻擊入侵風(fēng)險，因此，某金融機構(gòu)希望在目前現(xiàn)有的網(wǎng)絡(luò)安全體系上作相應(yīng)的規(guī)劃設(shè)計，以此適應(yīng)其內(nèi)部的安全需求。

【方案建設(shè)思路】

經(jīng)過現(xiàn)場調(diào)研，了解到某金融機構(gòu)目前使用的安全體系，將會遇到以下的問題：

◆未知威脅發(fā)現(xiàn)、告警能力 – 雖然已經(jīng)部署了防病毒網(wǎng)關(guān)，IDS、IPS，建立信息系統(tǒng)審計平臺，但未知攻擊/未知威脅時常進入機構(gòu)內(nèi)部，經(jīng)常有員工因此而中招導(dǎo)致新病毒報告/攻擊潛伏/重要資產(chǎn)泄露/影響業(yè)務(wù)，引起公司高層非常關(guān)注。

◆防范未知威脅的運維能力 —某金融機構(gòu)當(dāng)前已針對原有防御體系建立了成熟的響應(yīng)處置流程，而針對未知威脅如何進行快速響應(yīng)處置，建立相對應(yīng)的處置流程，是他們急切需要的。對于未知威脅的運維響應(yīng)，需要建立在對未知威脅的識別分析基礎(chǔ)之上，通過及時告警及快速的人工確認(rèn)進行安全風(fēng)險的響應(yīng)處置。

◆缺少對數(shù)據(jù)中心的深度防護 — 某金融機構(gòu)數(shù)據(jù)中心服務(wù)器、網(wǎng)絡(luò)設(shè)備眾多，情況復(fù)雜多樣，存在不同軟硬件環(huán)境，不同應(yīng)用程序，如windows、*nix平臺。當(dāng)前部分安全防護措施的全面性還存在短板，如應(yīng)用層深度防御等還不夠。

數(shù)據(jù)中心是其最重要的核心資產(chǎn)之一，必須整合對整個數(shù)據(jù)中心的安全防護，提升應(yīng)用層的嘗試防御，提升最后一道安全防線的短板。

◆郵件服務(wù)需要額外的保護 – 某金融機構(gòu)內(nèi)網(wǎng)中郵件服務(wù)是重點保護的對象。幾個月前的攻擊大都通過郵件進行的，其中包含郵件釣魚，郵件附件包含惡意程序，而且公司部署的防病毒網(wǎng)關(guān)，IDS\IPS等安全設(shè)備都未報警，導(dǎo)致員工遭受攻擊，重要信息資產(chǎn)被竊。

基于上述安全風(fēng)險現(xiàn)狀，我們有如下安全建議：

通過在數(shù)據(jù)中心及郵件服務(wù)器的關(guān)鍵通路上，部署惡意代碼檢測設(shè)備，通過旁路方式實時監(jiān)測網(wǎng)絡(luò)中傳輸?shù)奈募峁┤缦掳踩芰Γ?/p>

1、 已知漏洞攻擊進行識別

對利用已經(jīng)公開的漏洞進行的攻擊行為進行識別

2、 未知漏洞攻擊進行識別

通過對Shellcode特征的總結(jié)來進行檢測，惡意代碼檢測設(shè)備的0day檢測引擎可快速對接收文件內(nèi)容或網(wǎng)絡(luò)報文內(nèi)容判斷是否包含惡意代碼。支持pdf,xls,ppt,doc,visio,rar,zip等大多數(shù)常用文件格式

3、 攻擊行為分析

惡意代碼檢測設(shè)備的虛擬執(zhí)行引擎來模擬應(yīng)用程序的執(zhí)行以及攻擊代碼的執(zhí)行，這樣攻擊代碼的一舉一動都能夠被監(jiān)視下來。從而可以知道該攻擊事件的內(nèi)容和意圖，包括讀了什么文件，下載了什么惡意軟件，以及要把數(shù)據(jù)偷偷傳到什么地方等。

其典型部署模式如下圖所示

圖二：旁路方式部署的惡意代碼檢測設(shè)備(malware detect system)

【實際應(yīng)用】

在實際部署應(yīng)用接入期間，偵測發(fā)現(xiàn)監(jiān)控列表中出現(xiàn)大量高危事件，根據(jù)系統(tǒng)告警的展示信息，跟蹤進入之后，發(fā)現(xiàn)是國外僵尸網(wǎng)絡(luò)冒充花旗銀行，主要針對銀行金融和運營商的新一波攻擊，在數(shù)天內(nèi)，其通過郵箱向內(nèi)網(wǎng)發(fā)送了上千條包含Worm.NetSky-14或zbo木馬的垃圾郵件，從界面可見，其中Worm.NetSky-14依然猖獗;zbo木馬為zbot變種;隨后，協(xié)助用戶啟動安全事件應(yīng)急預(yù)案，由于郵件快速傳播，數(shù)量較大，無法集中清除，通過向全內(nèi)網(wǎng)用戶發(fā)送緊急通告，提醒不要打開此類郵件，