今天要和大家探讨的是以银行为代表的金融行业如何借助盛邦安全WEB应用安全综合治理平台来提升金融机构对WEB应用的安全管理。首先,银行客户在WEB应用系统安全管理方面存在着以下几个问题和挑战:
(1)应用系统多而乱
银行客户应用系统复杂,根据我们的调研,一般规模的城市商业银行,已经上线和正在建设的各类业务系统数量都在100-200套之间,个别银行的各类系统超过200套,这些应用系统目前基本都是B/S结构的WEB应用,针对如此大规模的应用系统的管理,在中小银行的现行管理体系下,普遍存在管理不到位的情况,例如资产档案不健全,内部域名使用混乱,应用系统配置管理缺失等。
(2)安全管理缺乏抓手
银行的安全管理采用“三道”防线机制,通常是风险管理部门或者科技部门下面的安全管理部门开展定期的风险评估,同系统开发和运维部门职能分离,但是针对上线的应用系统的安全评估往往缺乏检查重点和抓手。此外,目前中小银行针对应用系统的漏洞管理机制普遍采用定期的漏洞扫描机制,扫描周期通常为季度、半年、年度,不能进行实时、全面的检测;对于潜在风险的提示和预警,除了来自监管部门、安全厂商的风险提示等途径外,缺乏实时的工具和数据支撑,不能精准预警以及掌握重要漏洞可能影响的银行应用系统的范围和数量。
(3)银行办公、开发、测试网络管理存在薄弱点
银行针对生产网的管控非常严格,但是对办公、开发、测试网络的管理普遍没有生产网严格,存在私搭乱建的个人、项目组、部门的“私有”网站,并在其中进行文件和数据共享,例如客户数据、帐号和密码等敏感数据;在服务器虚拟化的大背景下,各部门和团队申请资源更加方便,但安全管理并没有跟上;例如申请的资源可能挪作他用,而这些私有网站又普遍存在管理不到位导致的敏感数据泄密的风险,通过管理要求很难杜绝,也很难发现这些违规搭建的站点。
基于以上情况,盛邦安全WEB应用安全综合治理平台为上述问题和挑战提供有效解决方案。
01
解决WEB资产多而乱的问题
盛邦安全WEB应用安全综合治理平台在网络出口或者核心交换旁路部署自学习引擎,通过对镜像流量Http访问的分析,自动发现网络内对外提供访问的网站及业务系统。平台深度的指纹学习功能可以更全面的掌握组织的web资产,探测出服务器的IP地址/域名、操作系统、中间件、网站编码方式、物理/MAC地址等信息,协助银行客户建立应用系统的资产库,掌握指纹信息,解决银行系统资产档案不健全、内部域名使用混乱、应用系统配置管理缺失的常见问题。
02
解决安全管理缺乏抓手的问题
盛邦安全WEB应用系统综合治理平台的资产实时发现功能,可以发现网络中新上线的应用;对于安全管理部门或者风险管理部门,可以把新学习的新系统作为安全检查的重点检查对象,针对这些应用系统评估上线流程是否符合内部和外部规范;实时发现应用系统的漏洞信息,及时发现重大漏洞或威胁并具备实时告警功能,为运维部门提供风险提示和整改跟踪;另外,该平台可以协助风险/安全管理部门评估现有的漏洞管理机制;同时对于来自任何渠道的漏洞预警信息,借助资产指纹信息,可以快速摸清银行网内哪些系统面临威胁,以及评估系统漏洞可影响到的银行内部的主机数量和比重。
03
解决银行办公、开发、测试网络管理薄弱的问题
该平台可根据网络内对外提供访问的网站及业务系统的特点,协助银行安全管理部门实时发现银行办公网、开发网、测试网中已有和新上线的WEB应用,并对其进行集中安全监控,帮助银行客户解决在办公、开发测试网络内私搭乱建、存在管理死角、敏感信息泄漏等高风险问题。
(1) 内容监控:
包括篡改监控、敏感词监控以及暗链监控。发现不合规内容(如密码、帐号等)并及时告警,还可以通过配置对高危访问自动进行阻断。
(2) 漏洞检测:
漏洞检测包含Web漏洞、系统漏洞、数据库漏洞、中间件漏洞,目前平台支持远程OWASP定义的Web威胁和及其相关的漏洞扫描监控服务。
(3) 后门检测:
银行内部很多重大的数据泄漏或者攻击事件,往往是在早期在网站中植入后门,然后进行提权,在某个节点展开恶意行为。而部分银行客户没有很好的重视对内部网站后门的检测。盛邦安全治理平台中的Webshell检测不同于传统的网站后门检测,不需要在服务器上安装检测插件,而是通过对流量的分析以及Webshell传输特征库,实现对Webshell的检测。