随着金融业网络安全风险防范的形势日趋严峻,部署于基层人行的各类Web应用系统因安全防护能力薄弱、改造升级成本巨大,成为了网络安全防护的难点和痛点。本文立足浙江省人民银行实际,探索研究RASP与IAST安全技术的技术原理与产品特点,强化基层人行应用系统的安全防护能力。实践结果表明,基于“RASP+IAST”的新型安全防护体系具有高性能、低成本的特点,能有效拦截各类外部攻击,提升系统安防水平,填补基层人行安全短板。最后,本文从稳定性、扩展性、协同性三方面对新技术、新产品提出进一步思考,为下一阶段深度应用打下坚实的基础。
近年来,随着全国数字化改革不断深入,金融业数字化转型已成为实现高质量金融服务的关键路径,“数据多跑路,群众少跑腿”的线上政务服务理念已逐步被公众所接受。在数字化基础设施建设中,金融业Web应用系统既是面向公众对外服务的重要窗口,又作为数据查询、存储、转发的重要媒介,在社会活动、经济活动中承担着重要的角色。而另一方面,Web应用系统也成为网络攻击的主要入口,病毒、蠕虫、后门、注入、DDoS等各类外部攻击成为了主机安全、系统安全、数据安全的重大威胁。解决这些安全问题势在必行。
2022年以来,在深入落实科技管理“三集中”的背景下,基层人行自建的应用系统逐步被上收至省级数据中心,实行应用系统的“统一运行、统一管理、统一维护”。然而部署于基层的应用系统大多为自行开发建设的系统,往往存在安全设计薄弱,安全开发松懈,普遍具有“体量小、数量多、业务少、防护弱”的特点。又因其系统架构五花八门,安全级别参差不齐,短时间内完成统一整合的工作量大、复杂度高。而应用系统自身又难以有效应对日益发展变化的新型Web攻击,成为安全管理的难点和痛点。为进一步加强Web应用系统安全防范力度,基层人行亟需针对该“薄弱环节”强化入侵防护能力,提升应用系统自身的“免疫力”,以促进系统的优化升级。
(资料图片仅供参考)
“运行时应用自保护技术”(Runtime application self-protection,简称RASP)与“交互式应用安全测试技术”(Interactive Application Security Testing,简称IAST)相结合的新型安全防护体系为应用系统安全防护提出了新思路:RASP技术能将自身与现有Web应用系统深度融合,构筑起一道内部防线,实现对外来攻击的实时监测、阻断拦截,使应用系统拥有自我保护的能力;IAST技术能帮助开发人员或者运维人员在Web应用系统的测试阶段与运行阶段,主动对系统的安全风险进行精细化的测试评估,为开发人员提供漏洞修复建议。基于两类技术相结合构成的新型安全防护体系,能有效发现安全隐患、捕捉外部入侵、及时查漏补缺,实现了覆盖事前、事中、事后各阶段的安全保障要求。
中国人民银行嘉兴市中心支行 朱维聪
新型安全防护体系的特点
1.体系架构新
新型安全防护体系架构包含前台嵌入式模块与后台管理平台两部分。前台嵌入式模块作为Web应用系统的插件,将检测程序部署至应用程序内部,当用户发起访问请求时,全面精准地采集各接口函数的输入输出信息,并将结果反馈至后台管理平台。当Web应用系统遭受到实际攻击的时候,嵌入式模块能自动对其进行防御,做出相应的识别、报警和阻断,不需要进行任何人工干预。后台管理平台对接各个部署在不同Web应用系统中的嵌入式模块,将采集得到的信息进行分类统计、分析评判,并将分析结果通过可视化的方式向管理员展示。前后模块各司其职,相互配合,全方位筑牢各应用系统抵御外部攻击的安全防线。
图 “RASP+IAST”安全防护体系架构图
2.信息采集广
新型安全防护体系能达到“白盒”式的信息采集和风险预警。其前台嵌入式模块能在Web应用系统内部扫描程序的函数调用和数据流向等信息,将每一次外部请求的执行情况和详细结果以日志的形式记录下来,保存到与之对接的后台管理平台,供进一步深入分析。安全管理人员能详细地查看到风险请求在执行中的整个过程,这些信息对人工识别系统误判和人工验证攻击风险都具有重要的参考价值。而传统的Web应用入侵防御系统(简称WAF)仅仅只对每次请求的输入输出内容进行模式匹配,致使安全管理人员能掌握的信息十分有限。
3.漏洞覆盖全
经过业界多年的探索研究和实践沉淀,目前RASP与IAST的技术产品,已支持当前各类主流编程语言开发的Web应用系统,覆盖所有常见的安全漏洞。依托安插在代码中的探针,在获取代码数据流、代码控制流等信息后,结合外部请求对漏洞进行综合分析判断,相较于传统WAF系统,具有更高的覆盖率和更低的误报率。在此基础上,新型安全防护体系还赋予了应用系统“自主发现,自我提升”的能力。通过捕捉代码中未被捕获的未知异常,帮助开发人员及时发现应用系统中存在未知漏洞,第一时间处理和修复,在运行时通过交互式的反馈与修复,使应用系统实现自我完善。
4.部署成本低
目前运行的各类存量Web应用系统,一部分由外部软件公司开发,缺乏相关安全加固的维保服务,另一部分为科技部门自行开发,而因人员岗位调动或改造工程量大等客观原因,难以实现通过系统改造的方式提升安全防护能力。新型安全防护体系的部署方式跳出了“必须对系统做改造”的约束,提供了一种“应用系统无感知”的部署方法:前台嵌入式模块以动态链接的方式与服务中间件进行整合,在安装模块程序后,只需进行简单的配置,重启Web服务后即可完成部署,部分版本还支持“免重启”部署。在开通网络访问权限后,即可与后台管理平台进行对接。
主要功能与运作机制
1.基于规则匹配的攻击检测
前台嵌入式模块能基于历史经验通过风险字符串特征进行匹配识别。新型安全防护体系的规则匹配,相较于传统的外部请求规则匹配更加精细化,其通过Hook(挂钩)方法,获取内部函数的参数,对参数值进行更具针对性的识别。不仅能有效抵御SQL注入、命令注入、文件上传、跨站脚本等外部攻击,在性能上更是显著优于传统的匹配方法。
2.基于污点追踪的漏洞检测
污点即Web应用系统中存在风险的变量和函数。新型安全防护体系通过追踪外部可控制的风险变量和风险函数,判断风险变量是否未经安全处理输入危险函数中执行,并对危险函数的输入输出信息进行严格把关。此外,污点追踪不仅包括在线的风险诊断,还涵盖了离线的可疑攻击分析:依托强大的信息存储分析能力,后台管理平台能根据可疑攻击的变换步骤、请求频率等特征进行分析,基于目前先进的机器学习模型,不断地迭代更新和自我提升,使整套防护体系不断完善。
3.基于交互式的安全风险扫描
安全风险扫描是一种交互式扫描,在用户发出请求过程中,前台嵌入式模块通过获取到应用系统运行时的状态信息,精确识别安全漏洞,从而实现对应用系统实时精确的在线检测,与此同时将采集获得的信息反馈到后台管理平台,对检测出的安全漏洞进行汇总、统计、分析、展示。此外,应用系统所使用的第三方组件往往由于版本未及时更新而存在一些已知漏洞,后台管理平台能根据第三方组件漏洞库对正在运行的组件进行风险扫描和安全检测,精准定位到Web应用系统运行中加载的漏洞组件。
4.高覆盖率Webshell检测
Webshell是网站入侵的常用后门,入侵者利用Webshell可以在Web应用系统所在的服务器上执行系统命令、读写文件和窃取数据等恶意操作。Webshell具有隐秘性强、灵活度高、危害性大等特点,因此对Webshell的检测始终是安全防御的重点。运用RASP技术能够通过部署标记探针和检测探针提取Webshell软件特征,基于前台嵌入式模块采集的数据在后台管理平台做检测。检测方法包括规则匹配、行为统计分析、污点追踪等,通过标记非信任的数据源,实现了对整个数据链路的全面监测。
实践路径与取得成效
1.验证安全防护效果
为确保测试验证过程的安全,避免对生产系统的干扰,人民银行杭州中心支行首先在互联网环境构建“二套模拟+三套实战”的靶机环境作为模拟实战的“试验田”,对RASP与IAST技术的安全防护能力进行了实战检验。并组织全省安全技术骨干,对测试靶机应用系统进行安全扫描和发起自由攻击,结果表明RASP技术能有效拦截SQL注入、命令执行、目录遍历、文件包含等十余项常见Web攻击行为,对大幅提升应用系统安全防护能力,具备显著效果,弥补了传统外部检测系统的盲区。IAST技术能在日常交互过程中,将系统本身及其第三方组件存在的详细漏洞信息反馈给安全管理人员,相较于传统漏洞扫描方式具有更高的精准度和更广的覆盖面。
2.规划部署测试路径
前台嵌入式模块需直接嵌入Web应用系统代码逻辑,因此产生的兼容性风险较高。为积极稳妥探索可行部署测试路径,人民银行杭州中心支行采取“先测试环境,后生产环境,先地市试点,后全省应用”的策略,克服内外网隔离等实际困难,在“金融数据报送系统”等多个面向金融机构的应用系统生产环境中成功完成了应用部署。经过6个月的连续运行,相关应用系统在RASP与IAST技术的持续防护下,保持连续生产,业务处理正常,两项技术在同一Web应用系统中能保持稳定运行、良好兼容,同时进行应用安全检测防护,未发生异常中断或其他不兼容的情况。
3.全省推广应用实践
基于前期的阶段性成果,人民银行杭州中心支行组织省内各地市中心支行梳理各自Web应用系统,统计其使用的操作系统、开发语言、服务中间件等信息,评估部署RASP与IAST安全组件的可行性,尽可能将更多的系统纳入部署清单中,共同推进新型安全防护体系应用的“全覆盖”。截至目前已基本完成各系统的部署计划,全省共完成20余套Web应用系统的部署工作,占全省地市中心支行自建信息系统数量近80%。
总结思考与未来展望
上述应用实践与取得成效,为基层人行优化安全管理提出了新思路,积累了宝贵的经验,包括RASP与IAST技术在各主机环境、各系统框架下的应用,新型安全防护体系在人民银行内网中的应用等。下一阶段将持续细化测试,探索新型安全防护体系在人民银行内部系统中更深入地应用,包含以下三方面。
1.总结经验,积极推进系统漏洞修复
在前期取得的实践成果基础上,一方面总结当前地市自建系统的安全态势,重点关注安全防控的薄弱环节,维护建立系统的风险库、漏洞库和案例库;另一方面归纳汇总推广部署过程中的成功经验和失败教训,沉淀形成知识库和经验库。针对推广部署工作中发现的漏洞列出计划开展整改,对系统架构及技术框架老旧无法兼容新技术新业态发展的应用系统,推动其功能整合或由新系统替代。
2.做精做细,全面推广深度融合应用
完成新型安全防护体系推广部署全覆盖的“最后冲刺”,进一步开展在基层人行现有系统的部署应用。研究RASP定制化工作,通过RASP工具调参、自定义编程接口,提升RASP运行机制与人民银行系统体系的契合度。探索RASP与WAF的深度融合,配合实现定制化的防御策略,构建“内部+外部”的双重防线,形成互补短板、协同强化的安全生态。
3.形成闭环,打造高效联合运维机制
将新型安全防护体系的应用纳入未来新系统建设的安全考量标准中,作为筑牢安全生产底线的重要一环。将应用系统安全运维作为重点抓手,推进新技术、新知识在基层人行的普及,提升全省科技队伍的安全防控意识和安全运维水平。在下一步落实新型安全防护体系的运维与监测工作中,将其纳入全省网络安全联合运维体系,落实责任单位和责任人员,做到漏洞风险的早发现、早处理、早解决。
(栏目编辑:李朝瑞)
