2020年金融網路安全攻防技術論壇|綠盟科技談攻防演練九大防守鐵律

近日，由中國工商銀行金融科技研究院安全攻防實驗室聯合《中國金融電腦》雜誌社共同舉辦的“2020年金融網路安全攻防技術論壇”在北京召開。綠盟科技作為協辦單位出席本次論壇。

本次論壇邀請到了60餘位國內監管及金融機構的安全負責領導、專家共同參與和討論。與會期間，嘉賓們從多個維度分享了金融安全防禦工作中的實踐經驗，解析了從攻擊視角構建金融安全防禦的思路和路徑，詳細闡述了當前面對的重大挑戰及應對策略。

其中，中國資訊保安測評中心、中國工商銀行、中國農業銀行、中國建設銀行、中國光大銀行、中國人壽、滴滴及安全企業等機構的相關領導及專家分別發表了致辭及演講。綠盟科技安全運維保障部技術總監劉鍾帶來《攻防演練中的防守鐵律》的主題演講，得到與會嘉賓的高度認可。

當下，攻擊手段日益精進、多變是不可否認的事實，傳統安全攻防態勢被逐漸改變。在攻防對抗愈演愈烈的情況下，作為防守方總是面臨著數倍於自身規模的攻擊方。而防守範圍廣、人員多、防守技術龐雜、防禦構建時間短，是當前防守方面臨的主要問題。這些原因導致攻防演練以及日常攻防對抗中攻防雙方在技術、形態和資源上存在嚴重的不對等。結合綠盟科技大量的攻防對抗實戰經驗，劉鍾介紹了在攻防對抗實踐中的防守側重點、防守方法要點，並總結出攻防演練中的九條防守鐵律：

第一條：“知己遠比知彼更重要”—資產基礎安全治理是根本

知己知彼百戰百勝，在攻防對抗中，攻擊手法往往瞬息萬變，而自身的資產往往在攻防階段較為穩定，因此更關鍵在於對自身的資產的掌控程度，因此防守方應對自身資產的安全狀況進行全面排查。

第二條：“一夫當關 萬夫莫開”——全面收斂網際網路暴露面

在如今的企業發展過程中，資產規模愈發龐大，攻擊者往往會尋求安全建設中的短板進行攻擊的展開，要想在攻防演練對抗中減少自身風險程度，快速有效的方式就是對網際網路資產進行暴露面收斂。

第三條：“向新冠防疫看齊”——貫徹強隔離的分割槽分域方針

在攻防對抗中，複雜的網路區域中不可避免地會存在或多或少的風險，一旦某網路區域出現安全風險，為了保證風險最小程度蔓延，網路區域之間的隔離策略就顯得尤為重要。

第四條：“沒有可信的網路”——必須對網路邊界流量進行攻擊檢測

在網路安全中，一直秉持著“所有的使用者輸入都是有害的”的原則，在攻防對抗階段中也同理，防守方需針對所有的網路邊界流量部署以一定的網路流量檢測與防護裝置，以確保實時發現隱匿的惡意行為。

第五條：“戰役成敗就在一瞬之間”——建立快速決策機制

在攻防對抗當中，在發現安全事件的瞬間往往意味著風險的產生甚至漏洞已經被成功利用，因此在對風險處置的過程中需快速權衡判斷安全風險與業務的重要性，對風險實現快速處置。

第六條：“眾人拾柴火焰高”——構建圍繞威脅情報的聯防聯控體系

近年來國內對攻擊情報對關注體系愈發成熟，若攻防對抗中同單位甚至同行業內形成威脅情報的有效體系，可實現快速定位和分析對手的攻擊特徵，能較大提高防守戰線的優勢。

第七條：“一朝被蛇咬十年怕井繩”——基於實戰的網路安全意識檢驗及提升

近年攻防對抗中，出現不少攻擊者採取社工類攻擊獲得成果的例子。因此防守單位除了關注自身資產安全以外，同樣需要提升員工的網路安全意識，而有效的方式是透過擬真的方式進行實戰化的安全意識檢驗。

第八條：“順藤摸瓜”——具備攻擊溯源能力

在攻防對抗中，要實現對攻擊源的快速分析、處置、溯源定位等動作，必須透過部署相關的安全裝置以具備攻擊溯源能力，如全流量溯源能力，蜜罐陷阱捕獲能力。

第九條：“這是最後一道防線”——實現主機級威脅檢測與響應

如今攻擊手法及戰術瞬息萬變，尤其是0day漏洞的頻發，使得許多邊界流量防護裝置愈發被動，對於主機層安全檢測與響應逐漸成了攻防對抗中有效的對抗手段。

2020年以來，國家提出新型基礎設施建設戰略，其核心是數字基建，透過大力發展大資料、雲端計算、人工智慧、區塊鏈、物聯網等前沿技術，不斷助推各行各業的數字化轉型升級，建設數字經濟、數字社會。然而，新技術在打破諸多傳統桎梏的同時，日漸開放的網路環境也為各行各業引入了新的風險，尤其對以安全為基礎的金融行業來說，新技術的應用意味著出現了新的“防區”，而攻守博弈也隨之成為維護金融穩定的又一常態。

綠盟科技專注金融行業資訊保安研究多年，持續跟蹤資訊保安發展趨勢，透過不斷地洞察和分析銀行、證券、保險及網際網路金融等行業客戶在資訊保安方面所面臨的風險和需求，推出適應各類安全需求的產品、解決方案以及專業的體系化安全運營服務，以巨人背後的專家為使命，為金融行業客戶的發展提供堅實有力的資訊保安保障。