《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 魔高一尺,,道高一丈:上交所VPN攻防札記

魔高一尺,,道高一丈:上交所VPN攻防札記

2021-05-27
來源:Python開發(fā)

虛擬專用網(wǎng)絡(luò)(以下簡稱“VPN”)系統(tǒng),、互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)、外網(wǎng)郵件系統(tǒng),、外網(wǎng)電腦系統(tǒng)一直是網(wǎng)絡(luò)安全外部邊界防御的重點(diǎn)。特別是VPN系統(tǒng),,由于其可直接穿透企業(yè)的內(nèi)外網(wǎng)邊界,,更是防守的重中之重。上海證券交易所(以下簡稱“上交所”)在“網(wǎng)絡(luò)安全攻防演習(xí)2020”行動(dòng)中,結(jié)合內(nèi)部演練經(jīng)驗(yàn)教訓(xùn)和安全專家評(píng)估建議,,對(duì)VPN系統(tǒng)進(jìn)行了全面梳理和加固,。演習(xí)攻防階段,上交所VPN系統(tǒng)在抵御外部攻擊的同時(shí),,也保障了相關(guān)業(yè)務(wù)的正常運(yùn)作,。

一、群魔亂舞

全天候測試環(huán)境VPN是上交所最重要的VPN系統(tǒng),。它涵蓋競價(jià),、綜業(yè)、港股通,、期權(quán),、固收五大核心業(yè)務(wù),每周一到周五向市場開放,。目前該VPN共365家用戶,,包括115家證券公司,200余家基金,、期貨,、保險(xiǎn)、資管,、開發(fā)商等重要證券市場參與者,。除承擔(dān)大量常規(guī)測試任務(wù)外,上交所還會(huì)根據(jù)業(yè)務(wù)技術(shù)創(chuàng)新的需要,,在該環(huán)境發(fā)布專項(xiàng)測試,。該VPN市場影響大,測試任務(wù)重,,勢(shì)必會(huì)成為網(wǎng)絡(luò)安全攻防的焦點(diǎn),。
       在上交所3月底、6月初組織的第一,、二輪內(nèi)部互聯(lián)網(wǎng)攻防演練中,,該VPN系統(tǒng)幾度淪陷:
       3月20日,某攻擊隊(duì)使用定制密碼字典對(duì)上交所公示的對(duì)外技術(shù)支持郵箱實(shí)施密碼爆破,,成功獲得密碼,。攻擊隊(duì)再嘗試使用該用戶名密碼,撞庫登錄上交所某私有網(wǎng)盤,。雖然該網(wǎng)盤有手機(jī)驗(yàn)證碼保護(hù),,但由于該網(wǎng)盤存在驗(yàn)證碼嘗試無次數(shù)限制邏輯漏洞,爆破約10分鐘后成功登錄,。攻擊隊(duì)檢索該用戶網(wǎng)盤,,獲取到大量敏感信息,,包括全天候測試環(huán)境500多個(gè)VPN賬號(hào)和明文密碼,以此成功進(jìn)入上交所全天候測試環(huán)境,。
       6月5日,,某攻擊隊(duì)埋伏在上交所對(duì)外技術(shù)服務(wù)臺(tái)QQ群內(nèi),針對(duì)上交所客服人員實(shí)施魚叉式釣魚攻擊,向其發(fā)送了偽裝成EXCEL表格文件的惡意木馬,。該客服未起疑心,,點(diǎn)擊木馬文件導(dǎo)致其外網(wǎng)電腦被控。攻擊隊(duì)檢索后發(fā)現(xiàn),,客服人員在其電腦硬盤上違規(guī)保存了大量敏感信息,,包括全天候測試環(huán)境430個(gè)VPN賬號(hào)和明文密碼。全天候測試環(huán)境再次全面失守,。

二,、道心惟微

全天候測試環(huán)境VPN兩次內(nèi)部演練中均被攻陷,所有市場參與者兩次被迫更換密碼,,這不能不引起上交所的重視,。反思下來,兩次攻擊成功的直接原因固然是有員工違規(guī)保存明文密碼文件導(dǎo)致信息泄露,,但原VPN系統(tǒng)僅用賬號(hào)加密碼作為認(rèn)證方式,,顯然也是導(dǎo)致失陷的重要因素。因此,,6月中旬上交所啟動(dòng)了全天候測試環(huán)境VPN系統(tǒng)的升級(jí)改造,。經(jīng)并行測試,于6月24日全市場切換到了新的某主流品牌SSL VPN,。新VPN支持雙因素認(rèn)證,,可綁定用戶手機(jī)號(hào)來增強(qiáng)安全性。
       6月30日上交所啟動(dòng)了第三輪內(nèi)部互聯(lián)網(wǎng)攻防演練,。升級(jí)后的全天候測試環(huán)境VPN經(jīng)受住了考驗(yàn),。第三輪演練中,雖有攻擊隊(duì)獲取到個(gè)別人的VPN賬號(hào)密碼,,但未能攻破手機(jī)綁定機(jī)制,,因此最終未能進(jìn)入內(nèi)網(wǎng)。

三,、魔高一尺

升級(jí)后的新VPN系統(tǒng),,其安全防護(hù)能力比起老系統(tǒng)確有顯著提升。然而,,8月下旬從威脅情報(bào)中心卻又忽然傳來消息:該品牌VPN系統(tǒng)源代碼已泄露,互聯(lián)網(wǎng)上已可下載,。
       收到該情報(bào)后,,上交所立刻組織專家分析,。分析后判斷上交所VPN系統(tǒng)的安全形勢(shì)非常嚴(yán)峻。源代碼泄露,,意味著未來幾周攻擊隊(duì)通過代碼安全審計(jì),,可以挖掘出多個(gè)針對(duì)該VPN系統(tǒng)的0day漏洞。這些漏洞在演習(xí)攻防階段投放出來,,可起到類似核武器的效果,,很可能一擊致命,對(duì)上交所構(gòu)成極大威脅,。
       由于業(yè)務(wù)需要,,上交所必須保障全天候測試環(huán)境VPN系統(tǒng)的安全穩(wěn)定運(yùn)行,為證券市場業(yè)務(wù)創(chuàng)新和技術(shù)發(fā)展提供穩(wěn)定的測試平臺(tái),。另外,,此時(shí)若要更換其他廠商VPN產(chǎn)品,在時(shí)間上已來不及,。

四,、道高一丈

狹路相逢勇者勝。8月底上交所召集所內(nèi)外運(yùn)維,、網(wǎng)絡(luò)和安全專家,,對(duì)全天候測試環(huán)境VPN系統(tǒng)進(jìn)行了專項(xiàng)安全評(píng)估。專家組提出了多項(xiàng)VPN系統(tǒng)加固措施建議,,上交所進(jìn)一步分解為具體的工作任務(wù),,納入工作臺(tái)賬跟蹤落實(shí)。

(一)準(zhǔn)備階段加固措施

措施1:開啟互聯(lián)網(wǎng)訪問白名單

市場服務(wù)組負(fù)責(zé)通知所有VPN用戶上報(bào)其互聯(lián)網(wǎng)出口地址,,網(wǎng)絡(luò)組負(fù)責(zé)在VPN前的防火墻增加互聯(lián)網(wǎng)訪問白名單,確保只有白名單內(nèi)用戶才能接入全天候測試環(huán)境VPN,。
開啟白名單后,監(jiān)測組負(fù)責(zé)重點(diǎn)監(jiān)測白名單開啟前后接入用戶的變化情況,,市場服務(wù)組負(fù)責(zé)收集市場用戶反饋,,確保白名單不會(huì)影響正常業(yè)務(wù)。
       措施2:綁定VPN管理端

禁止對(duì)互聯(lián)網(wǎng)開放VPN管理界面,,將管理端使用白名單綁定內(nèi)網(wǎng)運(yùn)維主機(jī),。網(wǎng)絡(luò)組負(fù)責(zé)實(shí)施,運(yùn)維組負(fù)責(zé)閉環(huán)驗(yàn)證,。
       措施3:控制VPN接入權(quán)限

測試環(huán)境責(zé)任人負(fù)責(zé)梳理VPN接入后的內(nèi)網(wǎng)訪問權(quán)限,,網(wǎng)絡(luò)組負(fù)責(zé)實(shí)施,測試組負(fù)責(zé)閉環(huán)驗(yàn)證,。
       措施4:加強(qiáng)邊界流量監(jiān)測監(jiān)測組負(fù)責(zé),,網(wǎng)絡(luò)組配合,把VPN接入后的網(wǎng)絡(luò)流量導(dǎo)入到流量分析設(shè)備和態(tài)勢(shì)感知系統(tǒng),,調(diào)試驗(yàn)證后納入日常監(jiān)測,。

措施5:準(zhǔn)備應(yīng)急處置預(yù)案

應(yīng)急處置組負(fù)責(zé)完成全天候環(huán)境VPN被攻擊場景的應(yīng)急處置預(yù)案,,秘書處配合完成沙盤推演。

(二)演習(xí)攻防階段加固措施

措施1:實(shí)施VPN專項(xiàng)檢查

VPN系統(tǒng)責(zé)任人負(fù)責(zé)每日定時(shí)導(dǎo)出用戶賬號(hào)信息和日志并提交專家分析,,重點(diǎn)關(guān)注用戶數(shù)量變化及異常操作日志,。
       措施2:限制VPN開放時(shí)間

上交所公示的測試環(huán)境開放時(shí)間是早九點(diǎn)到晚六點(diǎn)。VPN系統(tǒng)責(zé)任人負(fù)責(zé)每日準(zhǔn)時(shí)啟停系統(tǒng),,保障正常業(yè)務(wù)的同時(shí)盡量縮小攻擊者可利用的時(shí)間窗口,。
       措施3:及時(shí)穩(wěn)妥升級(jí)補(bǔ)丁VPN系統(tǒng)責(zé)任人負(fù)責(zé)加強(qiáng)與廠商聯(lián)系,第一時(shí)間獲取該品牌VPN系統(tǒng)官方升級(jí)補(bǔ)丁,。關(guān)閉補(bǔ)丁自動(dòng)升級(jí)功能,,所有補(bǔ)丁必須先在測試環(huán)境測試無異常才能在生產(chǎn)環(huán)境實(shí)施。

綜上,,為實(shí)現(xiàn)全天候測試環(huán)境VPN系統(tǒng)安全穩(wěn)定運(yùn)行的目標(biāo),,上交所立足于現(xiàn)有人員和設(shè)備,充分調(diào)動(dòng)內(nèi)部資源,,明確各方職責(zé),,從技術(shù)、管理,、流程,、應(yīng)急各個(gè)維度,對(duì)VPN系統(tǒng)進(jìn)行了全方位的安全加固,。
       真正進(jìn)入演習(xí)攻防階段后,,威脅情報(bào)中心多次傳來該品牌VPN存在0day漏洞的消息,該VPN廠商兩周內(nèi)兩次下發(fā)官方補(bǔ)丁對(duì)0day漏洞進(jìn)行修補(bǔ),。得益于上交所的加固措施,,全天候測試環(huán)境VPN系統(tǒng)保持了正常穩(wěn)定運(yùn)行,沒有發(fā)生任何網(wǎng)絡(luò)安全事件,,有力地支持了科創(chuàng)板股份減持,、科創(chuàng)板指數(shù)、期權(quán)做市雙邊報(bào)價(jià),、跨滬深港ETF等業(yè)務(wù)創(chuàng)新的全市場測試,,為我國證券市場安全穩(wěn)定發(fā)揮了應(yīng)有的作用。




電子技術(shù)圖片.png



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。