业务安全动态监测
产品简介
今天,政府、机构、企业内部信息系统采集、存储、传输、处理的信息量越来越大,信息的重要程度也越来越高。在信息使用方面,随着WEB技术的发展,由于其使用、维护、开发的便利性,已经成为各种业务系统开发的主要选择。
然而,在享受WEB技术带来便利的同时,由于其页面代码、交互协议的开放性,必然导致利用该技术开发的业务系统,面临更加严峻的安全威胁。近年来由于各种WEB业务系统应用漏洞、业务逻辑漏洞,导致的敏感信息泄露屡见不鲜、愈演愈烈,迫使WEB业务系统的安全成为亟待解决的难题。
同过去恶作剧式的入侵行为相比,当前针对WEB业务系统的入侵往往存在明显的利益驱动,即,以获取业务系统中的核心数据、价值信息出售获利为目的。因此,保护WEB业务系统安全应以保护WEB业务系统核心数据安全为重中之重。
通过业务系统的安全威胁主要来自两个方面,一方面来自企业外部的非法入侵,黑客针对业务系统或者数据库漏洞,采取各种攻击手段,篡改或者盗取数据。这部分威胁可以通过在业务网络入口部署网络防火墙、入侵防护、Web 应用防火墙等产品得到有效预防。而另一方面的威胁来自企业内部,内部员工的恶意破坏、违规操作和越权访问,往往会带来数据的大量外泄和严重损坏,甚至导致业务系统崩溃。这些操作往往不具备攻击特征,很难被普通的信息安全防护系统识别出来,防不胜防,迫切需要一种行之有效的手段来进行防护。
产品功能
业务审计系统主要由业务分析识别、异常行为监测和监测效果体现三个部分组成。业务分析识别主要完成业务资产梳理、业务模块梳理和业务办理行为监测建模。异常行为监测则是根据业务的梳理情况和业务系统办理业务的特点,设置相关的监测策略,完成对业务系统相关人员的操作行为进行实时审计监测。监测效果部分主要对业务梳理结果和业务违规行为进行多维度的报表直观展现。功能框架如下:
1、基本目标
能对WEB系统提供业务模块的自动学习、分析。帮助用户掌握当前业务系统中的业务模块及其访问规则,支持新增业务的自动分析。并对监测对象进行实时、可视化监测。实现方式包括以下两种:
1)基于账号使用权限
产品应能识别出账号通过修改控制业务模块权限参数值的方式绕过系统的权限控制行为,直接越权访问业务模块,并根据策略,对访问的行为进行告警,提供详细信息。
2)基于数据内容的识别
内部人员本身缺乏经验、动力和技术支持来完成数据梳理工作。现有的敏感数据发现技术架构一般都是要求用户先做好数据梳理工作,为各个敏感数据打上恰当的标签以后,再使用关键词和正则表达式去检测标签属性,从而完成数据分类。但是出于内部现有状况的角度出发,用户希望通过抓取敏感数据来推动数据梳理工作的进展。因此,当两种意见陷入死锁状态,极大的延缓了系统的部署和推广。
2、基于业务的监测
业务审计系统经过了不同的业务系统的监测实施,拥有了通用监测模型和个性化的监测模型,能够根据不同业务系统进行业务数据和业务办理行为的有效监测审计。
1)业务访问情况统计
IP地址归属地、状态码(正常请求和错误请求占比)、流量、浏览器、URL、死链接等访问情况统计,让安全人员从全局上对业务系统流量交互情况有个整体的把控。
2)业务操作透视
根据HTTP流量中的请求、回应内容进行分析,从HTTP请求头中提取能够定位单一功能的HTTP请求特征。通过特征的聚合分析,映射到业务系统各个业务模块。
3)业务建模
基于行为识别的机器学习技术,对业务人员日常操作进行行为记录,通过统计其办理频次、办理时间、涉及业务数据及办理逻辑等业务特征值智能测算出业务办理的常态化特征值,建立业务常态模型。并随着时间的推移,自动完成模型的准确度评估和改进。
3、监测功能点
通过审计企业内网的各大信息安全风险点,将人员误操作和企业内鬼的恶意违规行行为发现出来。在告警页面展示出异常行为所涉及的人员账号、IP地址等,并将近期发生的所有异常行为进行关联分析,审计监测更多潜在的信息安全风险点。监测平台本身具备高适应性个性化场景监测能力。
1)业务操作违规越权监测
低权账号通过利用人员开账号时权限开放的疏忽或者系统模块权限的控制验证不完善,操作访问高权账号的业务模块。账号在登陆或者相关验证的时候,通过跳过这些验证步骤或者伪造认证等行为达到不授权进行操作业务,访问业务数据的违规操作。
业务审计系统通过对业务系统的各个业务模块进行识别,将自动识别这些业务模块的特征,并将其中存在审批、认证、系统配置等具有高权账号才可操作办理的业务模块进行进一步的分析。在业务学习建模期间将相关操作这些高权模块的业务账号收集整理,自动形成高权模块与高权账号的一对多、多对多关系。在自学习完成以后,转化成高权业务监测模型,准确告警非高权账号访问高权业务的越权访问操作行为。
2)业务操作违规提权监测
利用业务系统自身存在的业务漏洞(例如通过流量包里用户id的修改,把底权账号的用户id换成高权账号的id,二次投放请求,来获取高权账号才能访问的数据),来非法访问或操作高权账号业务模块。监测系统通过对业务子模块的关键传参进行分析识别,将异常的参数篡改发现并告警通知相关管理人员,及时处理。
3)业务办理绕行
有一些重点业务在办理操作高权业务的过程中必须完成一些关键步骤,但是有一些业务人员却通过其他手段绕过了这些关键步骤,直接完成对重要业务的操作办理,造成严重的信息安全后果。例如贷款审批流程大多经过贷款申请、贷款人实名认证、贷款人个人信息审查、放款审批、二次核验信息、还款合同签约、放款等业务流程,由于利用参数篡改绕行某些关键步骤,达到非法放款的目的。
监测系统在业务流程建模的过程中,通过对业务系统的相关审批、认证、申请等具有业务办理流程的业务流进行识别、收集、分析。将这些业务流程中根据不同权重分析出来的共性模块按照业务流的时间、账号、频率等特征关联成串,结合业务系统的操作流量、操作人员数、学习时间等要素,完成业务系统相关业务流程的准确建模。并在智能建模完成后,开始对业务流程进行动态化、持续性监测。
4)业务僵尸账号
一些账号长时间未登陆业务系统,有可能该帐号使用人员已经离职、转岗,应该及时对相关账号进行封存、下线、删除等操作,避免出现这等账号被他人使用,进行违规操作,无法有效追溯相关责任人。
通过对业务账号的准确识别提取、收集、在时间维度上整理活跃的业务账号并及时发现超过时间维度的不活跃业务账号及时报告给相关管理人员确认相关账号使用人员去留情况。在动态的监测中,为管理人员提供有效的管理业务账号使用情况分析手段。
5)业务账号复用
同一账号在同一时间在不同的设备上进行登陆操作,由于同一个账号的使用人员不能唯一确定,一旦出现违规操作很难定位相关人员,为追责时候处理等添加审查难度。监测系统通过对同一账号的操作行为全记录,提供有效的事后追溯定责的证据。
6)账号管理不当
通过对账号的检查,将运维人员、业务上线测试人员的零时账号是否按照规定访问特定的业务,审计有无违规办理相关业务、设置相关系统,查询不该查询的业务信息。
例如金融贷款放款业务模块,客户转账业务模块等涉及资金类型的业务模块,往往对于额度有明确的限制,但由于业务模块在设计实现的过程中难免出现不可知的安全漏洞。在业务上线后被相关技术人员利用,大额度的进行相关业务的违规操作。因此对于这类会给企业造成直接经济损失的业务风险监控就变得十分必要。
7)第三方运维账号违规访问业务
根据业务监管共识,业务系统运维账号一般不具有访问业务系统在线业务模块,特别是具有明显业务特征的业务员平时办理的企业业务模块。监测平台通过学习相关整理自动收集相关业务账号,准确识别运维账号,分析运维账号是否具进行了业务违规操作。
8)运维账号违规配置策略监测
运维账号在做网络设备,安全设备、业务系统的相关策略下发时均因按照企业的规定在指定的时间段做相关可能影响业务具有风险的操作,并做好报备工作。但是在实际的企业运维中,相关人员存在不按照管理规定在非运维升级时间违规在运维系统上操作下发策略。监测平台通过监测相关运维业务模块的操作行为,及时发现不按照运维规定配置策略的违规行为。
9)web业务常规漏洞识别
由于在企业内部网络环境中,没有了waf、防火墙等各种阻隔设备的保护,内部的渗透行为往往产生更大的安全风险。备案的渗透行为是否合规的进行安全检查,恶意的内网渗透等安全风险都需要进行必要的行为审计。内置常规漏洞识别引擎,及时发现以下七大类的渗透行为,将不法行为狙击在萌芽状态进行目标发现、数据探知等操作行为,将不法行为狙击在萌芽状态。
SQL注入、
敏感文件扫描、
文件包含LFI、
XSS跨站脚本攻击、
CSRF攻击、
远程代码执行漏洞攻击、
扫描器识别
10)业务账号密码撞库监测
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。在这样的攻击下容易暴露众多的业务账号,涉及高中低权限的账号均有可能,易造成的严重后果和巨大的不良影响。
11)短信炸弹
通过特制的软件不断往一手机号码发重复的垃圾短信,以达到骚扰和恶搞的效果。它的原理其实很简单,现如今网络上,需要用到手机验证的地方越来越多了,比如购物、注册、确认信息什么的,都需要往手机下发验证码,所以短信炸弹就是利用这些验证码来做文章,使用特制的软件不停地请求验证码,而那些正常的普通网站就在这里无意的当了一把帮凶,被攻击着利用相关短信接口。
12)邮箱炸弹
攻击者利用企业系统的邮件发送功能,修改验证嘛等认证信息,高频率请求,以达到骚扰和恶搞所选定人员的效果,对企业造成不良影响,滥用这些网站的接口群发垃圾短信,对个人手机进行短信轰炸,这不但影响受害者的通讯,还对这些网站的企业往往造成巨大的经济损失和不可估量的社会影响。
13)业务系统登录验证码绕过
利用业务系统验证码认证成功后没有将session及时清空,导致验证码首次认证成功之后可重复使用等系统缺陷,绕过登陆验证码验证,违规登陆业务系统。监测系统通过识别相关验证码传输参数或者表单数据相关登陆业务模块,将验证码相关信息进行比对分析,及时发现登陆验证码绕过行为并告警通知管理人员。
14)账号密码明文
业务系统账号在登录、业务办理的过程中,有些模块数据在交换的过程中会出现明文传输账号、密码、验证码等重要信息,这些信息易被他人利用,进行违规操作,造成严重的后果。所以及时发现这些风险点就显得迫切而且必要。
15)账号弱口令
将相关服务平台账号进行定期与不定期的弱口令自动检测,审计分析业务系统业务账号是否存在弱口令,防止业务账号轻易泄露,非法办理业务。
16)密码暴力破解
通过对系统登陆相关业务模块数据流量的分析监测,及时发现告警不法人员通过暴力破解系统账号的手段,登陆系统的相关违规行为。及时发现这类安全风险,提供加固调整相关业务模块的安全建议。
17)业务数据违规获取
不法人员通过利用相关合法账号,通过高频访问业务数据模块,批量下载业务数据,非工作时间访问业务数据等手段违规访问获取业务数据。可能会导致用户数据泄露在公网或在黑市上进行买卖,导致同行恶意竞争客户资源,造成影响用户工作生活,给企业带来舆论压力,影响相关企业的信誉,vip客户流失等一系列的严重后果。
18)自定义异常
根据监测环境的实际情况,通过对业务数据交互涉及的操作和账号信息等的频率、时间、内容等关键信息进行灵活的策略设置。构成为企业个性化打造的监测防护场景,为企业业务系统提供适合自身特点的自动监测功能。
例如通过对重点业务的办理次数统计,及时发现突然激增的业务模块访问行为,从中监测业务模块违规访问办理,尝试性转移积分、客户余额等行为。涉及到的业务数据类型、数量等进行统计分析,为不同行业的不同定制化场景准备原始参考数据。及时发现重点业务可能存在的风险点。
产品优势
业务审计系统是针对业务本身进行检测以及业务数据本身进行监测审计的一款产品,主要关注合法用户的违规办理,同时兼顾监测外部人员通过Web业务系统非法获取企业数据的行为。既防外、更安内。
l 旁路部署、镜像(分光)获得监测数据,对用户现有网络和业务不造成任何影响;
l 多维度审计分析、自我完善,安全、放心、可靠;
l 无需安装客户端软件,通过浏览器即可对其进行相关配置和策略的管理;
l 多种部署模式,大中小型网络均适用
产品价值
对业务的相关人员(包括:外部用户、内部职工、业务合作伙伴,第三方厂商人员等)进行业务行为监测,实时发现异常行为,提供行为的可视化监测,保证发生的每一笔业务是表达真实意愿并合乎规范和流程的。产品主要从合法、合规、合理三个方面体现其价值。
合法:要保证所有流程和操作行为都是合乎国家法律法规的,没有欺诈、信息泄露等违法行为的。
合规:要所有操作流程及行为都要符合行业规范和企业规范,不能有任何违规越权、欺骗行为。
合理:游离于合法和合规之外,还没有形成法律或行业规范。比如:帮朋友查些内部信息、打着测试的名义干预业务运行等。
部署架构
由于需要实现定位到使用人员进行监测,对于复杂网络,建议安装在能够区分独立用户的网络汇聚处,如多个IP通过代理访问业务系统,则需要安装在代理服务器前端,以区分各个不同的用户。
旁路部署模式
在旁路部署模式,用户通过设置交换机镜像或进行链路分光,将流量引入到WEB业务审计平台设备中,捕获WEB双向流量,实现安全检测以及防护等功能。注意事项如下所示:
l 明确需要监测审计的对象,以Web应用审计为例,需要明确web应用系统所依赖的主机系统、交换机等设备需要审计的端口和协议,形成审计业务表。
l 明确监测系统部署的位置和审计事件采集的方式,形成网络部署结构图。
l 对需要监测的应用上所存在的账号访问行为制定审计规则,尤其是特权账号的访问行为、关键操作的访问行为等,备份已完成的策略文件。
l 制定回退计划,实现监测系统上线的切割。
l 依照相关管理制度,完成定期生成审计报表、定期数据备份等日常维护工作清单,备份相关配置文件、备份审计系统的相关账号和密码信息。