虛擬專用網(wǎng)絡(luò)(以下簡稱“VPN”)系統(tǒng)、互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)、外網(wǎng)郵件系統(tǒng)、外網(wǎng)電腦系統(tǒng)一直是網(wǎng)絡(luò)安全外部邊界防御的重點。特別是VPN系統(tǒng),由于其可直接穿透企業(yè)的內(nèi)外網(wǎng)邊界,更是防守的重中之重。上海證券交易所(以下簡稱“上交所”)在“網(wǎng)絡(luò)安全攻防演習(xí)2020”行動中,結(jié)合內(nèi)部演練經(jīng)驗教訓(xùn)和安全專家評估建議,對VPN系統(tǒng)進行了全面梳理和加固。演習(xí)攻防階段,上交所VPN系統(tǒng)在抵御外部攻擊的同時,也保障了相關(guān)業(yè)務(wù)的正常運作。
一、群魔亂舞
全天候測試環(huán)境VPN是上交所最重要的VPN系統(tǒng)。它涵蓋競價、綜業(yè)、港股通、期權(quán)、固收五大核心業(yè)務(wù),每周一到周五向市場開放。目前該VPN共365家用戶,包括115家證券公司,200余家基金、期貨、保險、資管、開發(fā)商等重要證券市場參與者。除承擔(dān)大量常規(guī)測試任務(wù)外,上交所還會根據(jù)業(yè)務(wù)技術(shù)創(chuàng)新的需要,在該環(huán)境發(fā)布專項測試。該VPN市場影響大,測試任務(wù)重,勢必會成為網(wǎng)絡(luò)安全攻防的焦點。
在上交所3月底、6月初組織的第一、二輪內(nèi)部互聯(lián)網(wǎng)攻防演練中,該VPN系統(tǒng)幾度淪陷:
3月20日,某攻擊隊使用定制密碼字典對上交所公示的對外技術(shù)支持郵箱實施密碼爆破,成功獲得密碼。攻擊隊再嘗試使用該用戶名密碼,撞庫登錄上交所某私有網(wǎng)盤。雖然該網(wǎng)盤有手機驗證碼保護,但由于該網(wǎng)盤存在驗證碼嘗試無次數(shù)限制邏輯漏洞,爆破約10分鐘后成功登錄。攻擊隊檢索該用戶網(wǎng)盤,獲取到大量敏感信息,包括全天候測試環(huán)境500多個VPN賬號和明文密碼,以此成功進入上交所全天候測試環(huán)境。
6月5日,某攻擊隊埋伏在上交所對外技術(shù)服務(wù)臺QQ群內(nèi),針對上交所客服人員實施魚叉式釣魚攻擊,向其發(fā)送了偽裝成EXCEL表格文件的惡意木馬。該客服未起疑心,點擊木馬文件導(dǎo)致其外網(wǎng)電腦被控。攻擊隊檢索后發(fā)現(xiàn),客服人員在其電腦硬盤上違規(guī)保存了大量敏感信息,包括全天候測試環(huán)境430個VPN賬號和明文密碼。全天候測試環(huán)境再次全面失守。
二、道心惟微
全天候測試環(huán)境VPN兩次內(nèi)部演練中均被攻陷,所有市場參與者兩次被迫更換密碼,這不能不引起上交所的重視。反思下來,兩次攻擊成功的直接原因固然是有員工違規(guī)保存明文密碼文件導(dǎo)致信息泄露,但原VPN系統(tǒng)僅用賬號加密碼作為認證方式,顯然也是導(dǎo)致失陷的重要因素。因此,6月中旬上交所啟動了全天候測試環(huán)境VPN系統(tǒng)的升級改造。經(jīng)并行測試,于6月24日全市場切換到了新的某主流品牌SSL VPN。新VPN支持雙因素認證,可綁定用戶手機號來增強安全性。
6月30日上交所啟動了第三輪內(nèi)部互聯(lián)網(wǎng)攻防演練。升級后的全天候測試環(huán)境VPN經(jīng)受住了考驗。第三輪演練中,雖有攻擊隊獲取到個別人的VPN賬號密碼,但未能攻破手機綁定機制,因此最終未能進入內(nèi)網(wǎng)。
三、魔高一尺
升級后的新VPN系統(tǒng),其安全防護能力比起老系統(tǒng)確有顯著提升。然而,8月下旬從威脅情報中心卻又忽然傳來消息:該品牌VPN系統(tǒng)源代碼已泄露,互聯(lián)網(wǎng)上已可下載。
收到該情報后,上交所立刻組織專家分析。分析后判斷上交所VPN系統(tǒng)的安全形勢非常嚴峻。源代碼泄露,意味著未來幾周攻擊隊通過代碼安全審計,可以挖掘出多個針對該VPN系統(tǒng)的0day漏洞。這些漏洞在演習(xí)攻防階段投放出來,可起到類似核武器的效果,很可能一擊致命,對上交所構(gòu)成極大威脅。
由于業(yè)務(wù)需要,上交所必須保障全天候測試環(huán)境VPN系統(tǒng)的安全穩(wěn)定運行,為證券市場業(yè)務(wù)創(chuàng)新和技術(shù)發(fā)展提供穩(wěn)定的測試平臺。另外,此時若要更換其他廠商VPN產(chǎn)品,在時間上已來不及。
四、道高一丈
狹路相逢勇者勝。8月底上交所召集所內(nèi)外運維、網(wǎng)絡(luò)和安全專家,對全天候測試環(huán)境VPN系統(tǒng)進行了專項安全評估。專家組提出了多項VPN系統(tǒng)加固措施建議,上交所進一步分解為具體的工作任務(wù),納入工作臺賬跟蹤落實。
(一)準備階段加固措施
措施1:開啟互聯(lián)網(wǎng)訪問白名單
市場服務(wù)組負責(zé)通知所有VPN用戶上報其互聯(lián)網(wǎng)出口地址,網(wǎng)絡(luò)組負責(zé)在VPN前的防火墻增加互聯(lián)網(wǎng)訪問白名單,確保只有白名單內(nèi)用戶才能接入全天候測試環(huán)境VPN。
開啟白名單后,監(jiān)測組負責(zé)重點監(jiān)測白名單開啟前后接入用戶的變化情況,市場服務(wù)組負責(zé)收集市場用戶反饋,確保白名單不會影響正常業(yè)務(wù)。
措施2:綁定VPN管理端
禁止對互聯(lián)網(wǎng)開放VPN管理界面,將管理端使用白名單綁定內(nèi)網(wǎng)運維主機。網(wǎng)絡(luò)組負責(zé)實施,運維組負責(zé)閉環(huán)驗證。
措施3:控制VPN接入權(quán)限
測試環(huán)境責(zé)任人負責(zé)梳理VPN接入后的內(nèi)網(wǎng)訪問權(quán)限,網(wǎng)絡(luò)組負責(zé)實施,測試組負責(zé)閉環(huán)驗證。
措施4:加強邊界流量監(jiān)測監(jiān)測組負責(zé),網(wǎng)絡(luò)組配合,把VPN接入后的網(wǎng)絡(luò)流量導(dǎo)入到流量分析設(shè)備和態(tài)勢感知系統(tǒng),調(diào)試驗證后納入日常監(jiān)測。
措施5:準備應(yīng)急處置預(yù)案
應(yīng)急處置組負責(zé)完成全天候環(huán)境VPN被攻擊場景的應(yīng)急處置預(yù)案,秘書處配合完成沙盤推演。
(二)演習(xí)攻防階段加固措施
措施1:實施VPN專項檢查
VPN系統(tǒng)責(zé)任人負責(zé)每日定時導(dǎo)出用戶賬號信息和日志并提交專家分析,重點關(guān)注用戶數(shù)量變化及異常操作日志。
措施2:限制VPN開放時間
上交所公示的測試環(huán)境開放時間是早九點到晚六點。VPN系統(tǒng)責(zé)任人負責(zé)每日準時啟停系統(tǒng),保障正常業(yè)務(wù)的同時盡量縮小攻擊者可利用的時間窗口。
措施3:及時穩(wěn)妥升級補丁VPN系統(tǒng)責(zé)任人負責(zé)加強與廠商聯(lián)系,第一時間獲取該品牌VPN系統(tǒng)官方升級補丁。關(guān)閉補丁自動升級功能,所有補丁必須先在測試環(huán)境測試無異常才能在生產(chǎn)環(huán)境實施。
綜上,為實現(xiàn)全天候測試環(huán)境VPN系統(tǒng)安全穩(wěn)定運行的目標,上交所立足于現(xiàn)有人員和設(shè)備,充分調(diào)動內(nèi)部資源,明確各方職責(zé),從技術(shù)、管理、流程、應(yīng)急各個維度,對VPN系統(tǒng)進行了全方位的安全加固。
真正進入演習(xí)攻防階段后,威脅情報中心多次傳來該品牌VPN存在0day漏洞的消息,該VPN廠商兩周內(nèi)兩次下發(fā)官方補丁對0day漏洞進行修補。得益于上交所的加固措施,全天候測試環(huán)境VPN系統(tǒng)保持了正常穩(wěn)定運行,沒有發(fā)生任何網(wǎng)絡(luò)安全事件,有力地支持了科創(chuàng)板股份減持、科創(chuàng)板指數(shù)、期權(quán)做市雙邊報價、跨滬深港ETF等業(yè)務(wù)創(chuàng)新的全市場測試,為我國證券市場安全穩(wěn)定發(fā)揮了應(yīng)有的作用。
