摘要:随着数字化转型在保险业的深入推进,保险公司的产品销售、理赔服务及日常的营运管理越来越依赖于互联网。中国太平洋保险集团作为金融数字化转型的先行者,率先推动业务数字化建设,集团下辖十多家子公司、上百家分公司,数十万名员工,通过互联网实现了高效业务协同。然而,互联网
文 / 中国太平洋保险(集团)股份有限公司数智研究院 陆琦玮 王猛
中国太平洋保险(集团)股份有限公司信息安全部 李俊斌 汪玮
随着数字化转型在保险业的深入推进,保险公司的产品销售、理赔服务及日常的营运管理越来越依赖于互联网。中国太平洋保险集团作为金融数字化转型的先行者,率先推动业务数字化建设,集团下辖十多家子公司、上百家分公司,数十万名员工,通过互联网实现了高效业务协同。然而,互联网亦是一把双刃剑,互联网上各类安全攻击与威胁的态势日趋复杂与严峻,攻击手段层出不穷。近几年针对员工和终端的钓鱼攻击事件频发,如何平衡业务上网与上网安全成为全集团乃至全行业的一项重大课题。因此建设一套安全稳定的“管、控、防、联、动”一体化安全上网体系来防范网络攻击风险,保障业务稳定开展,尤为重要。
1.传统黑名单的策略管理模式安全风险敞口大,已无法满足安全管控要求。互联网业务越来越多,员工使用互联网的需求也越来越大,在业务先行的发展模式下,先前仅采用黑名单的管控策略,黑名单外的网址和应用均可出网,安全隐患大,业务优先反而使得业务的安全得不到保障。
2.白名单上网管控粒度难把握、方案难设计,需权衡集团总部和各分支机构诉求细化设计。面向全集团十多家子公司、上百家分公司实施白名单统一管理,若白名单收缩过紧将造成分支机构业务上网不流畅,反之则容易导致存在安全风险。此外,如考虑每家分支机构个性化诉求为其独立拆分设计管控策略,需投入大量设计和运营人力,且易导致各分支机构安全水位不一,造成攻击突破口。
3.新型攻击手段层出不穷,现有上网代理安全管控机制易被突破,亟需升级迭代,持续攻防对抗。现有上网代理设备实现了隐藏上网端口、IP以及对访问流量实施控制、审计等系列动作,但攻击者仍可过CDN恶意挂靠、域前置绕过、HTTPS加密隐藏绕过等新型攻击手段,利用人员意识的薄弱性进行有效的终端钓鱼攻击,亟需针对上述新型攻击手段实施针对性安全加固和对抗措施。
4.在上网安全体系化建设中,涉及上下游各系统,且相关运营场景、流程复杂,传统运营方式过多依赖人力,持续运营成本高、效率低,规模化运营存在挑战。在不断探索上网安全管控体系建设的过程中,太保集团不断优化身份体系、安全运营平台以及运营流程。但随着白名单管控机制全面落地及业务与日俱增的上网需求,一系列新的上网访问放通运营需求(应对网址、应用不可访问)和风险持续收敛需求(应对策略过宽/泛化的安全风险)也随之而来,亟需设计一套自动化运营机制、流程,并通过各系统间的有效联动,实现业务诉求快速放通、安全策略风险持续收敛,为业务提速、护航。
为解决业务上网需求存在的安全风险问题,太保集团围绕“安全&业务双轮驱动”的思路,提出了构建“管、控、防、联、动”一体化安全上网体系。本文基于全面的管理要求及精细的控制策略,构建全集团统一的安全上网标准;通过严格的防护手段和灵活的联动机制,构筑起安全高效的防御体系,实现“安全&业务双轮驱动”。
图 中国太保“管、控、防、联、动” 一体化安全上网体系
1.全面“管”理——集团制定统一的安全管理流程,明确规范流程,严管上网范围。针对上网安全,太保集团制定了全面的员工上网管理流程,其中包括:策略类型、使用规范及审批规则。
黑名单:以安全合规为前提,对黄赌毒及威胁情报内的不法、恶意网站零容忍,作为上网管控的最高基线。
白名单:以业务保障为目标,对业务开展确需的应用和网站应开尽开,作为业务保障的基本要求。
灰名单:在大量对外业务中,如即时通讯软件(IM)、邮箱等非必要性应用及网站,按部门、岗位审批开通。
审批流程:无论是申请添加白名单,还是申请使用灰名单,都需经过部门审批、子公司总部领导审批及集团安全人员审核。严格做到谁申请谁负责、谁审批谁负责、责任到人。
2.精细“控”制——精细化业务诉求和上网场景,实行策略特需特控。从太保业务特点出发,设计满足不同业务场景的上网管控策略,保障业务在安全可控范围内有序开展。具体如下。
通用场景策略制定:集团和子公司总部机构,按公司统一“黑名单+白名单”策略,实行整体白名单管控的通用策略。在开展构建该通用策略基线过程中,首先,各机构按业务需求自主上报应用和网站名单进行整合;其次,结合访问排名及用途标签,逐步删减优化;最后,通过同威胁情报动态比对,持续开展优化。
特色业务特定设计:针对具有明确业务需求和范围的特色人群、场景,进行特定策略设计。具体的,对产险电销营运、产险分公司、寿险分公司,按其所属的业务特点与范围,分别制定同总部独立的白名单策略模板,如:对电销营运人员白名单严格管控,控制安全风险;对产、寿险分公司人员配置开展业务所需的个性化策略,保障合理的业务需求。
平战结合,构建防护和应急响应:针对社工常利用的IM、邮件钓鱼高风险场景,已在各分支机构上网设备中实施针对性安全加固和防护;针对攻防演练、重大活动保障等重要时期,进一步严格实行上网人员白名单化,并结合严格的防护手段,对IM钓鱼等高风险攻击进行纵深对抗。
3.严格“防”护——技防人防,齐抓共管。综合太保集团内部攻防演练的实战总结、同业和厂商交流经验实施全栈防护加固。具体如下。
首先,对上网策略基线进行前期优化,包括:双因素认证策略、上网黑白名单配置和有效性验证,开启全面的审计日志,确保日志保存有效期等。
其次,在上网过程中,针对CDN恶意挂靠、域前置绕过、白域名绑定黑IP绕过等手段进行防护加固。一是CDN恶意挂靠攻击。由于CDN域名机制不规范,攻击者可将恶意域名挂靠在正常CDN节点IP上进行绕过。太保集团采用白名单严格限制域名范围,同时关闭IP反查域名机制,使得恶意域名无法通过IP校验,从而抵御攻击。二是防白域名绑定黑IP攻击。一方面,从源头层面通过域控或桌管限制修改终端HOST文件权限。另一方面,采用白名单域名白IP的本地缓存及校验机制。同时通过域名和IP的校验,才允许放通访问。三是防前置HTTPS绕过。通过采用开启解密功能,识别加密数据中HTTP头部host中真实的目标域名,进行二次校验(区别于传统以TLS握手阶段ServerNameIndication作为放通依据),只有两次域名全部符合白名单规则,才允许放通访问。
最后,贯穿始终的安全意识提升。面向太保集团全司设计体系化的安全意识提升机制,包括:融入员工日常的场景案例技能培训、组织攻击队进行实战钓鱼测试、对测试不达标人员集中进行专项培训,以及对多次测试不达标人员取消上网权限。
4.高效“联”动——配置生效更快捷,IT处置更高效。联动账号权限平台:当员工有上网需求时,能通过统一账号权限平台进行便捷申请,按流程实现快速审批,最后通过平台联动自动化完成策略开通。相比于传统的员工报工单,IT人员手动创建的繁杂流程,整个配置生效过程更快捷,准确度更高。联动安全运营平台:当安全运营平台通过威胁情报明确风险IP和风险域名后,联动代理设备完善补充黑名单,并同步到全司所有代理设备,全流程时效性和准确性均有大幅度提升。联动终端EDR:集中采集、分析代理设备上网日志,识别已被钓或远控的风险终端,及时中断相关人员上网权限,同时对终端进行病毒、木马查杀和隔离。
5.持续“动”态——白名单持续动态优化收敛。前期,通过对代理设备近百万的历史日志进行归并去重,标签分类去除无效地址,再基于访问频次去除低频地址,最终归纳出初始化白名单。随着员工账号权限平台的自助申请的使用,白名单策略也将越来越多,太保集团定期对白名单进行统计、分析和运营。具体通过采集全司代理设备每天数百万上网日志数据,基于访问类型、访问频率进行深入分析,不断优化精简白名单,应控尽控。此外,对仍存在泛化(含“*”的网站域名)的策略,基于访问量和必要性及时运营和收敛(删除或逐步取消泛化),实施精细化管控,降低安全风险敞口。
此外,为应对先前可靠的白地址变成黑地址的潜在风险,借助安全运营平台的剧本编排能力,实现威胁情报和代理上网日志的比对碰撞,从而快速发现风险,并定位风险员工和终端,并第一时间采取针对措施,降低影响。
表 上网策略持续优化精细运营
具体工作事项
当前太保集团安全上网整体防护方案已稳定运行近一年,保障了全司十万人员的安全上网。白名单策略持续演进,减少了大量无效网站的访问降低了不合理的带宽占用,业务流畅度得到充分保障。在多轮实战攻防对抗和钓鱼演练中,终端无员工被钓鱼事件发生,保障了公司整体上网的安全。在运维层面,员工自助进行权限申请,实现审批后15分钟内策略即可生效;安全运营平台发现的黑名单,可实现实时添加并封堵。运维人员摆脱了低价值的事务性操作,转向更高价值的威胁分析中去,提升了IT人员的价值感。面向未来,太保集团既要坚持业务发展,又要坚守安全底线,不断革新技术。在设备平台层面,既要实现自主可控,又要满足高性能需求;在技术层面,还需结合GPT、UEBA等创新技术,增强上网安全风险发现能力,加强基于动态行为的分析监测。太保集团将不断健全安全上网的体系化、精细化、智能化建设,实现业务和安全双轮驱动。
来源:金融电子化
