从实战攻防演练看中小券商安全建设｜证券行业专刊2·安全村

摘要**：**实战攻防演练从一开始的摸索阶段到现在遍地开花，极大的推动了国内多数企业的信息安全建设水平，大体量单位在不断提高安全建设水平的同时，中小体量企业也不应因资源问题而忽视安全建设，通过摸索、借鉴、合理的将资源最大化运用，提升一样能安全建设上出彩。

**关键词：**资产,漏洞,外部安全,内部安全,开源

===

一、概述

随着国家政策及行业监管的推动，攻防实战演习已经成为一种常态化任务，大到国家，小到地市或券商内部，都在认真贯彻执行，通过持续的演练，“后门”、“漏洞”、“钓鱼”、“社工”等名词逐渐被大家所熟知，安全意识、防护能力都有了明显的提升，反应了实战化所带来的益处。对于中小券商，往往存在各种资源短缺问题，借助实战演练中发现的行业共性问题，并以次为安全建设切入点，合理分配资源去填补此类问题，从而实现较小的投入带来最大化收益。

===

二、中小券商安全建设面临的自身问题

对于中小券商，主要有以下两方面痛点。

（一）资源缺失

人，目前多数中小券商安全人员还是以原有的运维、网络转岗担任或兼任，还处在安全团队建设最初级阶段，无法实际满足安全建设的需求，缺少能够以攻击者视角审视安全工作的专业人员。

资金，多数中小券商受限于业务发展及考核要求，安全建设往往以满足监管红线为主，在长期建设投入上，缺乏长线的资金支持，而安全建设往往不是一蹴而就，需要长期持续的投入。

（二）推动落地难

企业发展往往以业务发展为导向，信息科技部门作为技术服务角色，以满足业务部门需求为主要目标，安全措施的落地，需要多个环节人员但配合，例如网络、主机、系统运维等，会带来业务效率的降低或业务系统上线延迟，同时由于大多数员工安全意识薄弱，存在不理解、不配合等情况，因此，日常安全工作推进过程中，会受到较大的阻力，如漏洞修复、安全加固类的工作，推进困难，下发的整改计划容易石沉大海。

===

三、中小券商实战攻防演练暴露出的共性问题

===

攻防演练作为一种模拟攻击和防御的实践活动，下面根据以往参与演练的经验，总结以下中小券商在实战攻防演练中的共性问题：

（一）不知己-资产不清、信息不明

每次演练总结复盘阶段，总会发现部分失陷的资产是未知资产或停用未下线、已过维保期的资产，说明缺少对自身资产的梳理，没有完善的资产上线、下线全生命周期的管理流程。

（二）不知彼-重边界、轻内部

多数企业存在错误观念，将边界防护作为首要目标，而轻视内部建设。但在实际攻击场景中，并不局限于针对互联网应用系统的攻击，随着社工攻击的盛行，再好的WAF也难以抵挡“简历.exe”的攻击。千里之堤溃于蚁穴，一封简单的钓鱼邮件、一个带宏病毒的文档亦或者携带恶意脚本的自解压压缩包，就能让攻击者打开城墙大门。

（三）安全意识不足、弱口令永存

由于安全意识的缺失，内部弱口令/通用口令永远不会缺席，更无法防范社工攻击行为，在攻防演练中，除了通过字典破解、查看存放在桌面的密码本、抓取内存明文密码或密码hash、浏览器存储的各种凭证，还会通过发送大量钓鱼邮件、软件等方式进行突破，特别是针对分支机构业务人员，假装客户发送带有木马程序的文件，几乎屡试不爽。

（四）补丁欠缺

系统补丁缺失，是多数企业的共性问题，从系统分发开始，由于系统镜像没有及时更新，原有的镜像存在未修复补丁，后续的使用中也未对系统补丁进行修复，导致系统中存在各种常见的漏洞，如Linux的“脏牛”提权漏洞、Windows 的Print Spooler代码执行等。

（五）安全设备管理缺失

目前中小券商的安全建设中，已经按照监管要求完成了各种安全设备的上线，但因缺少专业人员或安全能力不足，缺少对安全设备的精细化管理，如未禁用非必要网络流量、策略设置为any、无法进行告警日志分析等，导致为黑客建立隐蔽的通信隧道、数据窃取等行为提供了便利。

===

四、中小券商初期信息安全建设建议

基于中小券商目前面临的自身问题，及实战攻防演练过程中发现的共性问题，建议中小券商在安全建设初期，将有限的资源集中去预防共性问题，只要彻底解决了此类问题，就能预防绝大多数黑客的攻击，自身的安全建设水平也将有很大提升。

（一）资源梳理

1、人员梳理

主要确定目前负责开展安全工作的人员，是否具备安全技能。

2、产品梳理

梳理已有的安全资产，WAF、防火墙、IPS、IDS、防篡改、防病毒等。

3、制度梳理

内部对资产上下线是否有严格对流程约束，上下线流程是否有足够严格、严谨的审批流程，是否存在绕过安全人员的情况。

4、应用梳理

制定完善的表格字段，统计目前内外网存在的操作系统、数据库、Web应用的详细信息。关键字段，如下：

操作系统：系统版本、内核版本、IP地址、网络区域、责任人等。

数据库：数据库版本、IP地址、网络区域、责任人等。

Web应用：应用名称、内外网地址、端口、开发语言、中间件版本、第三方组件版本、后台开放情况、网络区域、责任人等。

5、资金投入

从往年的投入中梳理目前每年投入的预期经费。

（二）人员投入及管理

1、专业人员投入

招聘至少一名具备安全技能的安全人员，很多工作的开展如果缺乏专业的人员，就需要采购外部服务来弥补，而这也将加大每年的预算，且实施效果难以保证。而有一名自己的安全人员，很多工作可以自行解决，这对于中小券商的安全投入上是非常划算的。

2、安全意识提升

人员意识是安全建设中最大的薄弱点，人性是最大对安全漏洞，平时企业还涉及人员的流动，因此需要每年对全员进行安全意识普及。

（三）边界安全

互联网边界，是安全防护仅次于安全意识的一环，防住边界，可以为内部的安全建设提供更多的缓冲时间。

1、边界暴露资产管理

提升外部安全，最重要的一步为互联网暴露面梳理，APP、小程序、公众号、PC客户端、网站所有涉及的域名、IP、端口、应用系统。当这些信息能够按照特定的字段进行详细梳理后，就能对自己的互联网暴露面有充分的了解，当有新的漏洞暴露时，可以第一时间知道哪些系统受影响，及时联系负责人进行修复。同时，随着业务的扩展，该资产清单也需要不断更新。除此外，代码仓库、网盘、暗网等的信息泄漏问题也需要关注。解决这方面痛点，除了商业的安全服务外，部分还可以借助开源工具，辅助我们的工作。例如以下两个：

（1）水泽：https://github.com/0x727/ShuiZe\_0x727

（2）资产灯塔：https://github.com/TophantTechnology/ARL

2、安全设备管理

边界最主要产品为WAF、主机防护，需要有专人进行运营，例如每日巡检，发现异常告警及时分析，一方面防止防护策略配置错误，导致正常业务流量被阻拦，另一方面发现异常攻击行为，及时进行应急处置。

3、漏洞发现

除了中证技术公司每月的漏洞扫描外，还应不定期/定期对互联网暴露的资产进行漏洞挖掘，覆盖漏洞扫描无法涉及的范围，例如逻辑类漏洞等。可以采取安全人员自测的形式，例如模拟实战攻击的形式，发现可能被利用的攻击路径。条件允许时，可考虑采购第三方代码审计服务，对重要信息系统代码安全性进行白盒审计。除了前面的主动型漏洞挖掘，还可以通过流量层面进行漏洞、风险发现，例如通过威胁狩猎服务发现当前网络环境下可能存在对异常流量，及早发现可能存在的被长期控制的主机以及被利用的漏洞。

（四）内部安全

内部资产的梳理会略区别于互联网暴露面的梳理，因为还需要涉及员工PC、打印机等，尤其需要特别关注跨多网段设备，如跨多网段公共设备，打印机等设备漏洞容易被忽视，但往往就可以被作为跨网断跳板。以上这些往往需要桌面管理员提供相关的资产清单，同时借助网络准入平台进行统计。除此外，还有多个方面的建设方向可以做提升，又可以避免经费不足的问题。

1、安全基线

根据等保要求，编写自动化脚本，对所有计划上线的机器进行安全加固，根据不同机器的业务场景，有些不适用的项目需要进行相应调整。初始口令可以相同密码，但是策略中应配置首次登录时强制要求修改密码。

2、网络策略管理

在原有基础上，加强对icmp、dns流量的限制，对于有通过ping进行存活监测需求的，建议进行点对点的开放。对于测试环境应与生产、核心做好强隔离。

3、补丁服务器

内部配置WSUS补丁服务器，自动拉取新的补丁。通过内部漏洞扫描来确定主机存在的漏洞，选择性从补丁服务器拉取补丁进行修复。

4、下载源

由于近几年，开始出现通过上游投毒的方式，投放病毒，可搭建内部的下载源，例如yum源、软件仓库等。

5、安全产品

主机防护、防病毒不能少，属于最基本的安全保障，但是这类产品告警量会很大，除了真正的安全告警外，还可能包含误报，例如有些业务程序需要对系统API的调用、敏感程序的调用，很容易造成安全设备告警和拦截，因此这类设备的运营，非常需要专业人员的分析。在资源有限的情况下，适当的在内部部署开源安全产品，也能对安全能力的提升有一定作用，例如开源蜜罐：

HFish(https://hfish.io/)

“HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。”

内部漏洞扫描，除了采用外部购买的产品/服务，定期采用开源工具进行辅助也是不错的选择，例如：

Fscan (https://github.com/shadow1ng/fscan）

“一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。”

通过探测可以将真实场景下，黑客关注的漏洞进行发掘，结合后期的漏洞修复，提高攻击者在内网环境下的攻击难度和时间成本，降低风险被发现的概率。

Goby(https://gobies.org/）

“新一代网络安全技术，通过为目标建立完整的资产数据库，实现快速的安全应急。Goby只针对受影响的小范围进行漏洞应急，所以这种方式速度最快，对目标网络影响最小。”

相比于命令行工具，Goby可以分布式部署，即通过在不通网络环境部署节点，通过一个控制端来控制，可以实现例如在办公网就可以控制测试网对节点对测试网进行扫描。同时生态较好，有多种插件、可自定义POC、密码本等内容来优化扫描效果。具体还需自行探索。

===

五、中小券商后期信息安全建设建议

通过初期的建设，安全能力已经具备一定雏形，后续的安全建设可围绕几个方向开展包括但不限于以下方向。

（一）资产生命周期管理

从信息资产全生命周期治理的角度出发，将安全与管理流程打通，完成资产动态全流程管理。

（二）建立健全应急响应机制

通常需要有足够的安全人员，或具备处置能力的人员来协同。内部具有应急响应机制、处置预案、职责分工，并进行日常复盘。

（三）SOAR运用

建设后期，设备多、资产多导致告警多，这就需要能够采用自动化技术来减轻人工的负担，例如与WAF联动，对明显的扫描、漏洞利用等恶意攻击自动化封禁。

（四）API安全

API安全非单纯的接口是否存在漏洞，还包含API的调用审计、风控，这就需要内部先做好数据分级分类，为API安全提供审计依据。

（五）远程办公安全

传统VPN技术存在多种问题，例如审计方式粗旷，产品本身漏洞频出，可采用新的解决方案，例如“零信任”解决方案，提高审计颗粒度，同时能优化用户体验。

（六）邮件网关

提升用户安全意识，能够抵挡部分钓鱼攻击，但邮件网关也尤为重要。本地部署的邮件服务器，前面部署邮件网关，对邮件内容进行安全检测。

除了上面这些，还有很多可以在后期提高安全水平的工作可以开展，例如开展定期邮件钓鱼检测、近源渗透、红队评估等，这取决于后期规划及安全投入水平。

（七）自我检验

建设到一定水平后，在瓶颈期，自身安全弱点隐藏较深，可通过攻防演练对安全防护体系进行检验，发现建设的薄弱环节、可被利用对攻击路径，及时查缺补漏。

作者介绍

甬兴证券安全团队秉持深耕宁波理念，从中小券商实际情况出发，加快完善公司信息安全体系建设。团队致力于为证券安全保驾护航，成员在以往的信息安全工作中积累丰富的经验和感悟，希望与业界同仁多多交流学习经验。

关于安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：info@sec-un.org