虛擬專用網絡(以下簡稱“VPN”)系統、互聯網業務系統、外網郵件系統、外網電腦系統一直是網絡安全外部邊界防御的重點。特別是VPN系統,由于其可直接穿透企業的內外網邊界,更是防守的重中之重。上海證券交易所(以下簡稱“上交所”)在“網絡安全攻防演習2020”行動中,結合內部演練經驗教訓和安全專家評估建議,對VPN系統進行了全面梳理和加固。演習攻防階段,上交所VPN系統在抵御外部攻擊的同時,也保障了相關業務的正常運作。
一、群魔亂舞
全天候測試環境VPN是上交所最重要的VPN系統。它涵蓋競價、綜業、港股通、期權、固收五大核心業務,每周一到周五向市場開放。目前該VPN共365家用戶,包括115家證券公司,200余家基金、期貨、保險、資管、開發商等重要證券市場參與者。除承擔大量常規測試任務外,上交所還會根據業務技術創新的需要,在該環境發布專項測試。該VPN市場影響大,測試任務重,勢必會成為網絡安全攻防的焦點。
在上交所3月底、6月初組織的第一、二輪內部互聯網攻防演練中,該VPN系統幾度淪陷:
3月20日,某攻擊隊使用定制密碼字典對上交所公示的對外技術支持郵箱實施密碼爆破,成功獲得密碼。攻擊隊再嘗試使用該用戶名密碼,撞庫登錄上交所某私有網盤。雖然該網盤有手機驗證碼保護,但由于該網盤存在驗證碼嘗試無次數限制邏輯漏洞,爆破約10分鐘后成功登錄。攻擊隊檢索該用戶網盤,獲取到大量敏感信息,包括全天候測試環境500多個VPN賬號和明文密碼,以此成功進入上交所全天候測試環境。
6月5日,某攻擊隊埋伏在上交所對外技術服務臺QQ群內,針對上交所客服人員實施魚叉式釣魚攻擊,向其發送了偽裝成EXCEL表格文件的惡意木馬。該客服未起疑心,點擊木馬文件導致其外網電腦被控。攻擊隊檢索后發現,客服人員在其電腦硬盤上違規保存了大量敏感信息,包括全天候測試環境430個VPN賬號和明文密碼。全天候測試環境再次全面失守。
二、道心惟微
全天候測試環境VPN兩次內部演練中均被攻陷,所有市場參與者兩次被迫更換密碼,這不能不引起上交所的重視。反思下來,兩次攻擊成功的直接原因固然是有員工違規保存明文密碼文件導致信息泄露,但原VPN系統僅用賬號加密碼作為認證方式,顯然也是導致失陷的重要因素。因此,6月中旬上交所啟動了全天候測試環境VPN系統的升級改造。經并行測試,于6月24日全市場切換到了新的某主流品牌SSL VPN。新VPN支持雙因素認證,可綁定用戶手機號來增強安全性。
6月30日上交所啟動了第三輪內部互聯網攻防演練。升級后的全天候測試環境VPN經受住了考驗。第三輪演練中,雖有攻擊隊獲取到個別人的VPN賬號密碼,但未能攻破手機綁定機制,因此最終未能進入內網。
三、魔高一尺
升級后的新VPN系統,其安全防護能力比起老系統確有顯著提升。然而,8月下旬從威脅情報中心卻又忽然傳來消息:該品牌VPN系統源代碼已泄露,互聯網上已可下載。
收到該情報后,上交所立刻組織專家分析。分析后判斷上交所VPN系統的安全形勢非常嚴峻。源代碼泄露,意味著未來幾周攻擊隊通過代碼安全審計,可以挖掘出多個針對該VPN系統的0day漏洞。這些漏洞在演習攻防階段投放出來,可起到類似核武器的效果,很可能一擊致命,對上交所構成極大威脅。
由于業務需要,上交所必須保障全天候測試環境VPN系統的安全穩定運行,為證券市場業務創新和技術發展提供穩定的測試平臺。另外,此時若要更換其他廠商VPN產品,在時間上已來不及。
四、道高一丈
狹路相逢勇者勝。8月底上交所召集所內外運維、網絡和安全專家,對全天候測試環境VPN系統進行了專項安全評估。專家組提出了多項VPN系統加固措施建議,上交所進一步分解為具體的工作任務,納入工作臺賬跟蹤落實。
(一)準備階段加固措施
措施1:開啟互聯網訪問白名單
市場服務組負責通知所有VPN用戶上報其互聯網出口地址,網絡組負責在VPN前的防火墻增加互聯網訪問白名單,確保只有白名單內用戶才能接入全天候測試環境VPN。
開啟白名單后,監測組負責重點監測白名單開啟前后接入用戶的變化情況,市場服務組負責收集市場用戶反饋,確保白名單不會影響正常業務。
措施2:綁定VPN管理端
禁止對互聯網開放VPN管理界面,將管理端使用白名單綁定內網運維主機。網絡組負責實施,運維組負責閉環驗證。
措施3:控制VPN接入權限
測試環境責任人負責梳理VPN接入后的內網訪問權限,網絡組負責實施,測試組負責閉環驗證。
措施4:加強邊界流量監測監測組負責,網絡組配合,把VPN接入后的網絡流量導入到流量分析設備和態勢感知系統,調試驗證后納入日常監測。
措施5:準備應急處置預案
應急處置組負責完成全天候環境VPN被攻擊場景的應急處置預案,秘書處配合完成沙盤推演。
(二)演習攻防階段加固措施
措施1:實施VPN專項檢查
VPN系統責任人負責每日定時導出用戶賬號信息和日志并提交專家分析,重點關注用戶數量變化及異常操作日志。
措施2:限制VPN開放時間
上交所公示的測試環境開放時間是早九點到晚六點。VPN系統責任人負責每日準時啟停系統,保障正常業務的同時盡量縮小攻擊者可利用的時間窗口。
措施3:及時穩妥升級補丁VPN系統責任人負責加強與廠商聯系,第一時間獲取該品牌VPN系統官方升級補丁。關閉補丁自動升級功能,所有補丁必須先在測試環境測試無異常才能在生產環境實施。
綜上,為實現全天候測試環境VPN系統安全穩定運行的目標,上交所立足于現有人員和設備,充分調動內部資源,明確各方職責,從技術、管理、流程、應急各個維度,對VPN系統進行了全方位的安全加固。
真正進入演習攻防階段后,威脅情報中心多次傳來該品牌VPN存在0day漏洞的消息,該VPN廠商兩周內兩次下發官方補丁對0day漏洞進行修補。得益于上交所的加固措施,全天候測試環境VPN系統保持了正常穩定運行,沒有發生任何網絡安全事件,有力地支持了科創板股份減持、科創板指數、期權做市雙邊報價、跨滬深港ETF等業務創新的全市場測試,為我國證券市場安全穩定發揮了應有的作用。
