- 魔高一尺,道高一丈:上交所VPN攻防札记
- 来源:Android编程精选
👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇 架构师大咖 架构师大咖,打造有价值的架构师交流平台。分享架构师干货、教程、课程、资讯。架构师大咖,每日推送。 0篇原创内容 公众号 算法专栏 算法专栏,每日推送。算法是程序员内功,分享算法知识、文章、工具、算法题、教程等 0篇原创内容 公众号
本文选自《交易技术前沿》总第四十二期文章(2020年12月)
谢毅 / 上海证券交易所 yxie@sse.com.cn相晓辉 / 上海证券交易所 xhxiang@sse.com.cn
虚拟专用网络(以下简称“VPN”)系统、互联网业务系统、外网邮件系统、外网电脑系统一直是网络安全外部边界防御的重点。特别是VPN系统,由于其可直接穿透企业的内外网边界,更是防守的重中之重。上海证券交易所(以下简称“上交所”)在“网络安全攻防演习2020”行动中,结合内部演练经验教训和安全专家评估建议,对VPN系统进行了全面梳理和加固。演习攻防阶段,上交所VPN系统在抵御外部攻击的同时,也保障了相关业务的正常运作。
一、群魔乱舞
全天候测试环境VPN是上交所最重要的VPN系统。它涵盖竞价、综业、港股通、期权、固收五大核心业务,每周一到周五向市场开放。目前该VPN共365家用户,包括115家证券公司,200余家基金、期货、保险、资管、开发商等重要证券市场参与者。除承担大量常规测试任务外,上交所还会根据业务技术创新的需要,在该环境发布专项测试。该VPN市场影响大,测试任务重,势必会成为网络安全攻防的焦点。
在上交所3月底、6月初组织的第一、二轮内部互联网攻防演练中,该VPN系统几度沦陷:
3月20日,某攻击队使用定制密码字典对上交所公示的对外技术支持邮箱实施密码爆破,成功获得密码。攻击队再尝试使用该用户名密码,撞库登录上交所某私有网盘。虽然该网盘有手机验证码保护,但由于该网盘存在验证码尝试无次数限制逻辑漏洞,爆破约10分钟后成功登录。攻击队检索该用户网盘,获取到大量敏感信息,包括全天候测试环境500多个VPN账号和明文密码,以此成功进入上交所全天候测试环境。
6月5日,某攻击队埋伏在上交所对外技术服务台QQ群内,针对上交所客服人员实施鱼叉式钓鱼攻击,向其发送了伪装成EXCEL表格文件的恶意木马。该客服未起疑心,点击木马文件导致其外网电脑被控。攻击队检索后发现,客服人员在其电脑硬盘上违规保存了大量敏感信息,包括全天候测试环境430个VPN账号和明文密码。全天候测试环境再次全面失守。
二、道心惟微
全天候测试环境VPN两次内部演练中均被攻陷,所有市场参与者两次被迫更换密码,这不能不引起上交所的重视。反思下来,两次攻击成功的直接原因固然是有员工违规保存明文密码文件导致信息泄露,但原VPN系统仅用账号加密码作为认证方式,显然也是导致失陷的重要因素。因此,6月中旬上交所启动了全天候测试环境VPN系统的升级改造。经并行测试,于6月24日全市场切换到了新的某主流品牌SSL VPN。新VPN支持双因素认证,可绑定用户手机号来增强安全性。
6月30日上交所启动了第三轮内部互联网攻防演练。升级后的全天候测试环境VPN经受住了考验。第三轮演练中,虽有攻击队获取到个别人的VPN账号密码,但未能攻破手机绑定机制,因此最终未能进入内网。
三、魔高一尺
升级后的新VPN系统,其安全防护能力比起老系统确有显著提升。然而,8月下旬从威胁情报中心却又忽然传来消息:该品牌VPN系统源代码已泄露,互联网上已可下载。
收到该情报后,上交所立刻组织专家分析。分析后判断上交所VPN系统的安全形势非常严峻。源代码泄露,意味着未来几周攻击队通过代码安全审计,可以挖掘出多个针对该VPN系统的0day漏洞。这些漏洞在演习攻防阶段投放出来,可起到类似核武器的效果,很可能一击致命,对上交所构成极大威胁。
由于业务需要,上交所必须保障全天候测试环境VPN系统的安全稳定运行,为证券市场业务创新和技术发展提供稳定的测试平台。另外,此时若要更换其他厂商VPN产品,在时间上已来不及。
四、道高一丈
狭路相逢勇者胜。8月底上交所召集所内外运维、网络和安全专家,对全天候测试环境VPN系统进行了专项安全评估。专家组提出了多项VPN系统加固措施建议,上交所进一步分解为具体的工作任务,纳入工作台账跟踪落实。
(一)准备阶段加固措施
措施1:开启互联网访问白名单市场服务组负责通知所有VPN用户上报其互联网出口地址,网络组负责在VPN前的防火墙增加互联网访问白名单,确保只有白名单内用户才能接入全天候测试环境VPN。
开启白名单后,监测组负责重点监测白名单开启前后接入用户的变化情况,市场服务组负责收集市场用户反馈,确保白名单不会影响正常业务。
措施2:绑定VPN管理端禁止对互联网开放VPN管理界面,将管理端使用白名单绑定内网运维主机。网络组负责实施,运维组负责闭环验证。
措施3:控制VPN接入权限测试环境责任人负责梳理VPN接入后的内网访问权限,网络组负责实施,测试组负责闭环验证。
措施4:加强边界流量监测监测组负责,网络组配合,把VPN接入后的网络流量导入到流量分析设备和态势感知系统,调试验证后纳入日常监测。
措施5:准备应急处置预案应急处置组负责完成全天候环境VPN被攻击场景的应急处置预案,秘书处配合完成沙盘推演。
(二)演习攻防阶段加固措施
措施1:实施VPN专项检查VPN系统责任人负责每日定时导出用户账号信息和日志并提交专家分析,重点关注用户数量变化及异常操作日志。
措施2:限制VPN开放时间上交所公示的测试环境开放时间是早九点到晚六点。VPN系统责任人负责每日准时启停系统,保障正常业务的同时尽量缩小攻击者可利用的时间窗口。
措施3:及时稳妥升级补丁VPN系统责任人负责加强与厂商联系,第一时间获取该品牌VPN系统官方升级补丁。关闭补丁自动升级功能,所有补丁必须先在测试环境测试无异常才能在生产环境实施。
综上,为实现全天候测试环境VPN系统安全稳定运行的目标,上交所立足于现有人员和设备,充分调动内部资源,明确各方职责,从技术、管理、流程、应急各个维度,对VPN系统进行了全方位的安全加固。
真正进入演习攻防阶段后,威胁情报中心多次传来该品牌VPN存在0day漏洞的消息,该VPN厂商两周内两次下发官方补丁对0day漏洞进行修补。得益于上交所的加固措施,全天候测试环境VPN系统保持了正常稳定运行,没有发生任何网络安全事件,有力地支持了科创板股份减持、科创板指数、期权做市双边报价、跨沪深港ETF等业务创新的全市场测试,为我国证券市场安全稳定发挥了应有的作用。
来源:上交所技术服务-End-最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载! 程序员直聘 程序员直聘,一个程序员找工作平台。 21篇原创内容 公众号 点击👆卡片,关注后回复【面试题】即可获取
在看点这里 好文分享给更多人↓↓
本文选自《交易技术前沿》总第四十二期文章(2020年12月)
谢毅 / 上海证券交易所 yxie@sse.com.cn相晓辉 / 上海证券交易所 xhxiang@sse.com.cn
虚拟专用网络(以下简称“VPN”)系统、互联网业务系统、外网邮件系统、外网电脑系统一直是网络安全外部边界防御的重点。特别是VPN系统,由于其可直接穿透企业的内外网边界,更是防守的重中之重。上海证券交易所(以下简称“上交所”)在“网络安全攻防演习2020”行动中,结合内部演练经验教训和安全专家评估建议,对VPN系统进行了全面梳理和加固。演习攻防阶段,上交所VPN系统在抵御外部攻击的同时,也保障了相关业务的正常运作。
一、群魔乱舞
全天候测试环境VPN是上交所最重要的VPN系统。它涵盖竞价、综业、港股通、期权、固收五大核心业务,每周一到周五向市场开放。目前该VPN共365家用户,包括115家证券公司,200余家基金、期货、保险、资管、开发商等重要证券市场参与者。除承担大量常规测试任务外,上交所还会根据业务技术创新的需要,在该环境发布专项测试。该VPN市场影响大,测试任务重,势必会成为网络安全攻防的焦点。
在上交所3月底、6月初组织的第一、二轮内部互联网攻防演练中,该VPN系统几度沦陷:
3月20日,某攻击队使用定制密码字典对上交所公示的对外技术支持邮箱实施密码爆破,成功获得密码。攻击队再尝试使用该用户名密码,撞库登录上交所某私有网盘。虽然该网盘有手机验证码保护,但由于该网盘存在验证码尝试无次数限制逻辑漏洞,爆破约10分钟后成功登录。攻击队检索该用户网盘,获取到大量敏感信息,包括全天候测试环境500多个VPN账号和明文密码,以此成功进入上交所全天候测试环境。
6月5日,某攻击队埋伏在上交所对外技术服务台QQ群内,针对上交所客服人员实施鱼叉式钓鱼攻击,向其发送了伪装成EXCEL表格文件的恶意木马。该客服未起疑心,点击木马文件导致其外网电脑被控。攻击队检索后发现,客服人员在其电脑硬盘上违规保存了大量敏感信息,包括全天候测试环境430个VPN账号和明文密码。全天候测试环境再次全面失守。
二、道心惟微
全天候测试环境VPN两次内部演练中均被攻陷,所有市场参与者两次被迫更换密码,这不能不引起上交所的重视。反思下来,两次攻击成功的直接原因固然是有员工违规保存明文密码文件导致信息泄露,但原VPN系统仅用账号加密码作为认证方式,显然也是导致失陷的重要因素。因此,6月中旬上交所启动了全天候测试环境VPN系统的升级改造。经并行测试,于6月24日全市场切换到了新的某主流品牌SSL VPN。新VPN支持双因素认证,可绑定用户手机号来增强安全性。
6月30日上交所启动了第三轮内部互联网攻防演练。升级后的全天候测试环境VPN经受住了考验。第三轮演练中,虽有攻击队获取到个别人的VPN账号密码,但未能攻破手机绑定机制,因此最终未能进入内网。
三、魔高一尺
升级后的新VPN系统,其安全防护能力比起老系统确有显著提升。然而,8月下旬从威胁情报中心却又忽然传来消息:该品牌VPN系统源代码已泄露,互联网上已可下载。
收到该情报后,上交所立刻组织专家分析。分析后判断上交所VPN系统的安全形势非常严峻。源代码泄露,意味着未来几周攻击队通过代码安全审计,可以挖掘出多个针对该VPN系统的0day漏洞。这些漏洞在演习攻防阶段投放出来,可起到类似核武器的效果,很可能一击致命,对上交所构成极大威胁。
由于业务需要,上交所必须保障全天候测试环境VPN系统的安全稳定运行,为证券市场业务创新和技术发展提供稳定的测试平台。另外,此时若要更换其他厂商VPN产品,在时间上已来不及。
四、道高一丈
狭路相逢勇者胜。8月底上交所召集所内外运维、网络和安全专家,对全天候测试环境VPN系统进行了专项安全评估。专家组提出了多项VPN系统加固措施建议,上交所进一步分解为具体的工作任务,纳入工作台账跟踪落实。
(一)准备阶段加固措施
措施1:开启互联网访问白名单市场服务组负责通知所有VPN用户上报其互联网出口地址,网络组负责在VPN前的防火墙增加互联网访问白名单,确保只有白名单内用户才能接入全天候测试环境VPN。
开启白名单后,监测组负责重点监测白名单开启前后接入用户的变化情况,市场服务组负责收集市场用户反馈,确保白名单不会影响正常业务。
措施2:绑定VPN管理端禁止对互联网开放VPN管理界面,将管理端使用白名单绑定内网运维主机。网络组负责实施,运维组负责闭环验证。
措施3:控制VPN接入权限测试环境责任人负责梳理VPN接入后的内网访问权限,网络组负责实施,测试组负责闭环验证。
措施4:加强边界流量监测监测组负责,网络组配合,把VPN接入后的网络流量导入到流量分析设备和态势感知系统,调试验证后纳入日常监测。
措施5:准备应急处置预案应急处置组负责完成全天候环境VPN被攻击场景的应急处置预案,秘书处配合完成沙盘推演。
(二)演习攻防阶段加固措施
措施1:实施VPN专项检查VPN系统责任人负责每日定时导出用户账号信息和日志并提交专家分析,重点关注用户数量变化及异常操作日志。
措施2:限制VPN开放时间上交所公示的测试环境开放时间是早九点到晚六点。VPN系统责任人负责每日准时启停系统,保障正常业务的同时尽量缩小攻击者可利用的时间窗口。
措施3:及时稳妥升级补丁VPN系统责任人负责加强与厂商联系,第一时间获取该品牌VPN系统官方升级补丁。关闭补丁自动升级功能,所有补丁必须先在测试环境测试无异常才能在生产环境实施。
综上,为实现全天候测试环境VPN系统安全稳定运行的目标,上交所立足于现有人员和设备,充分调动内部资源,明确各方职责,从技术、管理、流程、应急各个维度,对VPN系统进行了全方位的安全加固。
真正进入演习攻防阶段后,威胁情报中心多次传来该品牌VPN存在0day漏洞的消息,该VPN厂商两周内两次下发官方补丁对0day漏洞进行修补。得益于上交所的加固措施,全天候测试环境VPN系统保持了正常稳定运行,没有发生任何网络安全事件,有力地支持了科创板股份减持、科创板指数、期权做市双边报价、跨沪深港ETF等业务创新的全市场测试,为我国证券市场安全稳定发挥了应有的作用。
来源:上交所技术服务-End-最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!
在看点这里
科技
-
-
- 芯片价格涨10倍还缺货,对3D打印行业有何影响?
- ↑↑广告南极熊导读:如今,芯片缺货已经成为影响全球众多行业的问题。3月26日,蔚来汽车宣布,因芯片短缺,将合肥江淮汽车工厂的生产暂停5天。福特、通用、本田、大众等多家汽车制造商也都因芯片短缺遭遇停产的...
- 南极熊3D打印
-
-
-
- 友达光电携手台湾大学成立联合研发中心 聚焦次世代关键显示技术
- 为引进学界创新研发能量、深化前瞻技术开发,友达光电与台湾大学共同成立「友达台大联合研发中心」,于昨(6)日举行揭牌仪式,由台大校长管中闵及友达董事长暨执行长彭双浪共同主持典礼。该中心将聚焦前曕显示...
- WitsView睿智显示调研
-
-
-
- [报告]2021中国新能源汽车市场洞察(附56页PDF文件下载)
- 在中国汽车市场下行的大背景下,新能源汽车市场总体蓬勃发展,该新兴产业正由政策驱动转向市场驱动。随着新玩家不断入局,产业圈层不断拓展,市场洗牌和淘汰也愈演愈烈。在C端占比不断提升的情况下,如何把握个...
- 汽车之地
-
-
-
- 相约漓江·与光同行!5月28日——欢迎报名2021讯石桂林光通信产学研论坛
- 新闻导读相约漓江·与光同行!5月28日,讯石信息咨询携手桂林光隆科技集团在广西桂林举办“2021讯石桂林光通信产学研论坛”,汇聚光通讯产业链及知名院校,寻求产学研融合,探讨光通信产业更大市场机遇,助力光通...
- 讯石光通讯
-
-
-
- 美国银行的科技高管看好5G和3D打印技术前景
- 美国银行(Bank of America Co. ,BAC)的科技高管有意在未来几年倡导使用数据分析、5G无线网络以及可能的3D打印技术的新举措,因疫情期间对该行数字服务的需求激增。据美国银行称,在过去10年里,该行每年在新技术...
- 未知大陆
-
-
-
- 7点见|维权女车主起诉特斯拉索赔5万;IBM宣布推出2纳米芯片
- 各位小伙伴早上好呀!以下是今天的早报!车展维权女车主起诉特斯拉副总裁陶琳 要求赔偿5万元精神损失费河南安阳特斯拉车主张女士5月6日晚在腾讯新闻上发布一份声明,称已经起诉特斯拉对外事务副总裁陶琳。张女士...
- 腾讯科技
-
-
-
- 大突破!IBM全球首发2nm制程芯片及制造技术
- 5月7日消息,虽然半导体制程工艺的持续推进变得越来越困难,但是根据台积电此前透露的信息显示,其已在2nm工艺上取得了重大突破,乐观的情况下,2nm工艺有望在2023年下半年进行风险性试产,2024年可能将步入量产...
- 芯智讯
-
-
-
- 卡巴斯基公司日前发现美国中央情报局开发的恶意软件
- 关键讯息,D1时间送达!据媒体报道,网络安全厂商卡巴斯基公司日前表示,在收集的样本中发现了由美国中央情报局(CIA)开发的恶意软件。据媒体报道,网络安全厂商卡巴斯基公司日前表示,在收集的样本中发现了由...
- 企业网D1net
-
-
-
- 高通芯片高危漏洞影响全球40%手机
- 近日,高通公司的移动调制解调器MSM芯片(包括最新的支持5G的版本)中发现了一个高危安全漏洞(CVE-2020-11292),攻击者可以利用该漏洞获取手机用户的短信、通话记录、监听对话甚至远程解锁SIM卡!更可怕的是,...
- 安全牛
-
-
-
- 为什么传统软件厂商都想转型做Saas?
- 早些年,我工作笔记用的最多的是微软的OneNote,这东西好用不说,不仅能够存在云端,也能存放在本地。可惜到了Office2019之后,OneNote不再随Office软件包附带,而是改为了线上模式,再没法打开本地存放的笔记本...
- 人称T客
-
-
-
- 美国阿拉斯加法院系统因网络攻击而被迫下线
- 由于网络攻击,阿拉斯加法院系统(ACS)在本周被迫临时断开其在线服务器,这是由于在其系统上安装了恶意软件,从而破坏了虚拟法庭的听证会。 根据美国证券交易委员会(ACS)周六发布的声明,法院的网站已脱机,...
- E安全
-
-
-
- 华为卖车,最害怕的是谁?
- 2021年对于新能源汽车而言,注定是不平凡的一年,汽车行业将迎来前所未有的变革,这或许比前面这十年智能手机给人们生活带来的变化更为显著,汽车行业的“新四化”发展将会带动一系列产业进步。在传统豪华品牌BB...
- 汽车事事通
-
-
-
- 目录|《电子技术应用》2021年第5期
- 五期目录ContentsNO.1 技术专栏—5G垂直行业应用1 基于5G的低空网联无人机体系研究与应用探讨/ 韩 玲 朱雪田 迟永生5 面向工业的5G组网方案研究/ 孙丽楠 朱红绿 孙 慧11 基于5G网联无人机的智慧巡防应用研究/ 于...
- 电子技术应用ChinaAET
-
-
-
- 深度|美国制裁之下,华为如何变阵?
- 文|财新记者 张而弛4月25日,华为云在深圳召开开发者大会,消费者业务CEO余承东首次作为云CEO发表主旨演讲。几乎全程对着提词器念稿的余承东,显得对云计算专有名词有些陌生。华为内部对此看法宽容:隔行如隔山...
- 财新科技
-