《金融網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全眾測實(shí)施指南》
《移動支付網(wǎng)》消息:2月10日,中國人民銀行正式批準(zhǔn)發(fā)布金融行業(yè)標(biāo)準(zhǔn)《金融網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全眾測實(shí)施指南》(JR/T 0214—2021)。
標(biāo)準(zhǔn)給出了金融信息系統(tǒng)網(wǎng)絡(luò)安全眾測實(shí)施的指導(dǎo),明確了眾測的作用、重點(diǎn)關(guān)注的風(fēng)險(xiǎn)項(xiàng)以及實(shí)施主體和職責(zé),并提供了依托眾測需求方、眾測組織方、眾測測試方以及眾測審計(jì)方等四方主體進(jìn)行眾測準(zhǔn)備、眾測實(shí)施以及分析與報(bào)告編制的過程,適用于金融機(jī)構(gòu)開展網(wǎng)絡(luò)安全眾測工作,并為給金融機(jī)構(gòu)提供網(wǎng)絡(luò)安全眾測服務(wù)的組織提供參考。
眾測:一個(gè)存在多年卻“不正規(guī)”的行業(yè)
網(wǎng)絡(luò)安全眾測,對于非行業(yè)人士來說可能根本沒有聽說過,但如果換個(gè)說法,白帽子黑客,就有很多人聽說過了。
黑客,是指尋找并利用漏洞入侵計(jì)算機(jī)系統(tǒng),盜竊數(shù)據(jù)或進(jìn)行破壞的網(wǎng)絡(luò)技術(shù)人員,而白帽子黑客,是指站在黑客的立場攻擊系統(tǒng)以進(jìn)行安全漏洞排查的技術(shù)人員,他們的工作被稱為“挖洞”。
最了解你的人是你的敵人,這句話在網(wǎng)絡(luò)安全界也行得通,因此白帽子的工作雖然看起來無關(guān)緊要,但事實(shí)上是每個(gè)公司不可或缺的一部分。
唯一的問題在于,白帽子的工作總是隨心所欲的。在這一行最開始的時(shí)候,白帽子黑客和黑客的行為在很多時(shí)候是無法分辨的。
雙方同時(shí)游蕩在系統(tǒng)的外圍,使用各種各樣的方式對系統(tǒng)進(jìn)行攻擊,區(qū)別只在發(fā)現(xiàn)漏洞后的處置上,是報(bào)告給企業(yè),還是盜走數(shù)據(jù)賣掉。
從法律角度來說,白帽子的行為可以說是“在違法的邊緣反復(fù)橫跳”,這個(gè)過程中,白帽子和企業(yè)往往會產(chǎn)生不可調(diào)和的矛盾。為了解決矛盾,漏洞平臺出現(xiàn)了,平臺的作用就是作為白帽子和企業(yè)之間的溝通橋梁,一方面為企業(yè)提供安全幫助,另一方面為白帽子解除一定的法律風(fēng)險(xiǎn)。
但是在2016年,白帽子和企業(yè)之間的矛盾還是爆發(fā)了,這就是著名的“世紀(jì)佳緣白帽事件”。
白帽子袁煒發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)站存在SQL注入漏洞,在測試中獲取了4000多條信息。他在2015年12月將漏洞報(bào)告給當(dāng)時(shí)國內(nèi)最大的漏洞平臺,烏云互聯(lián)網(wǎng)漏洞報(bào)告平臺,通過烏云警告了世紀(jì)佳緣,世紀(jì)佳緣在修復(fù)漏洞后在2016年1月通知了警方,2016年3月袁煒遭到了逮捕。
事情的發(fā)展總是讓人措手不急,“世紀(jì)佳緣白帽事件”讓白帽子和企業(yè)之間的矛盾徹底爆發(fā),對于白帽子行為邊界認(rèn)定問題得到了廣泛的討論,在還未得出一個(gè)公認(rèn)的結(jié)果前,2016年7月20日凌晨,烏云網(wǎng)無法訪問,網(wǎng)站公告稱,烏云及相關(guān)服務(wù)將升級,并稱將在最短時(shí)間內(nèi)回歸。
指南:讓行業(yè)變得正規(guī)對所有人都好
在“世紀(jì)佳緣白帽事件”之后,白帽子群體依舊在行動,“挖洞”沒有停止,更多的漏洞平臺和白帽子站了出來,在這一行業(yè)發(fā)光發(fā)熱。
不過白帽子和企業(yè)之間的矛盾并沒有得到實(shí)質(zhì)意義上的解決。
首先是在心態(tài)上,企業(yè)對于白帽子的挖洞行為一直處于一個(gè)很微妙的狀態(tài),漏洞的確實(shí)存在讓他們必須要依靠白帽子,但是想要讓他們承認(rèn)白帽子的工作成果又是很難過去的一道心理關(guān)卡,這就觸犯了白帽子的利益。
2020年11月,網(wǎng)絡(luò)尖刀團(tuán)隊(duì)發(fā)布《網(wǎng)絡(luò)尖刀團(tuán)隊(duì)關(guān)于終止攜程SRC漏洞合作公開聲明》,將攜程與白帽子之間的問題公開化處理,同時(shí)讓我們看見了企業(yè)和白帽子之間的沖突:源于企業(yè)對于漏洞的認(rèn)定和白帽子對于漏洞的認(rèn)定不一致,實(shí)質(zhì)上是企業(yè)不想承認(rèn)白帽子的工作成果。
在法律上,雖然平臺的出現(xiàn)降低了白帽子面對的法律風(fēng)險(xiǎn),但是白帽子依舊是在法律邊緣游走,在面對法律風(fēng)險(xiǎn)和工作成果無法得到承認(rèn)的現(xiàn)實(shí)打擊下,很多白帽子對很多漏洞都是抱著“多一事不如少一事”的心態(tài)。
很明顯,這樣的事情對于企業(yè)、白帽子、平臺來說都不是好事情,沒有任何一方獲益。
《網(wǎng)絡(luò)安全眾測實(shí)施指南》的出臺就是為了解決這個(gè)行業(yè)痛點(diǎn)?!吨改稀访鞔_了眾測運(yùn)營中四個(gè)角色的職責(zé)與義務(wù):
1、眾測需求方
明確了授權(quán)主體為金融機(jī)構(gòu)和授權(quán)要求。
組織系統(tǒng)、網(wǎng)絡(luò)、安全運(yùn)維團(tuán)隊(duì)做好測試期間的系統(tǒng)、網(wǎng)絡(luò)、安全的監(jiān)控工作,發(fā)現(xiàn)重大安全攻擊事件或系統(tǒng)服務(wù)中斷等突發(fā)事件,及時(shí)啟動相應(yīng)的應(yīng)急流程。
做好眾測過程突發(fā)事件的應(yīng)急響應(yīng)工作,包括事件報(bào)告、事件分析、事件處置、評估總結(jié)等工作。
委派或委托平臺指派項(xiàng)目負(fù)責(zé)人對項(xiàng)目進(jìn)行實(shí)時(shí)跟蹤,對提交的漏洞及時(shí)進(jìn)行審核和確認(rèn),對發(fā)現(xiàn)的漏洞進(jìn)行處理及應(yīng)急響應(yīng),嚴(yán)格管理漏洞的生命周期。
進(jìn)行漏洞審核時(shí),宜嚴(yán)格按照協(xié)議驗(yàn)收,評定漏洞風(fēng)險(xiǎn)。
組織專項(xiàng)工作人員負(fù)責(zé)跟蹤漏洞的處置修復(fù),對于危害較高的漏洞,組織相關(guān)人員對漏洞進(jìn)行快速整改修復(fù),并協(xié)調(diào)漏洞復(fù)檢工作。
2、眾測組織方
明確了組織方對實(shí)施人員和過程的要求,明確了組織方的科學(xué)管理體系要求,同時(shí),明確要求保障測試人員的身份與背景可靠,明確組織方要對實(shí)施人員完成實(shí)名認(rèn)證,包含個(gè)人/企業(yè)實(shí)名認(rèn)證,并簽署安全保密協(xié)議。
對測試人員進(jìn)行安全保密教育與其簽訂安全保密責(zé)任書,規(guī)定履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢査落實(shí),明確簽署安全保密教育與保密責(zé)任書。
在保密教育與保密協(xié)議任務(wù)中,組織方根據(jù)需求方對于安全眾測項(xiàng)目的要求,對測試人員進(jìn)行安全保密宣傳和教育培訓(xùn)工作,包括項(xiàng)目測試范圍、項(xiàng)目測試時(shí)間、項(xiàng)目測試行為準(zhǔn)則、安全保密要求等,與測試人員簽署安全保密協(xié)議。
明確需要提供網(wǎng)絡(luò)安全眾測授權(quán)委托書/安全測試人員清單,明確測試方可以是個(gè)人參與或者企業(yè)參與,并且簽署保密協(xié)議。
通過技能考核設(shè)置測試方的準(zhǔn)入門檻,同時(shí)建立測試方的信譽(yù)體系及優(yōu)勝劣汰競爭機(jī)制。
對不符合相關(guān)法律法規(guī)及不按需求方要求進(jìn)行測試的測試方進(jìn)行處罰及清退,確保身份可信、技能可行。
3、眾測測試方
對測試人員要求滿足,年滿18周歲,無違法及犯罪記錄,并且履行遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)、需求方和組織方的相關(guān)要求,在授權(quán)的范圍內(nèi)開展安全眾測服務(wù)。
明確測試方,在授權(quán)范圍內(nèi)開展安全眾測服務(wù),提供準(zhǔn)確、真實(shí)、客觀的網(wǎng)絡(luò)安全漏洞等義務(wù),明確需要配合完成漏洞復(fù)測任務(wù),對測試人員明確測試邊界與測試行為要求。
4、眾測審計(jì)方
一方面是對安全眾測過程的可控、可審計(jì),更安全可靠的配合組織方交付項(xiàng)目。另一方面,能夠更好的量化測試人員的工作量及測試目標(biāo)范圍。
1)明確了審計(jì)方與組織方、測試方宜相互權(quán)限隔離。
2)眾測審計(jì)方,明確了對眾測過程中的流量及日志進(jìn)行保存,并且明確要求記錄測試人員訪問信息,包括眾測環(huán)境系統(tǒng)/賬號的登錄、登出等關(guān)鍵時(shí)間,以及眾測項(xiàng)目測試時(shí)對眾測系統(tǒng)所做的行為,包括用戶、時(shí)間、事件類型、操作的資源、操作的結(jié)果、訪問發(fā)起端的地址或標(biāo)識。
3)審計(jì)方的審計(jì)系統(tǒng)向需求方開放,即需求方有權(quán)對測試入員的行為進(jìn)行實(shí)時(shí)審計(jì)、檢查。
4)負(fù)責(zé)測試過程中測試人員的安全監(jiān)控工作,發(fā)現(xiàn)異常及時(shí)通知需求方和組織方。
5)負(fù)責(zé)測試過程中,測試人員安全接入賬號的管理工作,包括賬號暫停、賬號恢復(fù)、項(xiàng)目暫停、項(xiàng)目恢復(fù)等。
6)發(fā)生突發(fā)事件時(shí),協(xié)助需求方進(jìn)行突發(fā)事件的溯源分析和應(yīng)急響應(yīng)工作。
7)安全審計(jì)報(bào)告的內(nèi)容包括但不限于測試范圍、測試時(shí)間、測試人員、審計(jì)內(nèi)容及審計(jì)結(jié)果等。
8)編寫安全審計(jì)報(bào)告,安全審計(jì)報(bào)告的內(nèi)容包括但不限于:
審計(jì)測試人員是否按照要求使用授權(quán)的測試接入途徑進(jìn)行安全測試。
審計(jì)整體的測試過程,量化測試人員測試工作量、測試目標(biāo)范圍。
審計(jì)測試人員使用的攻擊手法。
審計(jì)測試人員的高風(fēng)險(xiǎn)行為操作,溯源攻擊過程。
備份測試流量和行為等審計(jì)信息,建議保存6個(gè)月以上,以滿足安全眾測后期事件溯源的需要。
明確了四方角色的職責(zé)與義務(wù),實(shí)質(zhì)上是將“挖洞”行為正規(guī)化,保證各方利益,讓行業(yè)進(jìn)入良性發(fā)展。
對于網(wǎng)絡(luò)安全行業(yè)來說,這樣的正規(guī)化,可以將更多的民間力量納入到網(wǎng)絡(luò)安全體系當(dāng)中,助力我國網(wǎng)絡(luò)安全行業(yè)的發(fā)展。