企业动态

金融安全是国家安全的重要组成部分，是经济平稳健康发展的重要基础。金融行业的数字化程度普遍较高，业务环境非常复杂，网络和数据安全要求更严苛，挑战更艰巨。如何提升网络安全建设的实际效果，为金融科技保驾护航；如何显著提升安全运维的效率，如何让安全运营的价值指标化、成果可视化……作为国内知名的城市商业银行，C银行在金融科技的浪潮之中，积极应对各方面挑战，通过网络安全运营体系的建设，探索出效率效果双提升之路。

依托金融科技加速开放，网络安全风险随之而来
当前，银行业发展已进入从传统科技“支撑”到金融科技“引领”的时代，金融科技也已是银行抢占未来主战场的重要利器。网络安全和信息化建设是相辅相成的，网络安全是信息化建设的前提，信息化建设是网络安全的保障，两者相互推进。金融科技所引领的网络化、数据化、智能化生活，对银行的网络安全运营工作既是机遇，同时也是巨大的挑战，网络安全运营已经走到变革的交叉路口。
从全球范围来看，银行业面临的网络攻击事件也是屡屡发生。不久前，国内某头部银行美国子公司遭勒索软件攻击，致部分系统中断，无法清算待处理的美国国债交易，被迫通过U盘发送结算数据。而在去年底，俄罗斯第二大金融机构VTB银行披露遭遇公司历史上最严重的网络攻击，持续的DDoS（分布式拒绝服务）攻击导致其网站和移动应用程序离线，这足可见银行网络安全面临的严峻现状。
随着银行数字化转型和业务发展的需要，C银行同行面临着IT管理和网络安全方面的众多问题和挑战。C银行“生态银行”战略持续推进，就是要把资源整合连接起来，打造为客户赋能、为客户创造价值的超级链接的开放银行，以生态场景为触点，通过API、SDK、小程序等技术连接生态各方。毫无疑问，数据开放扩展了数据边界、技术交互延伸了网络边界、业务融合打破了产业边界，金融科技的运用和业务场景的重构，导致网络安全、数据安全等面临全新的安全挑战。
C银行充分认识到做好金融科技时代下网络安全运营工作的重要性和紧迫性，因势而谋、乘势而上、顺势而变，变被动防御为主动管理，积极探索新的网络安全运营思路，通过携手国内领先的网络安全企业奇安信，逐步构建“智能化、自动化、实战化”的安全运营体系，推动C银行网络安全与金融科技形成良好互动，助力C银行数字化战略发展过程中赢得主动、赢得稳定、赢得未来。

安全运营稳步推进，运营提效迫在眉睫
网络安全运营的建设不是一蹴而就，C银行在安全运营体系建设的各个阶段中，都遇到了不同程度的难题。
第一阶段的难题是安全难以管理，数据零散，缺少抓手，运营无从下手。在该阶段，C银行重点考虑搭建态势感知与安全运营平台（NGSOC），并以资产为中心收集资产、脆弱性、日志、流量等基础数据，完成生产数据中心安全数据的集中关联分析与安全告警发现，并对数据进行分类梳理，为安全事件管理、运行可控等打好基础。
第二阶段的难题是告警疲劳问题突出，海量数据无法有效管理。经过第一阶段的建设，安全运营平台已经搭建完成，能够完成日志汇聚、资产安全事件回溯分析、审计合规等基础性工作，并能通过流量分析及时发现大量安全风险。但与此同时，每天产生的海量告警带来了极大的分析、研判和处置压力，形成了严重的告警疲劳。按照C银行安全负责人的感受，本来想搭个平台解决问题，平台搭好反倒事情更多了。因此，该阶段的重点是持续规则优化、威胁建模，尽可能的把汇集的海量数据利用起来，把告警管理起来，实现安全运营的持续和有效。
到了第三阶段，最突出的矛盾在于平台在管理、流程等方面的联动能力缺位，没有以平台为中心形成一套体系，各类系统未能打通，运营能力存在缺位。在该阶段，重点是以平台为中心打通行内各类系统，并补充安全编排自动化与响应系统（SOAR）、网络流量威胁检测系统（NDR）、威胁情报平台（TIP）等能力，形成一个高效协同、安全闭环的网络安全运营体系。

 
构筑安全运营四大底座，为技术体系夯实基础
据相关负责人回忆，对于C银行安全运营的建设思路，可以归纳为：以当前低位安全能力为基底，通过大数据、机器学习、SOAR、NDR、TIP等技术和工具，结合自动化流程，建设智能化、自动化、实战化的安全运营中心，打造“威胁感知、分析定位、智能决策、响应处置”的快速安全闭环能力，帮助C银行打造安全效果，提升安全运维和安全管理效率、展现安全成果，最终实现“自动响应闭环、持续安全运营”的目标。
安全运营技术体系是安全建设的重中之重，C银行通过和奇安信的合作，最终形成基于NGSOC、SOAR、NDR、TIP等技术和工具实现安全事件的自动闭环管理和持续威胁对抗，技术体系示意图如下。
其中，NGSOC是整个安全运营体系的“大脑”，是安全运营工作得以持续开展的“管理中枢”，而SOAR、NDR、TIP等工具是安全运营体系的“四肢”，通过打通内部管理流程、协同各类安全工具能力，打造发现威胁、分析威胁、研判威胁、处置威胁的多维安全能力闭环。
C银行安全运营第一步工作是构筑安全运营四大基础底座。即通过安全运营分析平台（NGSOC）、安全编排自动化与响应系统（SOAR）、网络流量威胁检测系统（NDR）和威胁情报平台（TIP）共同构筑。
底座1：态势感知与安全运营平台（NGSOC）是驱动安全运营体术体、系运行的“基础”。它利用从网络流量和现有低位安全工具，如防火墙、抗DDOS、HIDS等采集的全量安全数据，通过机器学习、大数据分析、威胁规则建模等技术手段对安全事件进行调查和响应，充分挖掘安全威胁，实现全方位态势感知能力。
底座2：安全编排自动化与响应系统（SOAR）是安全运营技术体系协同运行的“纽带”。是整合安全运营所需的各种资源，实现人与工具、工具与工具的连接与协作的关键，固化处置及管理流程，将原有的纯人工参与流程转变为自动化的线上流程，减少人对流程的干预，提升处置和管理效率。
底座3：网络流量威胁检测系统（NDR）是安全运营技术体系实战对抗的重要“抓手”。它专注于实时发现流量中的恶意攻击和潜在的高级威胁，进行分析、研判、溯源和响应，为安全运营分析平台提供了网络层深度的安全威胁数据，实现网络层检测与响应智能化闭环。
底座4：威胁情报平台（TIP）是发挥安全运营技术体系实战化能力的“核心”，通过掌握全面、精准的威胁信息缩短威胁发现时间，研判核实威胁，提高响应速度，从而提升安全运营技术体系的防御能力。基于海量、多元的安全数据打造威胁情报中心，能够在威胁预测、攻击研判、自动封禁处置等方面技高一筹。

智能化、自动化、实战化，“三化”实现能力跃升
搭建好四大基础底座之后，C银行将工作重点放在安全能力的全面提升之上，可以归纳为“智能化”、“自动化”和“实战化”三个层面。
首先是打造“智能化”的安全分析能力。
“智能化”是安全运营技术体系的关键能力。C银行基于NGSOC的多源异构安全大数据采集与处理能力，实现数据采集融合和综合管理，数据来源包括了平台探针流量采集数据、安全设备告警数据以及安全渗透录入的脆弱性数据。
为了提升安全大数据全面、深度分析效率以及告警精准性，快速从海量未确认安全事件中找出真正的告警，C银行综合利用多种大数据安全分析引擎进行日常安全告警监控和历史数据分析，借助机器学习、模型分析、智能关联等手段，联动威胁情报及资产，构建多个安全场景，从海量告警中提炼有效攻击威胁、发现未知威胁，提升告警精准度，有效提高攻击识别准确率。
为了提升新型威胁和潜在威胁检测能力，C银行通过基于异常行为分析的威胁检测技术，采用人工分析和机器学习相结合的方式，再基于平台大数据和关联规则能力，设计威胁场景检测模型，显著提升平台对异常威胁攻击的深入检测发现能力。
其次是打造“自动化”的响应处置能力。
“自动化”是安全运营技术体系的核心能力，是推进深化运营、高效运营、人机共智的基石。为有效解决大量的安全事件需要人员的介入，造成运营成本高、安全响应慢的问题，C银行采用了安全编排、自动化与响应技术，来实现安全事件处置和安全管理过程跟踪自动化。
C银行基于SOAR强大的编排调度和串联能力，实现以安全设备及管理系统为中心的协同联动。通过大量基于SOAR的自动响应策略以及事先自定义好的自动响应策略，一旦发生类似安全事件命中响应策略，便能实现及时自动化响应。此外，C银行还通过SOAR的剧本设计，拉通OA、邮件、CMDB等管理系统，对安全威胁事件、脆弱性数据整改事件的处置和整改过程进行全过程自动化跟踪和管理，实现了安全事件从产生到处置完结全过程的管理闭环。
第三是打造“实战化”的安全防守能力。
“网络安全说100遍不如打一遍。”实战化的网络安全攻防已呈现常态化，“实战”能力已经成为检验安全体系建设水平的唯一标准，“实战化”是安全运营技术体系的必备能力。C银行从以下三个方面，构建“防的住”的安全运营体系：
其一，态势感知与安全运营平台（NGSOC）是安全运营工作的信息汇聚中心、安全分析中心、安全指挥中心。平台实时采集各类检测信息、告警信息、审计信息等，结合威胁情报，对安全数据进行集中分析，识别安全威胁，实现安全风险的智能感知和动态研判。同时利用SOAR建立事件自动化处置流程，结合协同处置机制，实现对安全事件的快速处置。通过这些措施，平台能够直观展现并提供完整、易用、高效的人机分析界面供安全运营人员进行快速的分析判断，为网络安全工作迈进实战化提供了科学有效的抓手。
其二，网络流量威胁检测系统（NDR）主打以实战驱动，侧重从原始流量中发现网络威胁及异常，对网络威胁进行分析和溯源。NDR通过行为分析、流量深度分析、机器学习等检测手段，实时发现流量中的恶意攻击和潜在威胁，尤其是高级持续性威胁、未知威胁发现，在攻防演练、重保场景下起到关键作用。
其三，威胁情报平台（TIP）是打造“实战化”能力的关键一招。威胁情报能够贯穿预测、预防、检测和响应整个安全生命周期的能力闭环。威胁情报TIP作为能力中心，能够为安全运营体系进行赋能，提供实时、精准的威胁信息，增强新型攻击、病毒、勒索攻击、挖矿木马等检测能力，支撑安全管理人员进行事件调查、溯源分析和响应处置。
在“智能化”、“自动化”和“实战化”的基础上，C银行还进一步实现了安全运营价值指标化与成果可视化。为量化安全运营价值，同时便于监督和指导安全管理工作，C银行设计了包括漏洞总数、漏洞修复率、漏洞整改状态、威胁事件总数、威胁事件处置率、弱口令资产数、弱口令整改率、风险主机处置率等运营指标，最终将需要处理的事件和已处理事件的数量、处理进度等情况，通过SOAR管理跟踪剧本自动在安全分析运营平台仪表板进行汇总更新和综合展示。
结束语：
C银行安全负责人表示，安全运营技术体系建设是一个循序渐进不断提升的过程，是安全效能倍增的网络安全建设模式，通过在原有安全防护体系的基础上，结合“安全大脑”协防技术体系，建立网络安全“全局指挥+快速响应”机制，不断提升网络安全分析智能化、响应自动化和防守实战化水平，有效降低未知风险引发安全事件的概率，实现企业现有安全运维效率和安全建设效果的提升。