10月31日,秘鲁知名银行遭勒索攻击,超300万用户数据泄露;
8月,印度银行业发生了一起重大的勒索软件攻击事件,导致近300家小型银行陷入运营混乱;
7月,美国知名银行Evolve Bank遭数据泄露,760万人受影响
……
近年来,全球银行业屡次成为网络攻击者目标,折射出其面临的严峻形势。在我国,随着数字经济的高速发展,银行业务服务模式与技术架构正发生着深刻变革,保障银行数字业务系统的网络安全,对于维护金融安全、客户信息安全至关重要。因此,商业银行需要不断提高安全运营效率,以有效防范和应对各种内外部安全威胁,为业务的持续稳健发展保驾护航。
某股份制银行位于东南某发达省份,在包括港澳在内的全国各地设有100多家营业性机构网点,形成了“以内地为主体、以港澳为两翼”的战略布局。在飞速发展过程中,该银行高度重视网络安全防护,通过和奇安信等合作,基于“安全管理为指导,安全技术为支撑,安全运营为保障”的网络安全理念,构建了“一个中心、三道防线”的网络安全纵深防御体系和敏捷高效的网络安全运营体系。同时依托奇安信安全编排与自动化响应(SOAR)技术,实现了安全运营中,人员、流程和工具三大要素合一,逐步迈向安全运营自动化时代。
依赖人工为主的运营模式遭遇效率瓶颈
经过多年的安全建设,该银行安全设备相对比较齐全,并通过安全运营平台建设实现了日志和告警数据统一化处理,同时实现安全事件的闭环管理。在安全运营模式上,以工程师手动安全运营为主,辅以少量分析工具。
然而,随着攻防对抗的日益激烈,这种主要依赖人工的安全运营模式逐渐暴露出弊端,日益增多的安全告警、过长的响应时间、缺乏标准化的响应流程等等,制约着安全运营水平再进一步。具体难题表现在以下几个方面:
#01-事件响应时间过长
此前,该银行威胁分析与事件响应主要依靠工程师手动分析。在此过程中,往往会涉及大量告警、日志等,因此效率相对低下,导致从发现攻击到完成事件响应的时长过长,这对于事件响应非常不利。以勒索攻击为例,根据奇安信发布的《2023年中国企业勒索病毒攻击态势分析报告》显示,勒索攻击存在“黄金救援半小时”,一旦超过二十四小时,应急成功率就会低于四成。因此响应时长越长,网络攻击造成的危害往往也就越大。
#02-自动化程度有限
响应过程涉及到大量分散的设备和系统,要向不同的安全设备发起查询,联动不同的设备进行处置,在不同的设备和系统之间来回切换耗时费力。由于自动化工具缺乏,少量自动化脚本工具使用灵活性较差,还需要多平台之间频繁切换,手动操作极易引发错误。
#03-重复性基础工作繁琐
安全运营往往会涉及到大量低技术含量、重复性高却又不得不做的事情,如添加黑白名单、查看无效告警、日志检索等等,由于重复性响应和维护工作量较大,消耗精力较高,成果有限,导致有限的人员不得不投入大量精力进行重复的劳动,无法聚焦到真正有威胁的安全事件,也难以快速提升高阶实战攻防能力。
#04-缺乏标准化应急处置流程
以人工为核心的安全运营模式主要依赖安全运营工程师的经验,容易因为人为的因素产生不确定影响,如业务熟悉程度、攻防技战术水平甚至是健康和心情、人员变化、工作内容不熟悉等,导致事件响应时间不可控,事件处置完成程度不可控,甚至产生运营安全风险。另一方面,运维响应工程师的经验难以复制和传递,事件处置经验冗杂、散乱,缺乏体系化的积累和传承,不利于拉升整个公司安全运营水平基线。
综上,该银行相关负责人认为,当前安全运营工作面临一个深层次的挑战,即安全运营相关的人员、流程、工具之间的鸿沟。为贯彻行内安全运营的体系化、实战化、常态化的建设理念,需要使用可编排、自动化的方式,把现有工具、人员以及流程进行整合,通过编排将面向分散设备和系统的一系列操作串接起来,并根据不同的响应工作流程加以固化,使得响应的过程更加顺畅,也能够复制与传递。
基于奇安信SOAR实现“四化”目标
奇安信SOAR就是这样的产品技术,它可以将编排后的一系列操作自动或者半自动地执行起来,极大提升响应的速度。同时,将运维与响应人员的重复性工作借助自动化技术执行起来,使得他们将精力聚焦在真正的决策上,发挥出人的更高价值。同时通过构建编排与自动化系统来实现场景体系化梳理、流程标准化落地、安全能力归一化资源池建设,形成初步的自动化安全运营体系。
在参考大量实践案例,进行综合评估后,从2023年开始,该银行选择与奇安信达成合作,结合实际业务需求和现阶段网络安全建设特点,完成行内安全编排与自动化建设,包括但不限于:
告警研判自动化。SOAR应按照既定规则,定期主动从各类安全设备中拉取告警数据,自动或者半自动地执行告警分析与智能分诊,将安全运营人员从海量告警中解放出来,能够更加专注更高级别的威胁。
安全运维剧本化。基于剧本编排功能,将重复性高的安全运维工作固化成剧本,通过SOAR系统实现大量设备的安全运维工作,按照标准化的剧本执行。
响应处置闭环化。奇安信SOAR可将大量标准化应急处置动作固化成剧本,在完成告警分诊后,大量同类告警便根据已有的标准处置流程编自动完成处置,大幅缩短响应时间,提升响应效率,并且完成从告警分诊、分析研判、响应溯源到弱点加固的闭环流程。
事件管理知识化。将安全事件处理的案例保存并形成案例库,后续形成统一共享的知识库,可供他人按照以往的经验快速解决问题。
在项目实施中,双方共同解决了一个又一个难题,其中包括存储资源受限、集成现有的脚本工具、告警的责任人划分等等,最终,通过数据定期导出备份+弹性部署,SOAR系统内置脚本模块导入复用,范式化富化能力支持等,解决了哪些难题。
跨越运营鸿沟,效率提升10倍以上
经过约7个月的部署、安装、调试、定制开发与试运行的过程,奇安信协助该银行定制输出20个剧本场景,分为运维类、分析研判类和处置类剧本,对接14个系统或安全设备,聚焦一键封禁、终端中毒处置、情报聚合分析、漏洞修复跟踪、弱口令检查通知、一键巡检、阶梯化封禁等剧本流程,将客户日常运营提效平均10倍效率以上,详情如下表格。
奇安信SOAR通过自定义设计阶梯威胁评分模型进行动态封禁处置,将安全运营精细化展开,更加契合实际业务流程和安全运营逻辑,替代原来粗暴的应急处置逻辑,展现出了更加弹性的安全策略拓展能力。所有分析结果,都可通过定制数据接口输出到统一大屏进行汇总展示,并融入整体的安全运营环境进行工作成果展示。
在告警方面,奇安信SOAR可从安全设备中定期自动获取告警,实现告警解析、归并、去重、自动化响应,顺畅完成从监控平台获取数据,衔接响应处理流程,体现系统的灵活扩展能力,用最小的工作量自动化进行数据处理,将客户场景下的运营响应高效的驱动起来。同时通过多角色审批解决事件任意角色放行即通过的快速审批逻辑,加快审批环节推进。
在工具方面,通过系统工具集成,并结合剧本流程设计,将孤立的系统工具能力进行盘活和复用,并融入到场景中进行关联,实现快速调用。以资产信息库为例,往往事件响应都需要找到对应资产的责任人,才能将事件处置流转起来。奇安信SOAR通过系统集成对接和流程编排,将资产信息库作为一个开放资源来调用,任何需要的流程里都可以调用该资源对象,并可在流程里将上下文信息平滑承接传递。
在协同方面,将人工和应急事件通过消息框形式快速进行协同处置,调用剧本和集成系统进行协同处置,并将结果实时反馈至消息框,分享同步到协同成员。通过这种方式解决日常运维中信息交互不畅,不便作经验记录,以及分工合作的困境。同时通过机器人和自然语言将指令执行与自然语言关联,降低人员对系统详情的掌控要求。
截止目前,随着漏洞跟踪、弱口令跟踪、基线配置核查、漏洞扫描、一键设备巡检等剧本的落地,大量基础安全工作可以依托SOAR平台进行自动化运转。尤其是自动化响应(自动封禁攻击IP)功能,在攻防演习及实战中发挥了重要作用,帮助银行及时阻断了大量攻击行为。
网络安全研究机构SANS发布的《2024年SOC调查报告》指出,缺乏自动化和编排,是SOC面临的最大障碍。对比国外的SOAR实践,国内剧本的应用场景还有很大的提升空间。有专家表示,目前SOAR的价值还仅仅发挥出了30%的功力。SOAR厂商还需要与先进客户一起共同努力,开发更多实战化的应用场景和剧本,并推进生态和标准体系的构建。
立即拨打
京公网安备11000002002064号