作者
吉林亿联银行行长助理兼首席信息官 李树峰
吉林亿联银行科技管理部 袁卫库
为深入挖掘全量安全数据价值,推动全行安全建设向实战化、体系化、常态化方向发展,实现从独立工作到协同防御的转变,进一步提高整体网络安全运营效率,吉林亿联银行建设了统一的安全运营管理平台(SOC)。基于该平台的安全运营是一项需要长期分阶段建设、不断优化的工作,吉林亿联银行将在基础设施安全运营工作的基础上进一步加强纵深防御,深耕安全设备运营,覆盖业务安全场景,对接IT工单流程,实现多部门协同运营。
吉林亿联银行 行长助理兼首席信息官 李树峰
金融科技引领的数字化业务发展给银行的信息安全工作带来新的挑战,竖井式、加法堆叠式信息安全建设带来的威胁碎片化,面对新威胁无法整合力量进行有效应对等弊端日益凸显。经过四年的发展,吉林亿联银行(以下简称“亿联银行”)的IT基础设施已具备一定规模,但在安全建设和管理工作中也存在上述问题。在此背景下,体系化安全运营成为亿联银行信息安全建设和管理的重点工作,如安全监控,安全分析,安全事件管理,安全响应及应急、协同等,安全建设与管理需要从碎片化的状态中剥离出来,实现系统化运作。同时,亿联银行需要持续完善基础安全工作框架,不断将安全与开发、运维、质量、规划等领域进行融合,缩小灰色地带,构建无缝隙的安全管理体系。
适应业务快速迭代发展需求,体系化与合规运营并重
成立之初,亿联银行为适应业务快速迭代发展的需要,将安全建设的重点放在边界防御以及事件驱动上,这使得新引入产品的可扩展性较弱,缺少一体化设计。同时,从银行系统遭受攻击的时间维度分析,存在事前预防检查缺少聚合能力、事中监控防护策略及部署不能适应业务特点、事后分析审计回溯时效性差及深度不够等问题。为深入挖掘全量安全数据价值,推动全行安全建设向实战化、体系化、常态化方向发展,实现从独立工作到协同防御的转变,进一步提高整体网络安全运营效率,满足业务发展需求以及《中华人民共和国网络安全法》、网络安全等级保护2.0标准的数据管理和安全管理合规要求,亿联银行建设了统一的安全运营管理平台(SOC),该平台由SIEM、全流量分析、威胁情报、沙箱系统、大数据分析等组件组成,这些组件可为SOC平台提供实用的元数据,逐步将传统安全技术防御体系转化成以SOC为中心的安全防御体系。
以数据驱动安全为理念,分期建设、逐步落地
为保证SOC平台科学建设与合理落地,亿联银行对平台建设和运营的实施路径进行了规划(如图1所示)。第一阶段,突出数据驱动安全的理念,最大程度实现全覆盖数据收集、数据存储和数据标识,建成日志融合系统,整合各领域的安全信息,利用系统的关联分析能力发现已知威胁,开展基础设施安全运营;第二阶段,弥补银行在数据来源方面的不足,增加必要的安全设备,同时优化平台,实现安全信息可视化,以流程为主线,构建应急响应平台,实现安全事件的流程化处理;第三阶段,实现平台持续运营,对技术、人员和流程进行持续性优化,将告警处置的过程抽象化,尝试用自动化脚本的方式代替人工处置(安全自动编排),提高威胁狩猎能力。
图1 吉林亿联银行SOC平台阶段建设规划
多级分布式部署,安全管理统一化、平台化
现阶段,亿联银行安全运营管理平台通过多级分布式部署(如图2所示),覆盖总行数据中心、同城多活中心和异地灾备中心。在多数据中心分布式存储情况下,数据优先保存在本地,分析结果报送至上级管控中心,经汇总分析后统一展示,分布式多级部署的好处在于数据本地采集、本地计算,可以提升数据分析效率,并基于不同数据源配置数据存储策略。
图2 吉林亿联银行多级分布式部署
在日志数据方面,SOC平台现已接入网络/应用防火墙、负载均衡、上网行为管理、抗拒绝服务、网络/主机入侵检测、网络入侵防御系统、运维审计系统、网络数据防泄密网关、VPN网关、反垃圾邮件网关、邮件沙箱、终端准入及防病毒等15类近30个数据源。SOC平台上线至今,日均接收日志近10亿条,日存储数据256GB,累计存储日志约3800亿条;经安全大数据平台分析、检测及聚合,日安全告警数在50条以内,经安全分析人员确认,每日需协查处理事件不超过10条,显著提高了安全监控、分析、处置和响应效率。
资产及脆弱性数据是日常安全运营的基石,对基础安全运营的开展、流程畅通运转起到决定性作用。SOC平台资产和脆弱性管理模块从信息安全视角汇总数据,包括各数据中心以及办公职场的业务系统、框架结构、IP地址(内外网)、数据库、应用组件、网络设备、安全设备、归属信息、业务系统接口调用等,最终形成清晰完整的资产列表。资产及脆弱性数据以API接口自动同步和手工录入修改核验相结合的方式实现,通过对接CMDB系统获取IT基础设施资产,对接主机入侵检测系统(HIDS),从安全角度自动同步细粒度资产信息,能够对业务层资产进行精准识别和动态感知;对接弱点管理平台,获取CVE、CNNVD等权威机构发布的完整漏洞,也可手工导入多个扫描器的漏洞库。以上资产及脆弱性数据经深度整合后可以作为安全事件分析研判的依据。
流量数据主要是采集网络中的流量数据,将原始的网络全流量数据转化为按Session方式记录的格式化流量日志,全流量日志会经过加密传输给分析平台进行存储,用于后期的审计和分析。流量传感器内置了流量检测引擎,能够对常见网络及应用层协议进行分析,实时发现流量中存在的攻击行为,流量采集功能包括流量捕获记录、文件还原与虚拟环境执行分析、可检测社工邮件、Shellcode攻击代码、隐蔽信道、Webshell、DAG域名请求、暴力破解、远程溢出攻击、挖矿以及常见黑客工具使用等。
通过威胁情报数据集成,银行可提前做好威胁防范工作,快速进行攻击检测与响应,更高效地进行事后攻击溯源,实现全网基于威胁情报的协同联动,尽可能发挥平台与情报的最大价值。目前,SOC平台的情报来源主要有第三方互联网平台和金融行业两个渠道,对于第三方互联网平台威胁情报,考虑到银行安全矩阵控制合规要求,定期采用离线的方式导入系统后进行分析;金融行业威胁情报主要通过金融城域网接入人民银行态势感知平台获取。
安全运营场景化,风险监测实时化,事件处置流程化
亿联银行结合自身实际情况进行安全场景设计,从外部威胁与内部管理出发,涵盖外部攻击、内网安全、合规管理三个方面,在平台内置规则基础上设置网站攻击检测、入侵探测扫描、漏洞利用、暴力破解(内外网)、运维监控、数据库审计、主机和账号异常、违规外联、恶意程序检测、数据泄露等10个场景,共计45条自定义检测规则,通过流程化的安全监控、安全分析、安全事件管理、安全响应及应急、协同,达到网络安全态势可感知、安全威胁可预警、异常行为可监测、安全价值可呈现的目的。
例如,在0day漏洞成为1day漏洞利用场景检测中,漏洞的利用方式和影响范围已经曝光,为了同黑客“赛跑”,在安全最脆弱的阶段,先通过资产管理模块进行查询匹配,确定是否存在可能受该漏洞影响的资产范围,再利用漏洞扫描系统对受影响资产进行精确定位,同时在SOC平台设置检测规则以实时监控可能的漏洞利用行为。以ApacheDolphinScheduler权限覆盖漏洞(CVE-2020-13922)在主机层面利用检测为例,可以在SOC平台设置检测规则:
如产生告警应第一时间优先找到主机进行处置。
内部红蓝对抗,以SOC平台为工具的安全运营初步实践
近年来,网络空间安全环境不断恶化,以明确的政治、经济为目的的攻击事件不断增多,无论是各级监管部门还是企业均加强了对网络安全的实战化要求。亿联银行为了考核网络安全建设成效,发现自身网络安全建设短板,连续举办了两届内部红蓝对抗网络安全攻防演习。演习邀请合作单位扮演攻击方(蓝军),银行方安全人员扮演防守方(红军),在近“实战”环境下有效检验了以SOC平台为核心的纵深安全防护体系和安全运营流程。亿联银行情报感知类系统、主机防护类系统、边界阻断类系统、边界防护类系统、流量感知类系统、态势感知类系统均接入SOC平台,银行方安全人员(演习时分为监控组和安全分析研判组)以SOC平台为主要抓手展开工作。攻防演习中的联动处置剧本如图3所示。
图3 攻防演习中的联动处置剧本
演习中,SOC平台作为主要的安全监控、安全分析、安全事件管理工具,实现了与边界安全设备实时联动,在发现、自动研判具有威胁的攻击源后自动予以阻断,处置过程在1分钟内即可完成,SOC平台的告警分析模型经过精心调整,可在保证业务正常运行的情况下,准确快速地对告警进行处置。
持续迭代,深耕安全场景,逐步实现协同化安全运营
基于SOC平台的安全运营是一项需要长期分阶段建设、不断优化的工作,亿联银行将在基础设施安全运营工作的基础上做好以下工作:
一是进一步加强纵深防御,完善安全防护框架,对现有防护手段查漏补缺,如通过增加威胁感知平台、蜜罐系统提升主动威胁感知能力和本地威胁情报采集。
二是深耕安全设备运营,通过SOC平台和安全设备日志互补分析,优化告警策略,减少漏报,降低误报率,不断提升告警准确度。
三是覆盖业务安全场景,如针对批量访问、注册等机器人行为和异常交易行为进行精准识别,提升交易安全监测能力,体现安全运营工作的价值。
四是对接IT工单流程,多部门协同运营。随着SOC平台安全运营场景的逐步增加,SOC平台的安全运营必然会涉及IT、业务和管理部门,因为告警处置、意见优化不可能也不应该仅限于安全部门,需要各部门在安全问题人人有责的普遍共识下广泛参与和积极配合。
本文刊于《中国金融电脑》2021年第08期
声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。