厦门国际银行安全编排与自动化响应系统的创新实践

作者

厦门国际银行科技运维部 沈忱 林建庭

随着金融业务的持续发展，新的业务需求和技术应用带来了新的安全漏洞和风险点，使得商业银行面临的安全风险也不断增加。为了确保业务的持续稳健发展，商业银行需要不断提高安全运营效率，以有效防范和应对各种内外部安全威胁。

近年来，厦门国际银行对网络安全、金融科技、数字化转型等领域的前沿技术进行了积极探索与实践，持续强化网络安全建设，并将其视为银行经营和发展的关键内容。基于此，厦门国际银行通过引入安全编排与自动化响应(Security Orchestration,Automation and Response,SOAR)技术，建设SOAR系统，实现了安全运营过程中人员、流程和工具三大要素合一，逐步迈向安全运营自动化阶段。

一、安全运营工作面临的挑战

经过多年的安全运营建设，厦门国际银行现有安全防护设备较为齐全，并通过安全监控平台建设实现了日志和告警数据统一化处理，同时实现了安全事件的闭环管理。随着攻防对抗的日益激烈，现有的安全运营模式逐渐显现出弊端，如大量的安全告警、过长的响应时间、缺乏标准化的响应流程等。具体而言，安全运营工作面临如下挑战。

1.人工分析时间过长

此前，厦门国际银行完全依赖工程师人工进行威胁分析。在威胁分析过程中，往往会涉及大量原始日志查询等操作，工程师要频繁访问、来回切换不同的安全设备和系统，以判断告警的真实性，导致分析效率较低。

2.处置自动化程度有限

此前，厦门国际银行仅少数安全攻击场景可通过联动安全检测和处置设备执行策略，实现秒级自动化响应，而绝大部分场景需要协调网络管理员或值班人员人工执行策略，自动化程度较低，处置时间较长。

3.重复性基础工作量较大

安全运营往往涉及大量重复性工作，如策略配置、权限变更、日志检索等，由于重复性工作通常需要大量时间，占据安全运营人员大量精力，导致有限的人员无法聚焦真正有威胁的安全事件，难以快速提升银行实战攻防能力。

4.缺乏标准化应急处置流程

以人工为核心的安全运营模式主要依赖安全运营人员的经验，容易因为人员的业务熟悉程度、攻防技战术水平以及人员变化等因素产生不确定影响，导致事件响应时间及事件处置完成程度不可控，甚至引发运营安全风险。此外，安全运营人员的经验缺乏体系化的积累和传承，难以复制和传递，不利于拉升银行整体安全运营基线水平。

二、SOAR系统建设思路

为贯彻安全运营体系化、实战化、常态化建设理念，厦门国际银行通过可编排、自动化的方式，整合现有工具、人员以及流程，将面向分散的设备和系统的一系列操作串连起来，并根据不同的威胁响应将工作流程加以固化，使得响应的过程更加顺畅，并能够复制与传递。SOAR是近年来信息安全领域的一个新概念，它以安全编排和自动化为核心，将人、流程、技术和工具进行高效整合，辅助安全运营人员完成日常工作，可显著提升安全运营效率；能够自动化处理安全事件，减少人工干预，缩短响应时间，降低安全风险；同时，还能通过案例集管理和协作，提升威胁分析效率，实现安全能力的可视化编排与自动响应。总体而言，通过构建SOAR系统，商业银行可实现场景体系化梳理、流程标准化落地以及安全能力归一化资源池建设，初步形成自动化安全运营体系。

1.建设目标

在参考大量实践案例、进行多项产品调研后，厦门国际银行结合实际业务需求和现阶段网络安全建设特点，构建了SOAR系统，具体建设目标包括但不限于以下几点。

一是告警研判自动化。SOAR系统应按照既定规则，定期主动从各类安全设备中拉取告警数据，自动或半自动地执行告警分析与智能分诊，将安全运营人员从处理海量告警的工作中解放出来，使其能够更加专注于更高级别的威胁。

二是响应处置闭环化。SOAR系统将大量标准化应急处置动作固化成剧本，在完成告警分诊后，可根据已有的标准自动化处置大量同类告警，从而大幅缩短响应时间，提升响应效率，并且完成从告警分诊、分析研判、响应溯源到弱点加固的流程闭环。

三是安全运维剧本化。SOAR系统基于剧本编排功能，可将重复性高的安全运维工作固化成剧本，使大量设备的安全运维工作按照标准化的剧本执行。

四是事件管理知识化。安全事件处理的案例可保存在SOAR系统并形成案例库，后续形成统一共享的知识库，以便他人参照以往经验快速解决问题。

2.功能架构

SOAR系统是以安全告警为输入内容、以内置的剧本为基础，以自动化处置为主，辅以人工判断，协助安全运营人员进行威胁分析和响应处置的平台。SOAR系统作为连接中枢和调度中心，支持RestAPI、Kafka、SSH、TELNET、SYSLOG等多种远程调用方式，集成上游系统如安全监控平台、日志系统和应用系统，下游系统如安全设备、网络设备、情报服务等系统。SOAR系统功能架构如图1所示。

图1 SOAR系统功能架构

SOAR系统功能模块总体上分为三部分：安全编排与自动化、事件管理和作战室。

(1)安全编排与自动化

安全编排与自动化是SOAR系统的核心功能，可实现安全能力的集成、安全流程的编排与自动化执行，包括剧本管理、编排引擎和应用管理功能。

剧本管理功能可为安全运营人员提供统一的剧本库，支持剧本的增删改查、导入导出，SOAR系统内置可视化剧本编辑器，支持安全运营人员进行剧本编排创作，同时提供剧本执行详情，方便安全运营人员进行剧本调试。

编排引擎功能是安全编排与自动化的中枢，其中工作流引擎实现了剧本的编排调度和活动执行，应用执行引擎实现了安全处置能力的自动化调用。

应用管理功能为系统提供可扩展的集成框架。安全运营人员可以通过应用集成将安全设备能力封装成应用，提供给安全剧本调用。同时可提供基于角色身份的应用动作权限控制功能，并实现权限最小化。

(2)事件管理

事件管理功能包括事件接入、事件详情和案例库三个功能模块。其中，事件接入功能模块通过采集多种来源的告警信息，为SOAR系统输入告警事件。事件详情功能模块提供整个事件处置过程中的各项关键信息记录，并为安全运营人员进行直观的展示，安全运营人员可以将整个事件处置过程转化成案例，以积累知识和经验。

(3)作战室

作战室提供一套面向安全运营人员的协同化响应处置工具，对应用、剧本和应对措施进行融合。安全运营人员可针对重要案例以聊天运营的方式进行实时沟通与响应处置。作战室贴近实战，可促进团队协作并生成作战报告，以便于安全运营人员进行复盘和经验总结。

三、SOAR系统建设成效

经过约7个月的部署、调试、开发与试运行，厦门国际银行SOAR系统实现了包括运维类、分析研判类和处置类的20个剧本场景，对接14个系统或安全设备，聚焦全局一键封禁IP、终端中毒处置、多源情报聚合查询、弱口令检查通知、阶梯化IP封禁等剧本场景，实现典型场景剧本流程日常运营效率平均提升10倍以上(见表1)。

表1 典型场景剧本流程效率提升情况

在告警方面，SOAR系统可从安全运营中心定期自动获取告警信息，实现告警解析、归并、信息富化，并衔接响应处理流程，完成自动化响应，实现以最小的工作量完成自动化数据处理，从而高效驱动安全运营场景下的告警响应。

在处置方面，SOAR系统通过使用自定义设计的阶梯威胁评分模型进行动态封禁处置，将安全运营精细化展开，替代原来粗犷的应急处置逻辑，不仅更加契合实际业务流程和安全运营逻辑，也展现出了更具弹性的安全策略拓展能力。

在运维方面，SOAR系统通过调用协同办公平台或科技服务台获取输入信息，将重复性高的安全运维工作固化成剧本，实现堡垒机配置、Web应用防火墙配置、安全扫描和基线检查配置、设备巡检等安全运维工作的自动化，将安全运营人员从繁重的重复性工作中释放出来。

在知识管理方面，安全运营人员通过SOAR系统提供的作战室，可进行协作化、流程化调查分析与响应处置。同时，SOAR系统将过程中的各种数据与痕迹信息进行记录、管理和保存并形成案例库，后续还可通过安全运营人员的使用和完善形成知识库。

四、未来展望

厦门国际银行通过引入SOAR技术，突破传统安全运营的效率瓶颈，成功构建了一个高效、智能的安全运营体系，有效应对日益复杂的网络安全威胁，保障了银行业务的安全稳定运行。

未来，厦门国际银行将继续深化SOAR技术的应用，不断探索新的安全运营模式和策略，并持续扩展、集成新的设备能力，推进已有场景流程的迭代，推动新场景流程的开发落地，保持SOAR系统的与时俱进;同时，在运营效能方面，以整体运营报告、日报等形式进行呈现，通过对处置时效和闭环状态的管理，跟踪工作成效，统计人员绩效，挖掘更高的自动化运营能力，展现更全面的运营效果，持续提升安全运营的效率和质量。

本文刊于《中国金融电脑》2024年第9期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。