蘇州銀行信息科技部副總經(jīng)理蔡亞新

沒有網(wǎng)絡(luò)安全就沒有國家安全。我國高度重視網(wǎng)絡(luò)安全工作，已將網(wǎng)絡(luò)安全上升至國家戰(zhàn)略層面。近年來，網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法等法律法規(guī)陸續(xù)出臺，各類監(jiān)管要求持續(xù)提高，常態(tài)化風險防控成為金融業(yè)務(wù)開展的必要條件。

隨著信息化建設(shè)的飛速發(fā)展，云計算、大數(shù)據(jù)、生物識別、人工智能等技術(shù)與金融業(yè)務(wù)深度融合，在推動銀行業(yè)務(wù)創(chuàng)新、服務(wù)效率提升的同時，也使網(wǎng)絡(luò)安全風險的形態(tài)、路徑和邊界發(fā)生了巨大變化，最終使中小銀行網(wǎng)絡(luò)安全的管理難度持續(xù)提升。

【資料圖】

作為蘇州本土唯一一家法人城商行，蘇州銀行歷來高度重視網(wǎng)絡(luò)安全工作，積極貫徹國家網(wǎng)絡(luò)安全戰(zhàn)略，探索建立自動化網(wǎng)絡(luò)安全運營體系，切實踐行網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理要求。

一、蘇州銀行自動化網(wǎng)絡(luò)安全運營體系建設(shè)背景

近年來，蘇州銀行持續(xù)從安全管理、終端安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面優(yōu)化信息安全建設(shè)路線，在各層級建立了較完善的信息安全防護框架，構(gòu)建了具備抗DDOS攻擊防護、網(wǎng)絡(luò)入侵監(jiān)測防護、Web應(yīng)用防護、主機安全防護、攻擊誘捕溯源等能力的多縱深立體化安全技術(shù)防護體系，可有效識別并攔截絕大部分互聯(lián)網(wǎng)惡意攻擊行為。但伴隨網(wǎng)絡(luò)攻擊工具、攻擊手法的不斷升級，特種木馬、0day漏洞、水坑攻擊、釣魚攻擊、APT攻擊等新型攻擊手段層出不窮，通過安全設(shè)備和殺毒軟件進行防護和事后處理的模式已無法完全滿足安全運營的需求。

在傳統(tǒng)安全運營中，受限于人才儲備不足、技術(shù)能力有限等客觀因素，中小銀行安全團隊在識別隱蔽復(fù)雜攻擊的及時性和有效性上存在不足，無法有效滿足7×24小時的預(yù)警要求,同時事件監(jiān)測、響應(yīng)與遏制均由人工操作，工作效率也成為安全事件處理的瓶頸。

基于當前的網(wǎng)絡(luò)安全痛點，結(jié)合2022年原銀保監(jiān)會下發(fā)的《關(guān)于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》有關(guān)“強化網(wǎng)絡(luò)安全防護”的整體要求，蘇州銀行建立了基于安全編排自動化與響應(yīng)(SOAR)的網(wǎng)絡(luò)安全運營平臺，旨在全面提升網(wǎng)絡(luò)安全事件的分析研判和預(yù)防處置水平。

二、蘇州銀行自動化網(wǎng)絡(luò)安全運營探索與實踐

1.SOAR成為安全運營新趨勢

SOAR的目標是將安全編排和自動化(SOA)、安全事件響應(yīng)(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中，實現(xiàn)事件響應(yīng)、安全自動化、場景管理的融合，支持進行多種類設(shè)備協(xié)調(diào)和威脅處置決策。Gartner分別在2020年和2022年發(fā)表《SOAR市場應(yīng)用指南》報告，詳細分析了SOAR的市場發(fā)展情況并給出相關(guān)建議，評估SOAR如何提升政企組織的安全運營能力。

SOAR憑借自身特點和優(yōu)勢，正在成為中小銀行關(guān)注的焦點。分析機構(gòu)Forrester認為，SOAR是一種將跨安全和業(yè)務(wù)生態(tài)系統(tǒng)的第三方工具集成在一起的自動化技術(shù)，可實現(xiàn)對安全事件的分診、協(xié)調(diào)，并采取基于劇本的協(xié)同行動。SOAR的目標是讓安全運營更快、減少出錯幾率，并且更加高效。SOAR在網(wǎng)絡(luò)安全運營領(lǐng)域具有以下三大優(yōu)勢：

一是通過流程優(yōu)化，釋放人力資源。銀行機構(gòu)通過流程化的方式將解決方案自動生成事件，應(yīng)用SOAR進行智能分析，將事件中重復(fù)、常規(guī)的部分交由機器完成，從而縮短安全人員在數(shù)據(jù)收集上消耗的時間，使其集中更多精力投入到調(diào)查和響應(yīng)事件中去。

二是加強人機融合，增強安防能力。銀行機構(gòu)將人工智能技術(shù)引入自動化編排中，可使人員、流程、技術(shù)無縫融合，實現(xiàn)劇本與流程的整合以及安全技術(shù)與安全人員的整合，從而大大縮短響應(yīng)時間，增強企業(yè)的網(wǎng)絡(luò)攻防實戰(zhàn)能力。

三是智能化編排，滿足合規(guī)要求。銀行機構(gòu)通過豐富的模型編排算法優(yōu)化與場景設(shè)置，可對安全事件做出高效的發(fā)掘和應(yīng)對，同時使數(shù)據(jù)保護滿足多場景應(yīng)用，大大提升安全入侵檢測處置能力，滿足法律法規(guī)要求。

2.蘇州銀行自動化網(wǎng)絡(luò)安全運營建設(shè)

在安全運營流程方面，蘇州銀行已經(jīng)建立起有效應(yīng)對數(shù)字化轉(zhuǎn)型的網(wǎng)絡(luò)安全運營體系，并完整覆蓋威脅管理的檢測、研判、溯源和響應(yīng)四個階段；基于SOAR建立了自動化安全響應(yīng)分析運營平臺，實現(xiàn)了實時數(shù)據(jù)的關(guān)聯(lián)分析及歷史數(shù)據(jù)的關(guān)聯(lián)檢索，可幫助安全運營團隊實現(xiàn)自動閉環(huán)研判和溯源，從整體上提升了網(wǎng)絡(luò)安全運營效率，為數(shù)字化轉(zhuǎn)型戰(zhàn)略的順利實施提供了可靠的保障。

在自動化安全分析方面，蘇州銀行已經(jīng)實現(xiàn)自動化安全響應(yīng)分析運營平臺與統(tǒng)一日志平臺、一體化運維管理平臺、處置平臺的安全聯(lián)動，將網(wǎng)絡(luò)攻擊鏈和ATT&CK安全攻防模型相結(jié)合，自主設(shè)計基于時間序列、行為、簽名和統(tǒng)計分析的威脅分析框架與知識模型，有效覆蓋網(wǎng)絡(luò)攻擊、信息泄露、違規(guī)操作、業(yè)務(wù)風險等信息安全領(lǐng)域，并引入可視化工具輔助人工分析，深度挖掘APT等高級持續(xù)攻擊風險事件；同時，利用精確日志數(shù)據(jù)字段內(nèi)容、多標簽告警抑制及基于時間序列、資產(chǎn)關(guān)聯(lián)和異常行為標簽的相似度關(guān)聯(lián)告警分析策略，有效壓縮安全告警數(shù)量，聚焦安全運營分析處置。

在自動化安全響應(yīng)方面，蘇州銀行構(gòu)建基于SOAR的劇本引擎，建立反入侵知識庫和資產(chǎn)庫，通過自動化安全處置操作，有效縮短平均檢測和響應(yīng)時間，使入侵檢測時間從小時級壓縮至分鐘級，實現(xiàn)了對海量告警事件的研判分析和主動防御，以及流程重塑能力、風險控制能力和運營效率的提升。

3.蘇州銀行自動化網(wǎng)絡(luò)安全創(chuàng)新實踐

(1)攻擊路徑可視溯源

在日常安全運營工作中，面對龐大的系統(tǒng)和業(yè)務(wù)，網(wǎng)絡(luò)拓撲往往會比較復(fù)雜。安全設(shè)備告警中的受害資產(chǎn)IP一般為虛擬IP，在對受害資產(chǎn)采取進一步應(yīng)急響應(yīng)措施時，安全專家需要花費大量時間根據(jù)虛擬IP層層查找定位真實IP，這無疑大大降低了安全事件的平均修復(fù)時效。

為解決這一問題，蘇州銀行建立了虛擬IP地址管理模塊，通過進行攻擊路徑可視化管理，可自動分析出網(wǎng)絡(luò)拓撲結(jié)構(gòu)，同時通過溯源引擎關(guān)聯(lián)資產(chǎn)、網(wǎng)絡(luò)、告警、情報四大因素，支持對完整的攻擊事件進行回溯，使安全人員可以清楚地看到攻擊者通過何種方式侵入內(nèi)網(wǎng)，如何橫向移動，形成完整的攻擊路徑拓撲視圖(如圖1所示)。

圖1 攻擊路徑拓撲視圖

(2)全面攻擊者畫像概覽

在日常安全運營中，對IP告警的分析和處置是最常見的場景，但單純分析IP地址本身無法確定是定向攻擊還是隨機掃描，是初始攻擊還是攻擊后利用。攻擊者攻擊手法的多樣性使銀行機構(gòu)無法有效追蹤攻擊者、排查攻擊者的意圖、明確攻擊者的范圍。

為此，蘇州銀行構(gòu)建了關(guān)聯(lián)分析引擎、溯源引擎，并結(jié)合第三方威脅情報最大化收集攻擊者信息，通過大數(shù)據(jù)進行篩選和挖掘，分析攻擊者來源、攻擊手段、攻擊特征與攻擊目標，并運用自動化取證技術(shù)辨別攻擊者是否采用跳板，利用溯源引擎還原真實攻擊路徑、歷史活動軌跡和活躍程度、攻擊包詳情等細節(jié)，將IP信譽情報全面升級為攻擊者畫像，從而在發(fā)現(xiàn)惡意IP發(fā)起攻擊時，可有針對性地排查內(nèi)容安全隱患，并在真實攻擊發(fā)生前消除安全隱患。當前，溯源引擎可日均分析攻擊者畫像300余條。

(3)從實戰(zhàn)出發(fā)進行調(diào)查取證和自動化處置

蘇州銀行針對掃描攻擊、漏洞利用等實際安全事件場景，通過使用流程編輯器自動進行劇本處置，實現(xiàn)跨分析平臺、運維管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備等多異構(gòu)平臺流程的編輯和資源編排，并將其貫穿于安全分析、封堵處置、事件報告全生命周期，有效提升人工跨專業(yè)設(shè)備的分析效率。安全事件分析模塊將安全專家事件分析、調(diào)查取證工作場景劃分為攻擊檢測劇本、誤報監(jiān)測劇本、研判輔助劇本、溯源分析劇本、處置響應(yīng)劇本五類劇本引擎(如圖2所示)。

圖2 安全事件分析模塊

蘇州銀行利用劇本技術(shù)固化安全專家經(jīng)驗，結(jié)合外部威脅情報、大數(shù)據(jù)分析和SOAR等技術(shù)，實現(xiàn)安全運營的自動化取證、自動化威脅研判、自動化誤報分析、自動化溯源及自動化聯(lián)動處置，提升安全事件分析研判時效150余倍、安全事件處置時效50余倍，構(gòu)建了可知、可見、可控、可持續(xù)提升的安全事件運營能力框架。

三、蘇州銀行網(wǎng)絡(luò)安全工作展望

金融行業(yè)網(wǎng)絡(luò)安全是國家安全的重要組成部分，切實做好網(wǎng)絡(luò)安全工作既是企業(yè)之急，也是企業(yè)之責。未來，蘇州銀行將繼續(xù)圍繞發(fā)展、安全“兩手抓”的戰(zhàn)略要求，堅持安全賦能業(yè)務(wù)，以積極的心態(tài)做好常態(tài)化網(wǎng)絡(luò)安全保障建設(shè)，提供更加優(yōu)質(zhì)、高效和安全的金融服務(wù)。

1.提升網(wǎng)絡(luò)安全智能防護能力

蘇州銀行將持續(xù)加強安全大數(shù)據(jù)積累，建立內(nèi)外部網(wǎng)絡(luò)安全態(tài)勢統(tǒng)一視圖，同時將大數(shù)據(jù)、人工智能、零信任等技術(shù)運用到網(wǎng)絡(luò)安全防護體系中，不斷提升自動化和智能化水平，有效應(yīng)對復(fù)雜、嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)。

2.增強數(shù)據(jù)安全閉環(huán)管理能力

蘇州銀行將深入貫徹落實個人信息保護法、《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等法律法規(guī)，在相關(guān)業(yè)務(wù)流程和日常管理領(lǐng)域進一步優(yōu)化數(shù)據(jù)安全工作機制，探索使用多方安全計算、聯(lián)邦學習等技術(shù)，持續(xù)增強數(shù)據(jù)安全使用的閉環(huán)管理能力。

3.打造安全管控齊防共治能力

蘇州銀行將強化供應(yīng)鏈管理，防范供應(yīng)鏈和生態(tài)圈安全風險；做好新技術(shù)應(yīng)用的風險評估，規(guī)范新技術(shù)使用場景，加強科技創(chuàng)新的風險監(jiān)測與處置；加強與人民銀行、國家金融監(jiān)督管理總局、公安部、網(wǎng)信辦等部門的溝通聯(lián)動，建立科學有效的全鏈條網(wǎng)絡(luò)安全聯(lián)防聯(lián)控機制，構(gòu)建健康穩(wěn)定的網(wǎng)絡(luò)安全長治生態(tài)。

本文刊于《中國金融電腦》2023年第8期

關(guān)鍵詞：

責任編輯：Rex_12