三维一体——基于信创环境的安全运营落地实践|大湾区金融安全专刊·安全村
2024-9-20 18:13:0 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

引言
数字化转型和信息技术应用创新作为国家两大重要战略,加快了证券行业的数字化应用进程和信创改造的深度覆盖,使得证券机构需在信创环境中通过移动应用、云计算、大数据、人工智能、区块链、微服务等前沿技术构建承载核心业务的系统及安全能力,提升服务水平。但信创环境和新技术自身会引入新的安全风险,对证券机构传统安全架构造成冲击;与此同时,外部网络攻击态势呈现出高度复杂和多样化的特点,网络攻击手段不断创新和精准,零日漏洞、国产化产品漏洞、APT攻击、恶意软件、僵尸网络、社工等攻击手段对证券机构的业务和数据安全构成严重威胁。
在日益严峻的外部环境和监管要求下,网络安全基础设施建设逐步被信创环境覆盖;网络安全体系建设亦逐步从静态防御向体系化、常态化和实战化方向发展。其中网络安全运营工作就是通过制定安全管理流程,统一协调安全人员、使用安全技术,对公司面临的安全风险进行预警、识别、保护、检测、响应。本文结合安全运营工作实践,介绍中金公司在信创环境下标准化、数字化、自动化网络安全运营体系的落地实践。
一、证券机构网络安全运营建设趋势
证券机构最初的网络安全工作,大都是以达成证券行业监管要求为主要和基础的目标,如安全管理部门会围绕《证券期货业信息安全保障管理办法》来构建安全组织架构,形成安全管理制度和流程等。且随着网络安全法、等级保护制度的实施落地,这两项网安普适性法律法规已对证券机构网络安全建设产生重要且实质性的影响,目前多数证券机构已完成合规建设和基础安全体系搭建,正步入深耕细作、建设与运营并重的新阶段。
网络安全运营建设可以帮助证券机构将安全管理制度、安全人员与安全技术进行高效聚合,实现更为主动、快速、贯穿全局的防御能力。因此,国家和监管单位对证券机构的网络安全运营建设工作指出了一系列发展方向:
  • 2016年,习总书记在“4·19”网络安全和信息化工作座谈会上指出需要“全天候全方位感知网络安全态势”,增强网络安全防御能力和威慑能力,提升网络安全运营能力;

  • 2019年发布的《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》中也强调信息安全不是单纯的依靠安全设备这样点、面式的安全防御,而是需要结合灵活有效的安全策略、专业安全人员、分类管控的集中平台,进行全方面立体、以安全为结果导向的持续性的安全建设;

  • 2022年发布的《GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》中提出面向实战的安全防护体系,企业需建设基于资产的全面自动化智能管理措施,结合网络安全威胁情报,开展威胁分析和态势研判,及时发现资产面临的威胁和风险,并且包括监测预警、信息通报、检测评估、应急处置等各项工作机制的建立。

再进一步下沉到细分的证券行业领域:
  • 2023年1月17日证监会发布的《证券期货业网络和信息安全管理办法》明确证券机构需具备安全漏洞、网络安全事件等信息安全应急处置能力和机制,同时发展网络和信息安全技术创新与应用,增强自主可控能力

  • 2023年6月9日中国证券业协会发布的《证券公司网络和信息安全三年提升计划(2023-2025)》提出证券机构需提高核心系统自主掌控能力,并通过深化漏洞全生命周期管控,建立完善的应急处置制度、流程和预案,明确组织保障和协同机制,持续加强网络安全态势感知和通报预警能力,以健全网络和信息安全防护体系;

  • 证监会在2023年10月23日发布了《证券期货业信息安全运营管理指南》指出了证券机构关于信息安全运营管理过程中基础安全、信息资产、漏洞、开发安全、数据安全等方面的管理思路和方法,同时给出了各管理域的度量指标以及行业最佳实践。

在证券行业不断加强的安全运营建设和自主可控要求背景下,结合愈发复杂的攻击技术压力,证券机构的安全运营也自发进行着持续演进。在中金公司视角来看,安全运营体系演进正按照从被动运营到主动运营,再迈向敏捷运营的方向演进;安全运营技术底座正在从非信创组件到关键组件信创适配,最终迈向全栈信创适配。

二、中金公司安全运营体系建设挑战及思路
近年来,随着公司数字化转型和信创改造加速推进,面对愈发复杂的业务和办公系统环境,为进一步提升安全防护和自主可控能力,公司正逐步推进信创环境下的安全体系建设,突破信创安全产品在性能,兼容性,稳定性等多个方面的技术挑战,在多个重点区域部署了各类信创安全防护设备,形成信创环境下的纵深防御体系,有效应对日趋频繁的攻击事件。
但同时公司安全运营的压力逐步增大:一是信创和非信创安全产品的综合运营管理;二是当前网络安全纵深防御体系虽然已经建立,但处于“各自为战”的状态,各类安全之间的告警信息未能集中汇总发挥联动分析的能力;三是安全成效高要求导致安全建设成本投入高,日常工作任务繁忙,常态化网络安全风险监测、跟踪及预防工作频率低;四是传统安全防护中过程不可见和结果不可控,缺乏可跟踪、可追溯有效手段。
基于以上挑战,中金公司建立了一套基于信创环境的安全运营体系,梳理明确安全运营流程,整合多源安全设备能力,使安全运营工作能够高效流转,并以数字化方式呈现安全运营成效。安全运营体系的建设主要依托安全运营管理中心作为技术支撑平台,促进安全管理体系、安全技术和安全运营流程的落地实践,全面提升对安全威胁、事件的防范和应对能力。
中金公司以法律法规和监管要求为指导、以公司安全数据为基础、以“人+平台+流程”的运营理念为核心,基于信创基础设施底座,搭建安全运营管理中心,通过关联分析、基线学习、可视交互、安全引擎等技术手段,将攻防经验和业务场景融合,深度感知用户网络空间风险发生的时序关系,帮助公司实现资产脆弱性的持续运营、从海量的情报数据中实现安全风险的有效管控、从海量的安全设备告警中发现有价值的安全事件并及时研判和响应、安全威胁的快速处置和恢复,从事前预警、事中处置、事后回溯等各阶段全面掌控网络安全风险,同时借助BAS安全有效性验证的攻击能力持续验证防护能力和相应策略,持续强化自身的攻击能力,做到更敏捷的攻防相长“内循环”,构建公司安全闭环的运营管理机制,实现数字化敏捷安全运营,进而保障公司的网络安全和业务连续性。
三、“三维一体”——资产、漏洞、事件安全运营实践
中金公司基于上述持续安全运营理念,设计并实践了基于信创环境的“三维一体”的安全运营体系,即通过一个安全运营体系对威胁、资产、漏洞三个维度进行标准化、数字化、自动化的全生命周期运营管理。
安全运营管理平台落地建设
中金公司在信创基础设施底层下搭建安全运营管理中心,通过综合多源安全数据提供企业安全状况的度量展示,通过设计场景化检测模型提高安全检测的深度及广度,通过事件、资产、漏洞、情报等模块建设提升安全时间发现、定位及处置效率,通过对接内部系统、SOAR自动化响应和BAS安全有效性验证等实现安全运营工作的数字化流转及安全运营能力的敏捷闭环,最终实现摸清家底、认清风险、聚合分析、实时监测、找出漏洞、解决问题。
图1 安全运营管理中心体系架构
平台建设思路主要分为以下四步:
  1. 底层&安全能力信创化:平台底层采用海光CPU+银河麒麟操作系统技术路线,在“高性能、高开放、可迭代”的总体设计下,采用先进成熟的大数据组件,坚持高性能、可集群的目标构造底层架构,坚持开放性、自定义的原则建设平台应用。同时健全信创环境纵深防御体系,安全数据来源的安全设备均采用信创架构,加速推进公司信创改造进程。
  2. 分期建设:安全运营管理中心建设的工作量大、涉及面广、部门协调较多,在建设过程中采用分阶段多期建设的方式,按阶段设立明确具体的目标,由简及繁,从易到难:如完成基本日志采集后就可以进行场景分析模型设计、告警监控后逐步基于场景补充日志和情报等,迭代提升告警准确性;再进一步融入资产和漏洞等功能,最后补充安全度量和SOAR实现安全运营工作数字化和自动化。
  3. 场景化分析模型设计:安全运营管理中心的核心在于场景化分析模型的设计,通过聚合分析更多的信息来减少不必要的告警,并发现更隐蔽的攻击或恶意行为。在场景化检测模型设计时从两方面出发,一是提炼消除,例如无实质影响的僵尸网络扫描、爬虫等,可从时间、频次、范围等维度设定规则,通过关联归并等,结合威胁情报对其封禁,消除大部分的无效告警;二是关联深挖,结合“攻击链”ATT&CK等在攻击的多个阶段设置检测点,建立关联分析模型,提升告警准确性。
  4. 持续安全运营:安全运营工作本质是将传统的安全工作更加标准化、数字化、自动化,中金公司为实现敏捷运营的目标,引入了BAS安全有效性验证系统形成安全度量体系,通过攻击持续验证防护能力,以持续改进防护策略,再通过持续强化BAS攻击技术形成螺旋上升的迭代优化闭环。通过安全运营管理平台为安全运营提供技术支撑和抓手,平台建设中各类日志的收集场景模型的设计、统计指标的展示都是在不断促进安全运营成熟度的提升;通过采取以攻量防、可用性监控、关联分析研判、威胁情报引入、资产漏洞匹配及安全编排与自动化响应等技术措施,一方面提高设备及规则的有效性,另一方面也提升了告警准确性和安全运营的整体效率。
威胁全生命周期安全运营
“聚合分析,实时监测”——在事中有效对网络安全事件进行及时监测预警是网络安全运营的核心目标。中金公司安全运营管理中心采用白盒化关联分析技术,对多源安全数据进行集中分析,通过内置的实时流式分析引擎、离线周期分析引擎、自然语境构建引擎,综合考虑攻击链路(侦察、入侵、载荷投递、命令与控制、内网横向、目标达成)、攻击方向(外对内、内对内、内对外)、告警时序分析、特定关注场景(代理隧道、挖矿、远程连接工具等)、基于异常行为和特征、事件处置优先级(P0-P3)等多个维度构建关联分析场景,快速获取风险分析能力,通过对接威胁情报平台,为安全运营管理中心赋能威胁狩猎能力,高效应对不断迭代的风险问题,输出高可信告警内容。针对不同类型安全事件,不同安全场景,结合复杂嵌套筛选匹配、统计聚合、多源校验、多表join、UEBA、函数定义及语句编排等白盒化技术,提供图形化的灵活分析策略配置能力。如针对勒索攻击场景的攻击特征构建针对性的关联分析规则,以WannaCry勒索攻击检测为例:
  1. WannaCry通常利用EternalBlue漏洞→关联分析规则A:目标主机为存在EternalBlue漏洞,还未修复的主机。

  2. WannaCry通常发起针对SMB协议攻击→关联分析规则B:全检测流量中,包含SMB协议访问的流量日志。

  3. WannaCry攻击会有一些常用的攻击IP或者域名→关联分析规则C:对检测结果匹配威胁情报中WannaCry相关的地址情报。

  4. WannaCry攻击会有大量的连接尝试和异常文件传输行为→关联分析D:通过全流量和防火墙,关联基于相关异常行为的安全告警。

针对A、B、C、D四项分析规则,通过嵌套匹配&时序分析的技术组合检测逻辑,将多源日志中勒索病毒的攻击特征进行关联,提高勒索病毒的发现能力及事件告警精确度,根据事件造成的影响,将处置优先级设为P0(最高级)。
同时引入SOAR自动化编排响应技术,通过已有安全事件在调查和处置过程中的经验,形成定制化剧本编排预案,将安全分析、响应、处置、报告,固化为自动化脚本,对日常安全告警处置和安全事件响应流程进行自动化编排,目前已覆盖告警研判、响应处置、协同联动、策略更新等多个场景,根据威胁事件匹配资产、情报和漏洞等信息,确认相关责任方,辅助支持事件研判、处置,派发整改任务及工单并通知相关方,同时记录事件的整体处理过程,形成事件闭环处理机制。有效缩短平均检测和响应时间,提供安全运营效率。
图2 威胁闭环运营流程
资产全生命周期安全运营
“摸清家底,认清风险”——做好资产安全信息管理是安全运营的第一步也是最重要的一步。安全运营管理中心通过与资产发现工具、漏洞管理平台、CMDB等资产数据进行对接、建立完整的风险资产档案,自动识别采集信息实时更新资产数据,保证资产信息的良好可用性。中金公司在风险资产运营中,通过对多维资产数据聚合分析,实现从业务等不同资产视角对资产进行风险评估,形成以“未知资产”、“存在漏洞的已知资产”、“威胁告警关联的资产”、“核心系统未部署安全防护能力的资产”等维度为主体的风险资产清单。
图3 风险资产闭环运营流程
为进一步提升风险资产处置效率,中金公司采用了风险资产评估层次模型,从基本度量组、时间度量组和环境度量组三各维度对资产脆弱性要素进行量化计算。同时将资产量化数据与安全事件、漏洞事件关联,进而能够支撑资产漏洞识别与处置优先级,辅助安全风险与事件处置,并全程跟踪处置情况,实现对资产全生命周期的闭环管理。
漏洞全生命周期安全运营
“找出漏洞,解决问题”——面向全量资产的持续风险识别和处置闭环是安全运营的重要组成部分。通过资产脆弱性管理平台与漏扫工具进行对接,实现对多源漏洞数据和工具进行统一管理和策略配置,建立以资产安全为核心,数据为驱动的资产脆弱性运营技术支撑平台。在漏洞运营工作中,完成所有漏洞的修复是不现实的,中金公司为了动态地将需要修复的漏洞进行优先级排序和流程优化,引入VPT(“Vulnerability prioritization technology”漏洞优先级技术)。VPT的优先级计算和判断需要用到多种属性(FAIR因子),如资产权重、漏洞风险权重、漏洞生命周期状态、网络访问状态、外部情报关联等核心因子,根据属性因子权重计算出的风险值的范围配置修复优先级,可配置定量评估(因子权重值计算评估)及定性评估(因子组合关系评估),最终输出贴合中金公司的漏洞修复清单,提高修复效率。
同时进一步对接安全运营管理中心,进行数据同步,加强漏洞可视化能力,统计不同维度的漏洞综合数据,包括但不限于漏洞总体数量、漏洞级别、网络类型、应用环境、出现原因、组织单位、漏洞来源、漏洞发现类型、未逾期及逾期未修复漏洞数量统计、平均修复时长等,为漏洞安全运营提供流程效率和数据支撑。
图4 漏洞管理闭环运营流程
四、回顾与展望
随着中金公司数字化转型和信创改造不断深入,为了更好的护航公司业务蓬勃发展,中金公司信息技术部安全团队从人员队伍、技术平台和运营机制等方面加强能力建设,落实安全运营主体责任。中金公司作为国有控股金融企业,肩负着维护国家金融安全和人民群众切身利益的重任,维护网络安全责无旁贷,中金公司将打造专业安全赋能团队、推进信创环境安全防御体系建设、建立标准化数字化自动化运营流程,作为加强安全运营的三项重要工作,在信创环境的信息基础设施实际运营保障中体系化推进。

中金公司认识到安全运营工作需要在深度和广度上进一步拓展。在深度上,借助人工智能、LLM、机器学习等技术实现感知能力和处置效率的进一步提升;在广度上,希望与监管机构、同业以及安全厂商强化安全协同,共同应对新的网络安全问题。

  1. 持续强化安全运营能力,网络安全没有终点,中金公司将在自动化和智能化方面进一步强化运营能力。在自动化方面,利用安全设备API功能,结合SOAR能力进一步丰富安全自动化剧本,提升处置效率;在智能化方面,引入LLM大语言模型技术和GPT智能技术,安全运营人员可以使用自然语言与安全系统沟通,并调用各类基础安全工具,极大地简化和加速日常工作流程,解放安全人员一部分的生产力,实现安全运营体系从自动化迈向智能化。

  2. 向全栈信创安全运营迈进,推进安全产品信创全覆盖,在安全运营平台CPU和操作系统信创环境基础上,将数据库等组件均实现信创改造,并稳定高效运行。

  3. 携手共建安全生态,网络安全不能独善其身、各自为政,各证券机构信息基础设施安全保障需要国家、行业、机构层面一起合力。中金公司将与监管机构、同业以及安全厂商,携手共建互联网金融安全生态圈,共筑网络安全屏障。

作者:

作者介绍

林涛&王迪&朱春龙,中金公司。
关于 大湾区金融安全专刊
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。

文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDA2NDk5OQ==&mid=2651388266&idx=2&sn=82b5a560b28257d820a622062ac6d662&chksm=8d3988e2ba4e01f4222df8b146a5103ddbe52e6f307cfc38c3b00610ed80248a236776f65819&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh