为响应国家“建设数字中国”号召,紧跟数字化的经济发展的新趋势,慢慢的变多的金融单位都对信息化业务进行了深入布局,随着金融业务的快速拓展,金融数字价值持续升高,与之伴生的网络攻击事件也对金融安全防护体系形成了严峻挑战。因此,传统“堆设备”的网络安全防护理念已不足以应对日益增多、更加隐蔽的攻击手段。
长春农商银行意识到当下网络安全形势的严峻,通过建设体系化的安全防护平台,将现有安全设备与人员能力及实际金融业务场景相融合,在压实网络安全责任主体的同时,进一步解决安全管理与安全技术协同不到位的问题。让安全不止停留在“大屏”上,而是实现安全工作从“给人看”到“给人用”,从合规到实现主动防御、持续起效的转变。在保障金融业务、数据资产安全的同时,实现“主动、持续、可闭环”的安全运营模式的高效落地。
开展安全运营是一个系统化的工作,在实践中,安全运营是指能够调动一切积极因素,将网络安全产品、人员、流程同步统筹,以结果为导向,持续改进、加强管理的动态过程。
因此安全运营工作将围绕日常工作开展的角度,利用长春农商银行现有资源进行安全效益的最大化输出和提升,通过体系化的流程牵引,经过多重分析与实际研判,依据自己业务场景及技术方法,将安全运营建设分为三个阶段,进而达到长治久安的效果。
长春农商银行围绕人员、管理制度、技术方法等方面建立体系,形成工作流程。突出资产发现与管理能力、夯实检测与防御能力,通过安全能力成熟度评估结果,设定清晰的运营目标,为开展常态化运营工作奠定基础。
利用威胁情报平台,将数据可视化、平台化,实现关联分析。建立CMDB库实现资产测绘,告别人工统计、优化资产管理指标,对资产进行丰富化识别、结构化存储。从安全日志到安全事件,实现平台化关联分析、自动化漏洞检测、入库、通知等。逐渐完备各项工作流程,逐步降低日常工作的基础操作,将一部分安全检测工作实现自动化、提升运营工作效率。
通过逐步的提升各项工作的流程化,优化运营指标,从检测自动化阶段到响应自动化的开展。检验测试方面逐步提升资产纳管能力,将资产自动化发现、资产可用性自动监控、资产信息动态更新、资产动态监控通知、建立访问关系与行为的基线。响应方面利用SOAR技术建立安全事件响应平台,实现安全事件稽查。根据实际环境条件可实现半自动或自动化处置工作,通过人机结合,改善提升自动化威胁分析与处置能力。
长春农商银行安全运营中台作为智能安全运营的载体,提供大数据分析能力,进行安全技术落地,结合安全技术实施运营工作,根据运营情况一直在优化中台能力,最终形成以平台、安全技术、安全人员组成的闭环安全运营服务体系,使得整个安全业务流程更规范、专业、安全。充足表现人防加技防的理念,全场景、全生命周期持续为长春农商银行业务提供安全保障。
长春农商银行依据自己安全能力成熟度评估结果,进一步补充运营资源、完善安全架构。运用技术体系、管理体系、运营体系实现指标量化,培养专业安全运营人员,将现有安全产品与专业技能有效结合,考虑安全架构的点、线、面、体,从基础层面、纵深层面、感知层面、智能层面等各个维度全方位增强安全能力,将运营工作推动落实到细节之处。
传统的安全建设中一味地追求防御能力,容易存在外强内虚的现象。在安全运营中,长春农商银行坚持防治结合,充分的发挥资产发现与体系化管理能力、脆弱性检测与防护能力、威胁分析与响应能力、防御策略优化能力,慢慢地增加防御治理,建强常态化安全运营机制。
防:通过攻防对抗全面摸排潜在风险,并持续跟踪威胁发展的新趋势,攻防对抗模型与理念,掌握威胁动态,及时预警通告。
治:通过安全编排与自动化响应(SOAR)技术有效分析处置海量安全事件,并依据预设动作完成自动化响应,以人机结合切实提升治理能力。
长春农商银行于2021年10月份启动网络安全防护平台建设项目,2022年2月完成平台的部署、调试和上线月投产运行,重点功能模块介绍如下。
有效解决了安全设备孤岛式分布,没办法真正协同工作;基于规则识别,产生的海量告警难以处置;安全事件处置碎片化,安全运营效率低下,安全管理人员疲于应付重复、单一的工作要求。
APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在较长时间。攻击者不断收集用户个人信息,持续分析用户行为。利用大量跳板和渗透技术,不达到攻击目的决不罢休。APT攻击预警平台有效解决了传统安全设备,如网络防火墙、IDS、应用防火墙、日志审计等措施难以检测的工作瓶颈。
全面的应用层防护,内置策略实现对资源对象(源/目的区域、源/目的地址、策略、地理信息、服务等)、时间、连接、并发会话等进行实施监控和检测。内置安全引擎(包括IPS、AV、URL过滤、高级威胁防护、WAF、数据过滤、文件过滤、僵木蠕防御、审计、防代理、APT等功能配置)可实现实时监控网络攻击,检测入侵行为,并根据配置对网络攻击进行告警、拦截等,有效保护网络安全。
集合攻击检测、僵木蠕检测、DDoS检测、恶意程序检测、APT检测、WEB安全检测、虚拟沙箱、元数据提取、流量分析等功能,可深度解析网络流量,结合特征匹配、异常行为分析、机器学习、虚拟沙箱等技术,实现迅速、精准识别网络中各种已知和未知网络威胁。
在网络中部署伪装成黑客可能感兴趣的业务主机或数据服务器,并设置大量诱饵,如密码文件、有漏洞的服务等,引诱攻击者发起入侵,从而成功捕获攻击者并研究攻击者的入侵手段,进一步加固真正的网络重要资产,提升安全防护由被动变主动、静态变动态、未知变已知、模糊到精确。
对海量日志实现全面的智能收集、标准化日志展示。满足日志解析能力、关联算法的可维护性及可扩展性,通用的安全事件标准、可配置的内容策略等工作要求。
有效解决针对数据库系统安全审计工作内置报表不全面、不丰富的各项要求,可精准识别拖库、撞库、暴力破解、大流量返回等容易导致数据泄露的安全问题。实现双向审计功能,保证对于数据库的请求和返回全面审计,在数据泄露发生的初始阶段进行告警和遏制。将SQL语句与真正的执行人绑定,业务侧发起的数据库访问追踪溯源更清晰,覆盖本地运维行为的审计,提升审计可见性,杜绝内部违规。分析报表定期发送,全方面了解数据库性能、语句、访问、会话、告警等多方面情况,对于超出基线的行为及时预警,防患于未然。
有效防御已知和未知类型勒索病毒、防御高级威胁全流程攻击,管控全局终端安全态势需求、简单配置、离线升级、补丁管理、流量可视化,构建全方位的主机防护体系。
长春农商银行对安全防护团队的岗位和职能进行明确划分,负责网络安全防护平台的系统运行和管理工作。日常安全运营工作内容有平台管理、互联网暴露面及重要资产梳理、安全数据监控通告、告警研判、渗透测试、攻击样本取证、工具积累、对安全数据和威胁情报发现的事件进行专项处置、漏洞修复、安全策略修复等。通过不同岗位人员之间专业交叉匹配,从而保障运营工作开展的质量。
通过网络安全防护平台建设项目的开展,不断落地各项工作部署,通过技术与管理措施的多方面举措,从而建立健全安全体系与流程。
体系方面,通过优化日常开展运营工作的各环节、各阶段,全面调整和优化“老制度管新技术”的情况,实现动态的、持续的管理制度。解决内部制约机制不完善、检查督导不到位的问题,通过健全的体系,实现安全风险隐患及时识别、快速解决。
流程方面,将资产、业务、威胁三个核心要素紧密围绕,建立资产管理、漏洞管理、事件处置、研判分析、策略管理、威胁建模等流程,通过私有场景设计,打造全域技术方法,使技术与管理同步起效。
长春农商银行最大限度地考虑自我人员培养、技能进阶等方面,通过日常防护以及各重保期间工作的有效循环,逐渐提升人员实战能力,包括;告警分析研判、安全事件取证、攻防工具使用、安全产品配置、安全有关技术等。在各项工作的不断开展中,长春农商银行建立了相关知识库,定期开展专项技能培训,加快突发事件处置响应速度,同时充分增强人防加技防的宗旨。
基于日常运营中积累的已知和最新漏洞信息,如业务系统中WEB应用、数据库、中间件、操作系统等常见漏洞以及漏洞的检测的新方法、修复方法,整理成为漏洞信息库,提高漏洞修复效率,避免由于更新漏洞引起业务故障问题,并可以与知识库相结合提升整体网络安全技术能力。
基于运营中积累的分析研判数据,进行归类整理,输出分析研判手册,整合威胁信息,减少分析负担。最终实现以下目的:
安全运营团队在日常的渗透测试、重要保障工作中,收集整理的攻防工具,汇集积累成工具库。工具库的整理既是一个技术的积累过程,也是技术和工具的学习更新过程。通过攻防工具库的管理,有助于日常安全运营工作达到事半功倍的效果。
基于网络安全防护平台,将日常攻击行为事件、攻击信息,经过人工分析研判处置,转化生成的威胁情报。目的是实现私有“情报内生”,构建内生安全能力,能够辅助安全工作开展。
长春农商银行网络安全防护平台与SOAR技术结合,将常规需要人工进行的固化操作工作,进一步通过自动化实现,使其人员逐渐摆脱繁杂的重复性和固化操作,将时间和精力放在技术分析和研判上,同时最大限度的提升人机结合能力。
利用自动化技术将日常安全运营的工作流程进行编排,将重复性工作内容做自动化处理、将资产数据收集、脆弱性管理工作进行统一编排,工作效率可提升60%以上。
长春农商银行在信息化建设初期,主要是依靠部署各类基础的安全设备实现网络安全防护,但在安全架构中面对品类繁杂、相互独立、难以共享数据的大量安全设备,消耗大量的人员时间和精力,却难以在整体上把握和有效改善网络安全状况。
通过网络安全防护平台建设项目的开展,长春农商银行进一步整合了资源,提升了多方面能力和效率,将以往安全工作开展难点和痛点进行改善、消除。同时奠定人防加技防的宗旨,切实提升安全防治结合的能力,使长春农商银行安全工作达到在实中严、在严中优、在优中精的目标。