荣获奖项:网络影响力TOP10优秀案例奖
一、项目方案
在数字经济和数字金融的大背景下,金融科技蓬勃发展,人工智能、区块链、大数据、云计算、物联网等信息技术与金融业务深度融合,为金融发展提供不断创新活力,金融服务模式与金融产品形态也随着数字化转型的推进正发生着深刻的变化,金融科技数字化使得金融服务更加便捷化、智能化的同时,也为金融科技安全赋予了全新的内容,为金融科技安全提出了新的挑战,此外,安全管理作为护航数字经济发展的安全基石,需要与银行整体数字化转型保持战略一致,推动自身的数字化转型,实现与业务、IT架构和运营模式的深度融合。
重庆银行一直高度重视网络安全数字化转型工作,自2018年起安全体系逐步由安全建设阶段向安全运营阶段转变,通过网络安全数字化转型的顶层设计,重庆银行决定打造具备敏捷、迭代、弹性、可扩展、一体化、数字化特性的安全中枢,并着手启动了数字化安全运营体系的研究、规划与建设工作,同年安全运营平台正式投入使用。经过不断的迭代完善,已基本实现了“资产清晰化、风险动态化、能力生态化、监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全监管一体化。以此平台为核心,强化了跨机构、跨领域、多层次的安全运营协同能力,为重庆银行信息系统安全、数字化转型提供有力保障。
二、创新点
重庆银行为打好安全基石,有效支撑公司业务数字化转型,从实际情况和当下安全运营最急迫的需求出发,坚持标准型、整体性、实用性、先进性原则开展安全运营数字化建设。打造以传统安全设备为感知,以底层的安全大数据平台为基础,以安全运营平台为中枢,以安全自动化编排与响应为流程快速构建“资产清晰化、风险动态化、能力生态化、监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全监管一体化运营能力。
1.以传统的安全设备为感知,为安全运营提供原始数据支撑
我们经过多年持续的安全建设,完成了安全的纵深防御部署。在网络层部署了防火墙、入侵检测、抗D、蜜罐、异常流量监测等设备,在系统层部署了终端安全管理、防病毒系统、基线漏扫工具,在应用层部署了开发安全规范、web应用防火墙、邮件安全网关、网站防篡改软件等,在数据层部署了数据库审计系统,邮件DLP,终端DLP等,在用户层使用了云桌面、堡垒机等。众多安全设备产生的安全信息在物理上是孤立和分散的,亟需将这些数据进行整合利用。
2.以底层的安全大数据平台为基础,在安全数据层面进行资源整合和安全数据价值发掘
对原始安全数据的采集,我们做的是规范化和尽量结构化,确保来源的数据符合既定的采集规范,在此基础上进行数据标签化、数据补齐以及数据融合。通过打通各系统间产生的安全数据,转化为安全情报,实现单一的安全信息能力转化为自适应安全信息能力。
3.以安全运营平台为中枢
我们的建设目标是将安全运营平台打造成一体化、中心化、智能化的安全运营大脑和神经中枢。综合运用各类智能分析算法和数据挖掘分析技术,实现安全信息处理的自动化和决策方法的科学化,以保障对安全控制设备的高效管理,主要技术是智能分析算法和模型及其实现。
4.以安全自动化编排与响应为流程
通过集成编排、自动化与信息共享手段,整合安全工具资源,并借助自动化工具实现标准化的检测、分析和响应流程。通过关注监测、分析、响应的流程标准化和处理时效性,提升整体运营能力。
三、技术实现特点及路径
重庆银行结合行内的实际情况,安全运营数字化转型主要抓手是安全运营平台,在数字化转型中进行了以下几个方面的尝试。一是在数据的使用上,采用新型技术对采集到的安全信息进行处理和利用;二是在安全事件处置流程的标准化,上安全运营平台与工单系统进行了对接,实现了安全编排与自动化响应;三是实现了资产的数字化管理;四是在威胁的分析上使用了基于情境与行为的关联分析技术;五是威胁情报的共享。
1.安全数据的采集与有效利用
企业数字化转型的关键是数据,安全管理的关键也是安全数据的分析和利用。重庆银行安全运营平台作为安全中枢,通过对接网络中的各类安全设备、子系统、安全数据源来获取影响网络环境安全态势的各类全量安全要素信息,包括系统日志类、攻击类告警、对象弱点类信息、系统运行类信息、网络流量类、资产信息类信息以及外部威胁情报信息。平台每天采集到的安全信息有1亿余条,在数据采集的基础上进行统一的实时监控与历史溯源分析,并以标准化流程对安全风险与安全事件进行研判、处置与跟踪,通过关注资产、威胁、脆弱性的安全监测覆盖率与事件检出率,来提升SOC的整体运营能力。
在数据存储技术上融合业界主流的大数据技术,并采用新一代分布式计算技术架构和非关系型数据库技术——THDB数据库,THDB数据库具有分布式、全文索引、水平弹性扩展、实时格式化数据搜索和原始数据关键字全文搜索、高可靠性等特点,结合SQL、NewSQL和NoSQL技术,实现对多元、异构、海量安全数据的高效采集检索、可靠存储和负责计算。通过构建THStore体系,减少模块的耦合,形成高内聚,低耦合的货架式功能APP,从底层技术架构层面解决海量资产,数据分权分域,以及高性能日志处理问题。
2.基于情境与行为的关联分析
由于厂商产品间的数据壁垒,加上安全基础数据有着大量、复杂、零散的特征,传统的基于规则的关联分析严重依赖规则库的质量与数量,存在噪音大,误报率高,检出率低等不足,我们在基于规则的关联分析的基础上,加入了基于情境与行为的关联分析。
基于情境的关联分析是将日志与当前网络和业务的实际运行环境进行关联,透过更广泛的信息相关性分析,识别安全威胁。目前我行支持基于资产、弱点、威胁情报、网络告警等情境的关联分析。
基于行为的关联分析是基于异常检测的主动分析模式,它并不是基于静态的关联规则,而是建立被观测对象正常基准行为,通过对实时活动与基准行为的对比来揭示可疑的攻击活动。事件行为分析可以智能发现隐藏的攻击行为,加速确定没有签名的威胁,减少管理人员必须调查的事故数量。我们采用了动态基线与预测分析两种基于行为的关联分析。动态基线技术采用了周期性基线分析的方法。周期性基线根据历史数据计算得出,通常是一个单周期数据库轮廓线。这条曲线由若干数据轮廓点组成。每个轮廓点代表一个采样时点。一个新的实际测量值如果没有超过基线范围,则通过加权平均算法更新旧的轮廓值。
如果新的实际测量值超过基线范围则丢弃,不参与新轮廓值计算。如此往复循环,基线始终处于动态变化中。预测分析技术:采用了基于时间窗置信区间的检测模型和方法。可以在实际运行中不断自我调整和逼近,自动剔除历史时间窗内的异常历史数据,实现历史时间窗数据与网络实际正常流量行为特征的高度吻合,从而提高了对异常行为报警的准确性。
从使用效果来看,基于情境和行为的关联分析技术的运用可有效解决复杂与未知场景下的安全数据和指标分析需求,大幅提升安全运营的分析深度。
3.高度自动化与智能化的响应能力
为解决传统安全运营响应不及时、安全运营流程数字化管理问题,重庆银行采用了安全编排与自动化响应SOAR技术以及工单管理和预警管理技术。
平台与工单系统进行了对接且使用了安全编排与自动化响应(SOAR)技术。通过工单系统,有助于协助利用标准化、流程化、自动化的方式来处理安全问题;通过数字化的工作流定义事件分析和响应过程,实现自动化的进行事件分析和优先级排序,可在面临威胁时提供预测、防御、检测和响应能力。
(1)安全编排自动化与响应能力
编排的元素包含了人工操作与自动化执行两部分,编排的结果是一系列的Playbook(预案)。Playbook执行中可以使用类似工单的技术驱动责任人与状态的流转,执行结果可以保存为知识库、案例库;
其中的人工操作包括但不限于:安全事件的鉴别、调查取证、响应处置、判断决策;
其中的自动化执行包括但不限于:通过与外部设备/系统的集成,自动化完成安全事件上下文丰富化、持续追踪、联动处置。
我们根据不同场景将剧本分为分析调查类、运维支持类、应急响应类。剧本编排和自动化响应功能最大程度的将已有安全技术进行整合。剧本除了来应对日常的运营处置工作,在面对突发的安全事件时,自动化编排与响应模块能够通过现网设备实现批量下发安全策略,快速对安全威胁进行有效隔离控制,通过封堵/解封,黑名单/白名单动作列表以及一键响应列表记录的查询,提升日常运营工作的自动化处置能力,降低运营团队在处理繁琐单调工作的失误率。
(2)工单管理能力
系统支持手动生产工单,也可由安全事件和告警触发一次性工单,派发给指定的处理人。工单处理人在接收到工单后可以记录工单的流转信息和状态信息。管理员可以查看所有的工单及其流转的全过程,能够对工单的数量、状态(处理情况)等进行统计分析。
(3)预警管理能力
平台提供通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个状态。
从目前效果来看,运用安全运营平台的编排与自动化基础服务,将安全专家经验固化成剧本,使经验不断积累避免能力断层,同时可有效降低响应时间,减少日常安全运营活动中流程动作执行的复杂度,减少不必要的人机交互释放人力,使得安全运营流程标准化,运营流程可度量化。
4.资产的数字化管理
随着重庆银行数字化进程的不断推进,IT基础设施和数据资产不断增多,由此增加了资产管理难度、增加了资产不清、风险边界不明的风险,我们将安全运营平台与资产与漏洞管理系统相结合,持续提升数字技术与资产管理的融合发展水平,实现数字化资产管理的目标。
重庆银行安全运营平台通过感知流量日志资产、主动发现资产以及与CMDB和资产与漏洞管理平台同步等多种方式来识别和梳理资产及业务对象。资产会根据安全域IP段设置情况自动分配到对应的安全域,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。每个安全域具有基本相同的安全特性,如安全级别、安全威胁、风险等,依据这些特性,将资产纳管到不同的安全域中,实施不同的安全保护。通过安全域级别、告警数量,日志数量,风险值指标值,脆弱性等计算资产的安全评分实现资产的画像。
在资产发现及安全对象信息维护的基础上,资产感知也会融合平台所收集的各类攻击威胁信息和脆弱性信息,形成被保护资产及业务对象视角的安全态势,可从资产类型、安全域、业务系统三个角度呈现安全态势。
5.网络威胁情报共享
在全国乃至全球范围内,因为生产网络威胁情报的组织单凭一己之力无法获取到足够多的相关信息,感知威胁存在着局限性。因此,威胁情报共享被广泛采纳。目前,重庆银行安全运营管理中心平台已建立起与人行的威胁情报共享机制,安全信息格式标准统一,标准能自动化处理威胁信息,减少沟通中的误解,大大提升安全研究人员共享威胁情报的效率和准确率。
四、运营情况及项目成效
经过多次迭代升级,重庆银行数字化安全运营团队已为重庆银行的安全运营数字化转型提供了有效的助力。至今,团队已完成行内20余个安全基础数据源的整合,实现了对全行近5000主机、300多个应用、数万级账号的安全资产全局建模,以及对单一资产实体的自动化风险评分与风险预警。
在安全运营支撑层面,安全运营中心已实现日均2千万条原始告警的自动化过滤、合并、情报匹配和资产关联,告警过滤收敛率超 99%,有效情报命中率近40%。同时,借助积累沉淀的130多条告警过滤规则,50多项自定义告警模型,60多个自定义风险场景,近25个编排剧本和59个资产实体模型,大幅提升安全运营自动化效率,在有限人力条件下将MTTD(平均检测时间)、MTTA(平均确认时间)、MTTR(平均恢复时间)均提升至小时级。
同时,在运营闭环管理层面,通过基于数据、流程和工具的安全内嵌,以及与运维、研发团队核心中后台的数据、功能融合,中心已成为重庆银行内部安全闭环管控的基础能力输出平台,在数据安全治理、流程安全卡点、资产安全治理、等方面都已深度介入,推动相关领域的数据化、线上化、自动化和平台化转型。
此外,通过安全运营中心的深度应用与推广,在安全团队与科技部其他职能中心协同过程中,我们成功营造了“以数据说话”的工作氛围,着重建立了以数据为基础的风险发现、风险跟踪和整改效果反馈机制,推动了数据透明化、场景明确化、风险可视化、效果清晰化的管理协同“四化”落地,在多个安全创新技术领域积累了丰富的实战经验,创出了有重庆银行特色的安全运营数字化转型之路。
更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社官网案例库、选型库查看。