孫磊:數據中心智能安全運營體系建設探索與實踐
在當今智慧化、數字化時代,隨著國際國內環境變化以及金融科技的不斷創新應用,金融行業面臨的網絡安全威脅也日益復雜:一是網絡安全威脅呈現新特征,傳統安全產品是否還能有效應對面臨巨大挑戰;二是信息泄露潛在隱患不斷,信息安全已上升至國家層面,監管力度逐步加大,對金融行業信息安全管理的要求在不斷提高。
交通銀行一直高度重視信息安全管理,經過多年持續建設,數據中心基于防火墻、入侵檢測防護系統、漏洞掃描系統、防病毒系統、終端管理系統等,在網絡空間縱深和網絡層級縱深兩個方面建立了立體化、多元化和層次化的“縱深防御”網絡安全技術防御體系,在保障數據中心安全生產方面發揮了重要作用。
但與此同時,安全工具的“加法式”垂直化管理,增加了海量數據及復雜場景下的安全分析、響應及處置的難度;外部安全攻擊的多樣性和變化性,也導致防御防守需求呈現出多樣化和快速化趨勢。為應對日益復雜的安全威脅態勢,交通銀行數據中心于2015年起,啟動了智能安全運營體系建設的探索研究及實踐應用工作。
交通銀行數據中心副總經理 孫磊
智能安全運營體系建設規劃
交通銀行智能安全運營體系以“一體化、實戰化、智能化”為內涵,旨在構建一套以安全人員為核心、威脅場景為驅動、大數據為基礎、態勢感知為支撐、協同聯動為手段的安全運營體系。通過深化人工智能、大數據等智能技術運用,構建高效的運營管控流程,全面承擔威脅監控、風險挖掘、響應處置、運營保障四項核心安全運營職能,高效響應、主動應對內外部安全威脅。
項目規劃強化了集團層面一體化頂層設計和前瞻規劃,從信息安全威脅全生命周期管控視角,運用大數據等智能技術分析安全態勢數據,配套建立高效的管控流程,統管全集團安全威脅告警事件,通過自動流程編排技術的創新運用高效響應和主動應對內外部安全威脅,為集團提供服務一體化、運營實戰化、決策智能化的服務能力。通過項目建設,有效地提升交通銀行全集團安全防護水平,為商業銀行信息安全運營管理提供最佳實踐。
智能安全運營最佳實踐
交行數據中心智能化安全運營體系的建設從運維實踐出發,著力“技術、流程、人員”三大支撐點,基于具備日志關聯分析技術的工具平臺,結合動態集成的應用框架,通過集成安全技術產品、可視化系統、流程平臺、自適應系統并進行模塊化組合,突出大數據、機器學習等創新技術的探索與應用,自下而上逐步構建包含“數據源與數據層、分析層、運營層”的全集團一體化智能安全運營平臺。
平臺基于大數據技術,能夠快速便捷地集成各類新數據源和功能組件,支持全行統一的安全威脅監控、分析、響應及處置,并具備動態風險評價及智能監測規則的落地實現能力,相關特點總結如下。
1.一體化的安全運營體系
安全運營體系的技術與工具:經過一年對現有各類安全日志及告警分析數據的全面梳理和分類,在全面覆蓋系統軟件日志、硬件設備日志、工具軟件日志、互聯網應用交易日志、資產等管理數據及情報源數據的基礎上,自動化集中采集、分類管理相關數據,初步完成安全監測數據治理,構建了支撐全集團安全運營中心技術平臺。平臺可處理PB級結構化和非結構化信息,提供海量數據壓縮加密存儲、秒級交互式數據查詢、高并發實時和批量計算、自助報表等服務;提供桑基圖、熱力圖、汽泡圖等可視化方式,宏觀可視把控全行安全態勢;采用動態集成的應用框架,對安全技術產品、流程平臺、自適應系統集成并模塊化整合,實現安全攻防和流程閉環。有效地解決商業銀行平臺處理能力不足、擴展性差、數據孤島等問題。
安全運營體系的流程與標準:建立了安全運營管理流程與標準體系,包括SOC運營交付、SOC運營支持和基礎運維與管理三個管理域。通過安全分析與操作標準化、運營管理流程精細化,明確運營角色職責邊界,規范并指導安全運營人員操作,并制定服務KPI作為安全運營持續優化的保障機制,提升安全運營的整體效能。
安全運營體系的組織與人員:打造專業的安全運營隊伍,建立了服務全集團的安全運營機制和運營團隊,一線監控人員聚焦有效告警的初步判斷,二線分析人員聚焦已知威脅的調查分析,三線專家聚焦未知威脅的深度挖掘與預測,建立了具有交行特色的“一線監控、二線分析、三線專家”的梯隊機制。通過標準化、規范化安全運營,強化應急響應,降低安全風險。
2.基于攻擊鏈分析的端到端威脅監測
將網絡攻擊鏈和ATT&CK安全攻防模型相結合,自主設計基于時間序列、行為、簽名和統計分析的一種威脅分析框架和知識模型,能夠有效覆蓋網絡攻擊、信息泄露、違規操作、業務風險等信息安全領域風險,并通過可視化輔助人工分析深度挖掘APT等高級持續攻擊風險事件。同時,利用精確日志數據字段內容、多標簽告警抑制壓縮及基于時間序列、資產關聯和異常行為標簽的相似度關聯告警壓縮的策略,有效壓縮安全告警數量,聚焦安全運營分析處置。
3.基于資產動態等級的威脅風險評級
基于資產和攻擊鏈威脅分級的雙維度關聯策略,實現安全威脅風險的動態和實時評級,有效解決了傳統的安全告警靜態定級、海量告警單一響應策略的痛點。通過對IT基礎資產、告警日志、漏洞等資產脆弱性數據進行實時采集,再按照不同權重構面對這些風險事件進行指標級計算,動態且量化的評估資產的安全狀態。將資產安全指標與基于攻擊鏈威脅等級的告警規則實時關聯,最終實現了對于風險的分級、縱深管控。
4.基于大數據的安全風險特征挖掘
通過部署運用機器學習、大數據分析及深度神經網絡等智能算法,針對海量數據及復雜場景進行用戶實體行為分析,建立符合內部管控、業務場景、威脅監測、安全運維需求的安全模型,實現對高級持續威脅的準確告警和定位,為安全風險防控提供更多技術支撐。在實現主機復雜場景監測方面,基于流量、DNS、情報等數據,將深度學習遞歸神經網絡與傳統有監督二分類器相結合,利用機器學習主成分分析等降維方法,能夠高準確檢Webshell、注入攻擊、DNS隱蔽信道數據外傳、動態生成DGA域名等類型的網絡威脅,同時圍繞用戶、設備和行為三個關鍵要素,實現威脅風險評分。
5.基于流程編排的自適應響應處置
針對掃描攻擊、漏洞利用場景實踐通過流程編輯器實現跨分析平臺、運維管理系統、網絡設備等多異構平臺間流程的編輯和資源編排,貫穿安全分析、封堵處置、事件報告全生命周期,有效提升人工跨專業設備的分析效率。借助于Python等腳本語言將安全分析、響應、處置、報告和反饋操作固化為自動化腳本,通過自動化安全處置操作,縮短平均檢測和響應時間,可以分鐘級為單位的全過程交付,實現對海量告警事件“可分析、主動防御”的轉變,以及“流程重塑、風險控制、運營效率”三提升。
未來,交通銀行數據中心將繼續探索實踐科學的智能化運營體系建設,賦能金融科技、加快推進金融行業數字化、智慧化轉型,為金融行業共同打造網絡安全生態圈、建立安全運營管理行業規范提供借鑒!
