CSO面对面丨如何通过“联合作战”,加强银行安全体系建设

2022-11-24 18:50:18 浏览数 (1)

随着数字化转型的深入,以银行为代表的金融机构不断加码金融科技建设。然而随着线上业务量不断上升,银行面临的安全风险暴露面也愈大、问题愈加复杂。

本期腾讯安全《CSO面对面》栏目,邀请到某头部商业银行安全主管,以金融行业的安全防护为例,分享金融机构面临的安全运营问题及解决对策。


以下为本期《CSO面对面》文字实录。

Q1:在网络安全领域,一直有着“三分靠技术,七分靠管理”的传统共识,但在当下各行各业数字化转型高速发展,网络安全威胁和对抗强度显著增加的情况下,“技术”和“管理”正在变得彼此融合。如何看待“技术”和“管理”在企业组织内部安全建设中的价值?

A:网络安全既需要技术作为保障,又需要有相应的管理措施,相辅相成。良好的管理是填补网络安全最经济有效的方式,网络安全建设工作不仅仅是简单的购买安全设备、软件,部署安全措施,还需要建立覆盖全面、层次分明的网络安全管理制度体系和完备的网络安全管理组织结构作为支撑,比如物理安全、人力资源安全、业务连续性管理等都无法纯粹依靠技术来实现,更多的是要靠管理来实现,并且在信息安全管理中,除了产品和技术外,人员的因素是最重要的。安全最重要的是落实,各项安全制度如果不落实,安全就无从谈起。

Q2:银行业相比其他行业数字化转型更深入,在面临的网络安全威胁上是否有典型特征?这种特征形成的原因又是什么?

A:城市商业银行的定位是做城市居民身边的银行,所以从这个视角看,当地银行零售业务的数字化转型与大型银行相比,是更加切实可行贴近本地实际的。银行业数字化转型,相对科技来说主要是从线下到线上,从在行到离行的业务发展,手机银行、微信银行、线上办公等线上渠道占比逐年升高。线上面临的安全威胁也越来越多,目前我们数据分析主要的安全威胁有以下几类:

  • 非授权访问:开发的不规范,假冒、身份攻击、非法用户进入违法操作、合法用户以未授权方式进行操作等。
  • 信息泄漏或丢失:用户口令、账号等重要信息。
  • 拒绝服务攻击:流量型的TCP_SYN与CC攻击占据主流。
  • 网络传播病毒、网络钓鱼:通过文件上传,邮件,微信客服钓鱼。
  • 勒索软件:由于银行业涉及资金,勒索攻击或疑似勒索攻击也较多。

Q3:网络安全建设是一个复杂的体系化工程,不仅有等保合规的基线要求,也有行业内的一些要求,如果让你用一句话或几个要点概括贵行的安全建设理念是什么?

A:总结来看是“零事故”。但“零事故”是网络安全的目标,“零事故”不是“零攻破”,而是不发生重大信息安全事件(被勒索、大量信息泄露、被篡改勒索类)。系统只分两类,一类是已经被攻破的,一类是即将被攻破的。面对攻击时,只要最终没有影响到日常办公和对内对外业务就行,总体理念是:业务不中断、数据不出事、合规不踩线。

Q4:在和腾讯安全合作之前,贵行在安全运营方面面临的痛点和挑战是什么?

A:主要是以下几点:

  • 高精尖的网络安全技术人员依然紧缺,不足以支撑大规模、深度的网络攻防演习和APT攻击。
  • 行内人员安全防范意识要进一步提升。
  • 应用安全整体对抗体系强化。
  • 溯源与反制能力有待提升,对攻击行为的溯源深度和及时性尚有不足,缺乏足够强的攻击的反制技术能力和足够多的工具储备。
  • 快速响应能力有待提升,疫情常态化要求我行可以快速为被隔离员工提供安全可靠远程办公环境,突发工作量大、响应时间要求迅速。

Q5:贵行接入腾讯安全SOC 产品以后,有哪些变化?

A:阻断的效果是立竿见影的,阻断率能达到99%以上,对比传统的防火墙在一些强对抗的场景中效果更加突出。在具体的部署过程中,由于腾讯安全SOC 体系下的NDR天幕安全治理平台支持采用的是无侵入式旁路部署,对业务基本是“无感”式的防护,体验很好。

Q6:相比传统安全产品(防火墙等),您觉得腾讯安全NDR天幕安全治理平台的特色是什么?

A:主要体现在四个方面:

  • 提供网络四层全局IP(v4/v6)出入流量秒级实时封禁功能、七层出入网络流量访问控制,通过Domain、URL、Referer、User-Agent、Cookie、X-Forwarded-For、Http-Method、Header等字段的复杂访问规则配置,满足不同业务场景多条件组合过滤需求。
  • 与第三方检测设备协同联动丰富的API接口。
  • 对比同类型设备,有较大的网络吞吐能力。
  • 旁路部署,反应迅速。

Q7:全行业的创新和技术迭代频率很快,在应对安全威胁方面,从过去传统的IDPS类产品到现在的NDR类产品,你觉得体现出什么变化?企业组织在选择安全产品时,如何保持“创新技术”和“稳定”的平衡?

A:从单品级产品到系统级别产品,从点到线到面,从局部到整体联防联控,联动多个安全产品功能,提高整体安全建设和安全运营方案的有效性。

虽然都是基于流量进行威胁检测,但IDPS和NDR从定位来说就有本质的区别,NDR并不能替代IDPS。

IDPS是被动防御阶段的产品,主要基于特征或签名检测技术,进行实时检测和在线阻断。它是针对已知威胁和漏洞利用最精准的检测手段,且检测,部署成本低。

而NDR则是攻击专业化和定向化趋势下出现的主动防御产品,它的关键假设是内网已经失陷,需要通过构建检测和响应能力,在失陷和最终数据泄露的窗口期尽早发现隐藏威胁和攻击,因此侧重在基于非实时或长时流量做异常检测和主动的威胁狩猎。

NDR的核心能力构建,需要具备高度复合能力的产品团队。

网络安全涉及到众多的细分领域,从网络、终端、身份、数据、应用的安全,再延伸到云、工控、物联网等不同场景下安全,解决的问题不同,所涉及的安全产品和安全技术也会有所差异。并且用户在采购安全工具之后,还需要在安全团队、安全策略、安全培训、安全体系等方面进行持续投入,因此用户需求的多样化直接导致了安全产业格局的碎片化,而网络安全的两个特性又进一步加剧了行业碎片化的格局:

网络安全的木桶原理:即信息系统整体安全水平是由安全级别最低的部分所决定的,这意味着构建一个成熟的安全体系,必须要进行全方位的投入,不能有明显的短板;

网络安全的本质是攻防对抗:即安全监测和攻击方式是在不断演进的,因此用户必须对新的安全技术和工具保持足够的敏感,并且长期持续在新的安全技术上进行投入。

由于攻防的不对等,安全产品细分较其他软硬件更多,安全产品选择,我们一般是先买稳产品保证使用,然后使用技术创新产品配合异构使用。

Q8:安全运维的第一步就是要先知道威胁在哪里,哪些地方发生了威胁,相当于有一个雷达。进一步就要去防御,就像用导弹精准狙击。在贵行目前的安全体系中,雷达和导弹的部署以及配合情况是怎样的?哪些产品扮演了雷达的角色,哪些产品扮演了导弹的角色?

A:我行部署各类安全设备与分析系统,通过纵深防御为主,横向扩展为辅、从外部到内部,从边界到核心的安全防御体系,结合自动化处置基本能及时封禁与阻断攻击行为,技术人员能及时分析网络攻击事件。

雷达类包括系统安全监控、网银网站可用性监测、安全运营平台、舆情监测、网络攻击监测、互联网应用系统监控、互联网安全监测处置、行业态势感知平台等。

导弹类包括SOAR自动化处置平台,对接腾讯天幕,ADS,CDN API,桌管系统进行封禁,阻断。目前所有安全相关设备与系统安全日志统一发送给日志平台,经过SOC态势感知平台进行日志消费,结合全流量日志、态势感知进行场景分析与自动处置。

Q9:下一步,贵行的安全建设目标是什么?

A:通过“联合作战”的方式构建多层、异构的纵深防御体系,全面提升风险感知能力和协同应对能力。同时,要通过深度运营,让安全体系和能力真正运转起来。网络安全工作不仅要合规运行,更要实战运行。为此,需要一套标准化的操作流程,每一个流程节点,都有细化可执行的操作规程,才能最大化提升安全运营效率,使“零事故”成为可能。目前主要在做的有:

  • 完善基础安全架构,深化安全态势感知建设,完善安全关联规则和场景模型,实现日志、流量和威胁情报的关联,优化监测、态势感知展示和管理流程,提高信息安全事件告警精准度。
  • 建设自动化安全运营,建设自动化安全运营操作工具与平台,实现安全事件发现、分析、研判等处理一体化、自动化、智能化。
  • 建立安全更新自动化机制,强化安全设备部署、替换升级与平台更新常态化建设,实现操作系统补丁、安全设备特征库等自动化更新。
  • 建立重保工作常态化机制,深化风险排查和安全加固,完善监测和应急处置机制,持续提升安全攻防技能和响应能力。

腾讯安全SOC 是什么?

“SOC 安全运营体系”是腾讯安全面向产业数字化转型推出的新理念,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系。目前,腾讯SOC 集成了TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵,可支撑政企机构建立起技术、人员、流程一体化的安全运营体系,全面提升安全防护能力和安全运营效率。

- END -

0 人点赞