交通银行一直高度重视信息安全管理,经过多年持续建设,数据中心基于防火墙、入侵检测防护系统、漏洞扫描系统、防病毒系统、终端管理系统等,在网络空间纵深和网络层级纵深两个方面建立了立体化、多元化和层次化的“纵深防御”网络安全技术防御体系,在保障数据中心安全生产方面发挥了重要作用。
但与此同时,安全工具的“加法式”垂直化管理,增加了海量数据及复杂场景下的安全分析、响应及处置的难度;外部安全攻击的多样性和变化性,也导致防御防守需求呈现出多样化和快速化趋势。为应对日益复杂的安全威胁态势,交通银行数据中心于2015年起,启动了智能安全运营体系建设的探索研究及实践应用工作。
智能安全运营体系建设规划
交通银行智能安全运营体系以“一体化、实战化、智能化”为内涵,旨在构建一套以安全人员为核心、威胁场景为驱动、大数据为基础、态势感知为支撑、协同联动为手段的安全运营体系。通过深化人工智能、大数据等智能技术运用,构建高效的运营管控流程,全面承担威胁监控、风险挖掘、响应处置、运营保障四项核心安全运营职能,高效响应、主动应对内外部安全威胁。
项目规划强化了集团层面一体化顶层设计和前瞻规划,从信息安全威胁全生命周期管控视角,运用大数据等智能技术分析安全态势数据,配套建立高效的管控流程,统管全集团安全威胁告警事件,通过自动流程编排技术的创新运用高效响应和主动应对内外部安全威胁,为集团提供服务一体化、运营实战化、决策智能化的服务能力。通过项目建设,有效地提升交通银行全集团安全防护水平,为商业银行信息安全运营管理提供最佳实践。
智能安全运营最佳实践
交行数据中心智能化安全运营体系的建设从运维实践出发,着力“技术、流程、人员”三大支撑点,基于具备日志关联分析技术的工具平台,结合动态集成的应用框架,通过集成安全技术产品、可视化系统、流程平台、自适应系统并进行模块化组合,突出大数据、机器学习等创新技术的探索与应用,自下而上逐步构建包含“数据源与数据层、分析层、运营层”的全集团一体化智能安全运营平台。
平台基于大数据技术,能够快速便捷地集成各类新数据源和功能组件,支持全行统一的安全威胁监控、分析、响应及处置,并具备动态风险评价及智能监测规则的落地实现能力,相关特点总结如下。
1.一体化的安全运营体系
安全运营体系的技术与工具:经过一年对现有各类安全日志及告警分析数据的全面梳理和分类,在全面覆盖系统软件日志、硬件设备日志、工具软件日志、互联网应用交易日志、资产等管理数据及情报源数据的基础上,自动化集中采集、分类管理相关数据,初步完成安全监测数据治理,构建了支撑全集团安全运营中心技术平台。平台可处理PB级结构化和非结构化信息,提供海量数据压缩加密存储、秒级交互式数据查询、高并发实时和批量计算、自助报表等服务;提供桑基图、热力图、汽泡图等可视化方式,宏观可视把控全行安全态势;采用动态集成的应用框架,对安全技术产品、流程平台、自适应系统集成并模块化整合,实现安全攻防和流程闭环。有效地解决商业银行平台处理能力不足、扩展性差、数据孤岛等问题。
安全运营体系的流程与标准:建立了安全运营管理流程与标准体系,包括SOC运营交付、SOC运营支持和基础运维与管理三个管理域。通过安全分析与操作标准化、运营管理流程精细化,明确运营角色职责边界,规范并指导安全运营人员操作,并制定服务KPI作为安全运营持续优化的保障机制,提升安全运营的整体效能。
安全运营体系的组织与人员:打造专业的安全运营队伍,建立了服务全集团的安全运营机制和运营团队,一线监控人员聚焦有效告警的初步判断,二线分析人员聚焦已知威胁的调查分析,三线专家聚焦未知威胁的深度挖掘与预测,建立了具有交行特色的“一线监控、二线分析、三线专家”的梯队机制。通过标准化、规范化安全运营,强化应急响应,降低安全风险。
2.基于攻击链分析的端到端威胁监测
将网络攻击链和ATT&CK安全攻防模型相结合,自主设计基于时间序列、行为、签名和统计分析的一种威胁分析框架和知识模型,能够有效覆盖网络攻击、信息泄露、违规操作、业务风险等信息安全领域风险,并通过可视化辅助人工分析深度挖掘APT等高级持续攻击风险事件。同时,利用精确日志数据字段内容、多标签告警抑制压缩及基于时间序列、资产关联和异常行为标签的相似度关联告警压缩的策略,有效压缩安全告警数量,聚焦安全运营分析处置。
3.基于资产动态等级的威胁风险评级
基于资产和攻击链威胁分级的双维度关联策略,实现安全威胁风险的动态和实时评级,有效解决了传统的安全告警静态定级、海量告警单一响应策略的痛点。通过对IT基础资产、告警日志、漏洞等资产脆弱性数据进行实时采集,再按照不同权重构面对这些风险事件进行指标级计算,动态且量化的评估资产的安全状态。将资产安全指标与基于攻击链威胁等级的告警规则实时关联,最终实现了对于风险的分级、纵深管控。
4.基于大数据的安全风险特征挖掘
通过部署运用机器学习、大数据分析及深度神经网络等智能算法,针对海量数据及复杂场景进行用户实体行为分析,建立符合内部管控、业务场景、威胁监测、安全运维需求的安全模型,实现对高级持续威胁的准确告警和定位,为安全风险防控提供更多技术支撑。在实现主机复杂场景监测方面,基于流量、DNS、情报等数据,将深度学习递归神经网络与传统有监督二分类器相结合,利用机器学习主成分分析等降维方法,能够高准确检Webshell、注入攻击、DNS隐蔽信道数据外传、动态生成DGA域名等类型的网络威胁,同时围绕用户、设备和行为三个关键要素,实现威胁风险评分。
5.基于流程编排的自适应响应处置
针对扫描攻击、漏洞利用场景实践通过流程编辑器实现跨分析平台、运维管理系统、网络设备等多异构平台间流程的编辑和资源编排,贯穿安全分析、封堵处置、事件报告全生命周期,有效提升人工跨专业设备的分析效率。借助于Python等脚本语言将安全分析、响应、处置、报告和反馈操作固化为自动化脚本,通过自动化安全处置操作,缩短平均检测和响应时间,可以分钟级为单位的全过程交付,实现对海量告警事件“可分析、主动防御”的转变,以及“流程重塑、风险控制、运营效率”三提升。
未来,交通银行数据中心将继续探索实践科学的智能化运营体系建设,赋能金融科技、加快推进金融行业数字化、智慧化转型,为金融行业共同打造网络安全生态圈、建立安全运营管理行业规范提供借鉴!
交通银行数据中心副总经理 孙磊
