《金融科技时代》杂志(2020年第9期)发表了欧阳达诚的署名文章《以银行为例谈安全运营中心建设》。文章通过对银行业安全运营中心建设思路、建设框架、安全运营平台建设、安全运营组织、安全运营流程的研究与探索,提出安全运营中心建设要实现“自动响应闭环、持续安全运营”的目标,最后提出建设安全运营中心的核心价值点。
原文如下:
摘要:安全运营中心是安全效能倍增的网络安全建设模式,通过建设安全运营平台、安全运营组织、安全运营流程,打通技术、流程、人员各部分能力并形成有机结合的整体,实现组织现有安全运维效率的提升、安全建设效果的提升,并通过安全运营平台有效体现安全部门和负责安全工作的各类人员的工作价值。本文通过对银行业安全运营中心建设思路、建设框架、安全运营平台建设、安全运营组织、安全运营流程的研究与探索,提出安全运营中心建设要实现“自动响应闭环、持续安全运营”的目标,最后提出建设安全运营中心的核心价值点。
关键字:安全运营、威胁、安全运维、网络安全
随着新技术的不断应用和新基建发展带来的网络安全新威胁,给银行网络安全运营者也带来了新的安全挑战。同时由于银行现有安全建设缺乏有效的安全运营,导致安全建设效果不理想、安全运维效率低、安全工作价值难体现等问题,也困扰着银行的网络安全运营者。另外在国家监管层面,国务院办公厅、网信办、公安部、银保监会等部门出台了网络安全相关的政策和标准,如《网络安全法》、等级保护2.0等相关标准在安全运营和管理方面都提出了明确的要求。因此,银行应建设有效的安全运营技术、流程和人员组织体系,以应对各类安全挑战和解决安全运营工作遇到的问题,并确保网络及业务系统持续稳定安全运行。
一、银行业安全运营中心建设思路
银行业建设安全运营中心的核心目标是提高银行的整体安全能力、提升运维效率、体现安全效果和价值。通过建设包括人员、工具、流程三大体系的安全运营中心,打造从感知、分析、决策、响应四个维度的自动安全处置闭环能力,这四个维度也是发现问题、分析问题、评估问题、处置问题的完整闭环过程。因此整体思路和理念就:安全运营中心通过大数据、机器学习、UEBA(行为识别技术)、SOAR(自动编排技术)、威胁情报等技术和工具,结合自动化流程和安全运营专家服务,打造“威胁感知、分析定位、智能决策、响应处置”的快速安全闭环能力,帮助银行业不断提升安全效果、安全运维和安全管理效率、展现安全成果,最终实现“自动响应闭环、持续安全运营”的目标。
二、银行业安全运营中心建设
(一)银行业安全运营中心整体架构
安全运营中心整体架构包括安全运营平台、安全运营组织、安全运营流程三部分,安全运营平台通过SOAR、UEBA、机器学习、威胁情报等技术实现安全事件的自动闭环与持续威胁对抗。安全运营组织明确组织结构与安全运营权责,安全运营流程制定各类安全运维制度和事件处置流程。同时还可以依托外部第三方云端安全能力、安全云脑能力和安全服务能力。
(二)安全运营平台建设
1、打造四维安全闭环处置能力
安全运营平台聚焦在打造四维安全闭环能力特点的安全运营中心,即安全监测与感知、深度分析与展示、智能决策与评估、协同响应与处置的安全运营中心,这四个维度也是发现问题、分析问题、评估问题、处理问题的过程。
2、找威胁
在明确安全运营对象以后,要能全面发现已知和未知的安全威胁。部署在网络边界和内部关键节点的基于静态特征库的各类探针,能够对已知威胁进行检测,但是对于未知威胁的检测能力不够,需要通过已经采集了多维海量安全数据的安全运营平台结合威胁情报等技术来做综合分析,才能全面发现包括从外到内的各类高级威胁、内部威胁和用户违规操作行为,实现全面的威胁监测与感知。
3、摸风险
摸风险主要是对安全运营对象就是各类资产,基于资产自身脆弱性如漏洞、配置缺陷、弱口令等方面,结合威胁潜伏探针和漏洞情报数据进行综合风险评估,也就是资产、漏洞、威胁三个要素的综合评判,全面发现以资产维度、业务维度、安全域维度的风险情况及全网资产风险可视,并提供标准化、全流程的漏洞处置过程和全网安全风险可视。
4、深度分析与展示
深度分析与展示就是分析问题的部分,最重要能力是要能简化分析工作量及提升安全运维效率。通过智能关联分析引擎的各类分析规则,可将大量重复的、误判的事件进行过滤,减少安全运营人员事件分析工作量。通过多事件和情景分析规则,可提升安全事件处置效率。
安全运营平台的可视化威胁追捕、溯源分析、情报关联、行为分析等技术可提供可视化数据呈现能力,展示暂未形成安全事件但存在可疑或结合业务现状可分析发现存在异常的数据,提供给驻点安全专家,或有一定安全分析能力的运维人员进行分析,从正常现象中挖掘异常。
在完成理资产、找威胁、摸风险以及对全面异构的各类多源安全数据进行采集和深度分析以后,比较重要的一个环节就是要实现各类安全风险可视,比如全网整体安全态势可视、脆弱性态势可视、网络攻击态势、安全事件态势等可视化呈现,通过各类综合安全风险感知和呈现,为安全经理和领导提供制定安全策略的决策支撑。
5、智能决策与评估
通过人机共智和基于SOAR的自动编排实现对安全事件处置的辅助决策,以及工作价值的量化与评估。
为有效解决大量的安全事件都需要安全分析师介入,造成运营成本高、安全响应慢的问题,安全运营平台采用了基于SOAR的安全编排、自动化与响应技术。通过简单三步即可制定安全响应策略来实现安全事件自动响应及联动处置。第一步是定义资产IP或IP范围、发生的事件类型,如我们定义勒索病毒事件。第二步是确定响应手段,目前提供联动封堵、访问控制、冻结账号、一键查杀等六种手段。第三步是确定策略配置,如EDR联动进行病毒查杀后,可选择隔离或未发现威胁文件及忽略。对于已匹配自动响应策略的安全事件处置结果,进行完成记录,为事后追查提供依据。
在价值量化与成果可视方面,银行可根据指标考核体系预先设置需要展现的工作成果,实现自动化的输出和运营工作相关的绩效指标。如风险主机处置率、事件处置率、漏洞修复率、整体风险指数等等。包括安全风险的检测成果,从流量、日志到告警事件再到安全事件的过滤和归并情况,最终呈现在我们面前的需要处理的事件和已处理事件的数量以及处理进度等情况,进行汇总综合展示。在考核指标体系设计这块,可根据银行实际情况设置终端、网络、系统、业务等维度的指标,以满足不同需求场景及安全工作目标的设定。
6、协同响应与处置
三种响应模式是:以设备为中心的系统联动处置、以人为中心的电子化工单处置、基于SOAR的人机共智;
三大安全场景是:攻防演练场景(HW)、重要活动保障(两会、十一等)、应急响应。
三种服务模式是:通过安全分析专家提供三种安全运营服务,本地化服务、远端平台化服务、VPN本地化服务。
通过“3+3+3”的安全处置闭环能力,来有效提升安全效果、体现安全绩效、提升运维效率。
安全运营平台可联动网端云各组件形成整体能力,实现全面、及时、主动化防御。
全面:通过部署于边界和内网的各类安全威胁检测探针发现已知威胁的基础上,结合云脑及威胁情报并实时同步至安全运营平台,通过机器学习与关联分析、UEBA等技术,全面发现已知/未知安全威胁。
及时:通过大量基于SOAR的自动响应策略以及事先自定义好的自动响应策略,一旦发生类似安全事件便能实现及时响应。
主动化:通过安全运营平台联动边界防护组件、主机检测响应组件实现主动化的边界封堵与恶意代码查杀。
安全运营中心提供电子化的处置工单系统,能够为银行业打造线上电子化的安全事件处置流程。对于大多数常见的安全事件可通过事先定义的基于SOAR的自动响应策略来处理,但是对于复杂的高级威胁事件、高危漏洞事件等需要通过人手动处置的事件,通过生成事件处置工单配合电子流程进行工单下发、确定责任人、处置进度和状态、处置结果反馈等全流程处理和可视。
由于不同类型的安全事件处置流程有不同的步骤和方法,因此工单的处置应能够提供自动化和可编排的处理流程,来应对众多不同安全事件处置复杂的问题。
为了有效防止网安、网信、银保监等监管单位的通报、以及攻防演练期间防扣分这块,安全运营平台可以建立以业务为维度的整体安全风险检查,比如对互联网提供服务的门户网站、邮件系统、攻防演练期间上报的被检查业务系统等,检查这些系统相关联的数据库、操作系统、中间件等IT资产,由平台统一调度各类安全组件实现弱口令、配置缺陷、安全漏洞等脆弱性信息的全面检测和风险分析,提前发现安全问题并进行处置闭环。
在重大保障期间如两会、过期期间,通过重大活动网络安全指挥调度,实现全网整体安全风险监控,并且对安全风险提供层层下钻实现安全追溯、发现威胁源,并通过不同维度进行风险展示、提供处置建议。
对于突发事件及各类紧急事件提供应急响应总览及总体处置进度展示,为领导提供全局视角,及时掌握当前应急事件处置人力资源及相关责任人安排等情况,为下一步决策提供有效的数据支撑。
(三)安全运营组织建设
安全运营组织体系的目标是要根据银行业的实际情况建设相应的安全运营组织架构以及各小组的权责划分,以支撑银行的安全运营工作,是制定清晰明了的安全运营流程的基础。
1、安全运营组织
安全运营工作有很多与安全事件深度分析、追踪溯源、处置闭环等的专业性要求非常高的工作,一般的IT运维团队往往难以做到真正的安全运营,无法站在攻击者的角度对系统进行安全评估,发现系统隐患和漏洞,无法实时分析出隐藏在正常网络流量中的异常攻击特征,无法准确开展相应工作,所以安全运营还需要依托专业的、有经验的安全服务团队开展。安全运营团队应该由专业服务团队和银行的安全管理团队共同组成,这样既能保证高质量的安全运营工作成效,又能实现和企业业务的高效贴合。
根据银行的实际情况,可设定安全运营领导机构、安全运营管理组,下设安全策略岗、安全分析岗、事件处置岗、安全运维岗、安全服务岗等岗位,并明确各岗位的职责
2、安全运营人员
按照安全运营工作需要处置的工作难度和类型,可将安全运营人员分成不同等级,如T1、T2、T3三级能力,T1级安全工程师主要负责安全日志记录、安全事件分析处置及报告输出等工作。T2级安全分析人员主要负责安全事件分析研判、工单处置、威胁建模等工作。T3级安全专家主要负责日志深度分析、技术赋能、整体安全策略决策等工作。
3、安全运营职责
安全运营中心的建设,需要具体职能机构及人员开展具体的安全分析、事件处置、安全检查等工作,因此银行应部署适应安全运营中心工作开展的组织机构和人员队伍。
各组织工作职责如下:
信息安全管理工作委员会需要定期向信息安全领导小组反映信息安全管理体系的运作情况;
信息安全领导小组通过会议,针对于信息安全管理体系运作的情况以及可能出现的问题,进行讨论做出决策;
信息安全管理体系代表根据信息安全委员会会议决策的结果,进行具体的实施计划工作,安排信息安全工作小组的人员开展实施;
信息安全工作小组的成员根据信息安全管理体系代表的计划,展开具体的实施工作。
4、人员能力提升
根据安全运营中心配备的人员能力要求和目前各岗位人员能力的实际情况,可选择对应的安全培训服务,以提升银行业当前负责安全工作的各类人员整体安全能力。
(四)安全运营流程
基于银行业广泛的安全运营实践,我们将安全运营分为资产梳理、安全数据接入、场景建模、威胁研判、响应处置和全局展示六个阶段。
第一步 资产梳理
资产是安全运营的核心,是安全防护的最终保护对象,资产梳理是安全运营最关键的一步。
第二步 安全数据接入
接入网络流量日志、威胁情报、IT基础设施日志告警、漏洞等安全数据。
第三步 场景建模
根据业务和安全需求设置各种安全关联分析场景模型。
第四步 威胁研判
通过攻击链调查分析、各种安全引擎以及结合威胁情报等知识库和专家人工威胁研判分析,最大限度的发现和处置风险。
第五步 响应处置
当威胁研判产生安全事件告警后,安全运营人员能够通过系统对产生的告警事件进行统一响应处置,系统提供多种响应处置方案, 能够解决机构复杂、网络安全无法统一管理的问题。
第六步 全局展示 持续监测
通过从宏观到微观的分析思路,采用关联分析,结合可视化技术,将威胁以安全人员的处置视角完美呈现在监控面板和分析面板之上。有助于分析人员持续监控威胁、发现线索、下钻分析。从而极大提升了威胁可视及处置的能力和效率。
三、安全运营中心建设核心价值
安全运营中心是安全效能倍增的网络安全建设模式,通过建设安全运营平台、安全运营组织、安全运营流程,打通技术、流程、人员各部分能力并形成有机结合的整体,实现组织现有安全运维效率的提升、安全建设效果的提升,并通过安全运营平台有效体现安全部门和负责安全工作的各类人员的工作价值。满足国家法律法规和标准规范中对网络安全运维和安全监测管理方面的要求,提升组织的整体安全能力。安全运营中心建设核心价值主要体现在以下几个方面。
