2016年,我国提出了“全天候全方位感知网络安全态势”的基本要求。今年,人民银行发文要求地方性银行业机构和非银行支付机构接入“金融行业态势感知与信息共享平台”,通过统一监管及安全赋能,提升金融机构应对威胁风险的能力。经过近十年的认知和摸索,网络安全态势感知建设已经被提升到战略高度,众多行业及大型企业用户都开始倡导、建设和积极应用态势感知系统,以应对网络空间安全的严峻挑战。
态势感知的核心技术分为“态势”和“感知”两部分。态势是指,首先要了解所有的情况,这样才能帮助决策。网络安全态势感知过程可以分为以下四个过程。
数据采集:
通过各种检测工具,对各种影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。
态势理解:
对各种网络安全要素进行分类、归并、关联分析并进行处理融合,对融合的信息进行综合分析,得出网络的整体安全状况,这一步是态势感知基础。
态势评估:
定性、定量分析当前网络的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心。
态势预测:
通过态势评估输出的数据,预测网络安全状况的发展趋势,这一步是态势感知的目标。
最后,根据评估结果联动或人工进行威胁处置,形成安全闭环。
然而,在态势感知系统的实际应用中,受限于对态势感知理解、数据采集融合能力、服务保障人员等因素影响,很多企业在巨大投入之后发现,态势感知仅仅成为展示汇报的工具,缺乏有效运营,应用效果与期望有很大差距,没有真正解决安全问题。
当前企业安全建设中的痛点
1、受限于单设备的处理和分析能力,无法实现全面的检测与分析、防护能力。
2、传统设备报警多,误报高,使得企业安全运营人员被海量报警淹没,安全运营失效。
3、多职场多分支,移动办公的场景,使得网络边界更加复杂,实现统一安全管控难度大。
4、缺乏有经验的安全分析人员,现有产品没有形成闭环,缺乏有效的分析模型、处置和响应工具。
金融机构建设态势感知系统,首先要明确建设的目标和范围,梳理清晰需要监测与防护的最关键的业务资产,然后应用合适的技术获取完整的安全数据,再结合态势感知系统平台以及大数据威胁情报,分析数据、发现威胁和异常,合理运用安全服务来落地安全能力。
态势感知建设与应用的几点建议
1、运营对态势感知平台的价值发挥来讲尤为重要,后期应充分发挥厂商远程支持和驻场服务的作用;
2、数据采集探针数量不足,数据采集探针的部署位置不准确,将会导致很多网络流量采集不到,需要在前期规划时给予足够重视;
3、态势感知平台的机器学习和大数据分析能力非常有价值,专业的安全分析师难得但是非常必要;
4、前期应投入足够的资源进行模型规则的梳理整合,磨刀不误砍柴工;
5、要做好日志规范,做好日志数据及相应的授权规则;消除日志误报干扰,呈现的大屏数据才是准确有效的;
解决方案
一、威胁感知平台TDP:
基于旁路流量的攻击感知与威胁阻断
部署方式:TDP同时接入生产网双向镜像流量和办公网核心流量镜像,可对企业全网威胁进行全面检测,对企业资产风险点和攻击面进行全面梳理,帮助安全运营人员全面掌握企业网络安全态势,做出有效响应。
功能一:事前预防,攻击面与资产梳理
1、有效发现影子资产,查缺补漏
2、全面了解资产暴露面,心中有数
3、做好安全加固,提前防范
功能二:事中检测,双向全流量检测,有效判定攻击是否成功,覆盖全场景;
南北向:有效识别针对性攻击,定位失陷主机;
东西向:内网渗透检测,横向发现,主机提权,窃密
功能三:事后智能聚合攻击事件;
威胁取证定位、处置与清理
二、威胁情报管理平台TIP:
高价值的威胁情报的情报管理平台,帮助客户构建威胁情报管理、生产和共享中心,并从多个维度对情报进行可视化展示,帮助客户应用威胁情报进行威胁检测、应急响应、溯源分析和攻击预测。
典型部署场景:
与DNS、FW联动的失陷检测与自动化阻断
与态感平台对接阻断外网攻击与内网失陷主机
功能:
1、本地多源情报接入与整合;
2、第三方设备联动功;
3、私有情报挖掘生产;
4、威胁情报检测与分析API;
5、业务威胁评估与攻击团伙档案;
6、威胁情报级联与共享
三、基于DNS的统一威胁防护平台OneDNS
0硬件无需实施:设置(个人PC、DNS服务器或网络设备)DNS服务地址即可 实现部署;
统一管控多职场:对多职场、多分支、漫游终端实现统一管控;
全面威胁防护:全面防护:恶意软件、勒索病毒、钓鱼、非法站点;
稳定高效解析服务:覆盖全国十个片区,三大运营商的全加速网络,故障后自动秒级切换客户无感知。
态势感知不仅可以赋能金融机构建立防御体系,还可以赋能监管部门实现检测通报预警能力。未来,随着态势感知系统更加广泛的应用,或将成为金融行业安全防护的“大脑”,为金融机构更好地加强纵深防御,实现主动防御、持续检测、应急响应、溯源取证、风险预警等安全能力,为保障网络信息安全发挥出更大效能。