銀行業(yè)DAO數(shù)字化安全運(yùn)營(yíng)體系研究

李丁煒 林葉明 孫 鋼 袁 昱

(浙商銀行股份有限公司 杭州 311200)

(浙銀網(wǎng)絡(luò)安全創(chuàng)新實(shí)驗(yàn)室 杭州 311200)

網(wǎng)絡(luò)空間已成為陸、海、空、天之外的第五主權(quán)空間,網(wǎng)絡(luò)安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、國(guó)家安全和人民合法權(quán)益.然而,在當(dāng)下復(fù)雜國(guó)際沖突背景下,黑客活動(dòng)愈發(fā)活躍,各類重點(diǎn)行業(yè)、政府機(jī)構(gòu)遭受大量網(wǎng)絡(luò)攻擊,作為現(xiàn)代社會(huì)經(jīng)濟(jì)建設(shè)中的重要一環(huán),金融業(yè)同樣無(wú)法獨(dú)善其身[1].除釣魚欺詐、漏洞利用、DDoS攻擊等手段以外,人工智能、星鏈技術(shù)、基礎(chǔ)設(shè)施漏洞掃描等也不斷被應(yīng)用于網(wǎng)絡(luò)攻擊中,形成了網(wǎng)絡(luò)威脅呈技術(shù)多樣化、規(guī)模產(chǎn)業(yè)化的持續(xù)發(fā)展趨勢(shì).

銀行業(yè)金融機(jī)構(gòu)作為金融體系的主體重要組成部分,其業(yè)務(wù)繁多、結(jié)構(gòu)復(fù)雜,并與社會(huì)各領(lǐng)域存在數(shù)據(jù)與業(yè)務(wù)交互層面的緊密關(guān)聯(lián).隨著以大數(shù)據(jù)、云計(jì)算、人工智能、區(qū)塊鏈等技術(shù)為核心的金融科技應(yīng)用發(fā)展對(duì)商業(yè)銀行業(yè)務(wù)模式的不斷重塑,銀行業(yè)務(wù)不再受制于時(shí)空局限,獲得了持續(xù)性發(fā)展窗口[2-3].然而,在網(wǎng)絡(luò)威脅呈爆發(fā)式增長(zhǎng)的今日,銀行業(yè)這一發(fā)展趨勢(shì)勢(shì)必導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)敞口的擴(kuò)大,針對(duì)巨量且持續(xù)增長(zhǎng)的信息基礎(chǔ)設(shè)施防護(hù)需求,需不斷擴(kuò)大網(wǎng)絡(luò)安全防線,持續(xù)增加的安全設(shè)備給網(wǎng)絡(luò)安全的科學(xué)化運(yùn)維與精準(zhǔn)化管控等提出了新挑戰(zhàn).在這樣復(fù)雜的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)下,如何構(gòu)建并科學(xué)管理有效的網(wǎng)絡(luò)安全防護(hù)體系、如何在海量業(yè)務(wù)數(shù)據(jù)與網(wǎng)絡(luò)威脅條件下保障安全運(yùn)營(yíng)效率、如何對(duì)抗多變且無(wú)從預(yù)知的真實(shí)攻擊是銀行業(yè)金融機(jī)構(gòu)迫切需要解決的問(wèn)題.

1 銀行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)面臨的挑戰(zhàn)

1.1 異構(gòu)安全設(shè)備冗雜,管理存在挑戰(zhàn)

銀行業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)主流以安全設(shè)備的完備為目標(biāo),即通過(guò)在邊界、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層、數(shù)據(jù)層等部署異構(gòu)安全設(shè)備以形成防御縱深,確保攻擊行為可以被至少一種安全設(shè)備識(shí)別.由此不可避免地存在因安全設(shè)備堆砌導(dǎo)致的種類多、品牌繁、功能雜的問(wèn)題,不同種類、不同品牌設(shè)備間維護(hù)邏輯相互獨(dú)立,在物理維護(hù)的基礎(chǔ)上同樣需要對(duì)安全策略與基線的維護(hù)付出持續(xù)的成本[4];同時(shí),設(shè)備能力調(diào)用過(guò)度笨重,典型如IP封禁場(chǎng)景,難以實(shí)現(xiàn)針對(duì)特定需求對(duì)特定位置、特定型號(hào)、特定功能的防火墻封禁功能的靈活調(diào)度,使得安全運(yùn)營(yíng)面對(duì)網(wǎng)絡(luò)威脅動(dòng)態(tài)變化、防護(hù)需求動(dòng)態(tài)變化的場(chǎng)景處于被動(dòng).

1.2 安全運(yùn)營(yíng)任務(wù)繁重,數(shù)字化困難重重

網(wǎng)絡(luò)安全運(yùn)營(yíng)涉及事件、風(fēng)險(xiǎn)、策略、人員、基線等諸多方面,銀行作為金融領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)單位,其網(wǎng)絡(luò)安全運(yùn)營(yíng)面臨業(yè)務(wù)量巨大與遭受網(wǎng)絡(luò)威脅頻繁的雙重壓力[5].對(duì)此,銀行業(yè)需以運(yùn)營(yíng)數(shù)字化、標(biāo)準(zhǔn)化的方式應(yīng)對(duì)日趨復(fù)雜、繁重的網(wǎng)絡(luò)安全運(yùn)營(yíng)任務(wù).然而,在縱深防御體系構(gòu)建的思路下,企業(yè)雖異構(gòu)大量不同品類安全設(shè)備,但因缺少標(biāo)準(zhǔn)化、集成化的能力接口,整體安全建設(shè)多呈零散狀態(tài),安全設(shè)備存量雖大,但難以從全局視角進(jìn)行統(tǒng)籌,設(shè)備間安全能力亦無(wú)法有效融合.由此,單一安全運(yùn)營(yíng)動(dòng)作只能對(duì)接單一類別設(shè)備,動(dòng)作覆蓋面狹窄,且持續(xù)產(chǎn)生的特性化安全運(yùn)營(yíng)場(chǎng)景依賴于定制化設(shè)計(jì),難以固化為標(biāo)準(zhǔn)流程,勢(shì)必導(dǎo)致安全運(yùn)營(yíng)數(shù)字化程度有限,仍需大量人力資源介入運(yùn)營(yíng)流程.

1.3 平戰(zhàn)一體機(jī)制欠缺,實(shí)戰(zhàn)對(duì)抗能力不足

實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演習(xí)已逐步成為銀行業(yè)機(jī)構(gòu)檢驗(yàn)網(wǎng)絡(luò)安全防御及運(yùn)營(yíng)體系能否抵御擬真場(chǎng)景下復(fù)雜攻擊的重要手段.相較于平時(shí),攻防演習(xí)通過(guò)模擬真實(shí)攻擊行為使靶標(biāo)遭受的攻擊烈度劇增,為與之對(duì)抗,目標(biāo)機(jī)構(gòu)需大幅提高防御投入,通過(guò)臨時(shí)性投入的專家資源確保現(xiàn)有安全能力的充分發(fā)揮.然而,在真實(shí)場(chǎng)景下,高強(qiáng)度網(wǎng)絡(luò)攻擊的產(chǎn)生無(wú)從預(yù)知,銀行業(yè)同樣難以承受戰(zhàn)時(shí)劇增的安全運(yùn)營(yíng)成本的常態(tài)化[6];同時(shí),因欠缺基于數(shù)字化技術(shù)減少安全運(yùn)營(yíng)過(guò)程中對(duì)專家過(guò)度依賴的能力,無(wú)從實(shí)現(xiàn)低安全運(yùn)營(yíng)強(qiáng)度的平時(shí)與高安全運(yùn)營(yíng)強(qiáng)度的戰(zhàn)時(shí)2種不同運(yùn)營(yíng)場(chǎng)景間的快速切換,勢(shì)必導(dǎo)致所構(gòu)建的縱深安全防御能力難以有效發(fā)揮,在真實(shí)的網(wǎng)絡(luò)攻擊對(duì)抗中受制于人、消極被動(dòng).

2 銀行業(yè)DAO數(shù)字化安全運(yùn)營(yíng)體系

本文基于對(duì)銀行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)所面臨挑戰(zhàn)的分析,結(jié)合銀行業(yè)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀,提出了以防御層、能力層、運(yùn)營(yíng)層3層架構(gòu)為基礎(chǔ)、融合平戰(zhàn)一體化機(jī)制的銀行業(yè)DAO(defence, ability and operation)數(shù)字化安全運(yùn)營(yíng)體系,如圖1所示:

圖1 銀行業(yè)DAO數(shù)字化安全運(yùn)營(yíng)體系

2.1 基礎(chǔ)架構(gòu)

2.1.1 防御層——縱深化防御基礎(chǔ)

防御層通過(guò)由在網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層、數(shù)據(jù)層所部署的異構(gòu)安全設(shè)備以及包括態(tài)感、情報(bào)、攻擊面等在內(nèi)的管理平臺(tái)所共同組建的防御縱深,打造基礎(chǔ)的防御架構(gòu).該層呈分級(jí)部署的多層次、立體式結(jié)構(gòu),覆蓋設(shè)施、網(wǎng)絡(luò)、平臺(tái)、應(yīng)用、終端、數(shù)據(jù)等方面[7-8].

防御層通過(guò)網(wǎng)絡(luò)邊界防護(hù)部署,拒絕非授權(quán)訪問(wèn),實(shí)現(xiàn)對(duì)外部攻擊的主動(dòng)防御阻斷;監(jiān)測(cè)網(wǎng)絡(luò)層全流量,提供安全事件觀測(cè)溯源能力;部署應(yīng)用層漏洞掃描、動(dòng)態(tài)防御設(shè)備,基于事前控制理念及時(shí)發(fā)現(xiàn)及消除應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn);對(duì)主機(jī)及終端進(jìn)行持續(xù)性資產(chǎn)核查、入侵檢測(cè)、基線檢查,同時(shí)結(jié)合蜜罐蜜網(wǎng),進(jìn)行攻擊誘捕,分流攻擊行為,提供反制能力;在數(shù)據(jù)層基于零可信理念和容器技術(shù),嚴(yán)格實(shí)施數(shù)據(jù)脫敏、邊界控制,防范數(shù)據(jù)泄露.此外,引入威脅情報(bào)、攻擊面管理、有效性驗(yàn)證等技術(shù),從提升風(fēng)險(xiǎn)發(fā)現(xiàn)能力、收集管理風(fēng)險(xiǎn)暴露面、持續(xù)性安全防護(hù)能力驗(yàn)證等方面,輔助增強(qiáng)各級(jí)安全防護(hù)設(shè)備能力,提高協(xié)同防御效率.

2.1.2 能力層——原子化能力中樞

能力層基于原子化理念,將來(lái)自于不同廠商或?qū)儆诓煌W(wǎng)絡(luò)節(jié)點(diǎn)的不同安全設(shè)備,由整體拆分為一系列標(biāo)準(zhǔn)能力集合,從而消除其異構(gòu)性及分布性以實(shí)現(xiàn)設(shè)備能力的抽象及對(duì)安全運(yùn)營(yíng)體系的標(biāo)準(zhǔn)化、規(guī)范化接入.該層次將防御層復(fù)雜的安全設(shè)備重整為獨(dú)立的能力點(diǎn),并賦予其特定標(biāo)簽,以供運(yùn)營(yíng)層根據(jù)安全防護(hù)需求、目標(biāo)進(jìn)行安全設(shè)備的精細(xì)化管理與安全能力的統(tǒng)一調(diào)度.

能力層依據(jù)企業(yè)安全能力框架,將設(shè)備能力細(xì)分為5種標(biāo)準(zhǔn)能力:1)識(shí)別能力.即對(duì)系統(tǒng)、資產(chǎn)、數(shù)據(jù)以及網(wǎng)絡(luò)所面臨安全風(fēng)險(xiǎn)的發(fā)現(xiàn)及確認(rèn)的能力,多于資產(chǎn)發(fā)現(xiàn)及安全檢測(cè)等場(chǎng)景中發(fā)揮作用,如資產(chǎn)識(shí)別、用戶識(shí)別、漏洞識(shí)別.2)保護(hù)能力.即通過(guò)一定的安全措施以保障關(guān)鍵設(shè)施及服務(wù)的能力,如阻斷、隔離、鑒權(quán)、封禁IP.3)檢測(cè)能力.通過(guò)流量分析等手段,對(duì)攻擊行為、業(yè)務(wù)狀態(tài)、防護(hù)措施等進(jìn)行即時(shí)監(jiān)控,以主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件, 檢測(cè)目標(biāo)包括探測(cè)掃描、漏洞利用、Web攻擊等.4)響應(yīng)能力.作用于安全事件發(fā)生或產(chǎn)生一定影響后,對(duì)事件進(jìn)行調(diào)查、評(píng)估及止損,如事件調(diào)查、證據(jù)收集、情報(bào)查詢.5)恢復(fù)能力.即在損失產(chǎn)生后,對(duì)系統(tǒng)進(jìn)行恢復(fù)及對(duì)漏洞進(jìn)行修復(fù),并確定事件原因加以預(yù)防,包括恢復(fù)系統(tǒng)、修復(fù)漏洞、數(shù)據(jù)恢復(fù)等.

2.1.3 運(yùn)營(yíng)層——數(shù)字化運(yùn)營(yíng)總臺(tái)

運(yùn)營(yíng)層基于能力層所提供的原子化安全能力,將涉及事件、人員、風(fēng)險(xiǎn)、基線、策略等方面的安全運(yùn)營(yíng)要素封裝為標(biāo)準(zhǔn)化的安全運(yùn)營(yíng)動(dòng)作,并依托于數(shù)字化建模及自動(dòng)化編排技術(shù),將特定場(chǎng)景流程固化為安全劇本,從而將眾多系統(tǒng)及安全設(shè)備協(xié)同聯(lián)動(dòng),融合人與技術(shù)于標(biāo)準(zhǔn)數(shù)字化流程中,使各項(xiàng)安全運(yùn)營(yíng)工作轉(zhuǎn)化為一致的、可重復(fù)的且可測(cè)量的工作流.

基于識(shí)別及檢測(cè)能力,運(yùn)營(yíng)層持續(xù)接入來(lái)自不同安全設(shè)備的威脅告警,通過(guò)固化的專家經(jīng)驗(yàn)劇本,使安全事件響應(yīng)過(guò)程數(shù)字化,降低響應(yīng)時(shí)延.

針對(duì)安全運(yùn)營(yíng)中的安全專家、運(yùn)維及管理人員,運(yùn)營(yíng)層將人工動(dòng)作嵌入各工作流中,依需求分配人員工作并標(biāo)準(zhǔn)化協(xié)作流程與內(nèi)容.

被動(dòng)的威脅檢測(cè)以外,運(yùn)營(yíng)層能夠提供不依賴于人力的風(fēng)險(xiǎn)主動(dòng)探測(cè)能力,基于低時(shí)間敏感度的主動(dòng)探測(cè)任務(wù)協(xié)調(diào)人員與網(wǎng)絡(luò),錯(cuò)開業(yè)務(wù)高峰對(duì)風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)及分類、分析及處置.

運(yùn)營(yíng)層支持系統(tǒng)基線的管理和維護(hù),能夠通過(guò)標(biāo)準(zhǔn)流程主動(dòng)實(shí)施基線探測(cè),確保系統(tǒng)始終處于標(biāo)準(zhǔn)的、安全的配置狀態(tài).

此外,基于設(shè)備安全能力接口,運(yùn)營(yíng)層提供了安全策略統(tǒng)一管理的窗口,從全局視角協(xié)調(diào)安全設(shè)備與運(yùn)營(yíng)層劇本,動(dòng)態(tài)適應(yīng)不斷變化的安全需求.

2.2 平戰(zhàn)一體化安全運(yùn)營(yíng)機(jī)制

針對(duì)銀行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)中實(shí)戰(zhàn)對(duì)抗能力不足問(wèn)題,圍繞常態(tài)化、高強(qiáng)度、無(wú)間斷的保護(hù)目標(biāo),設(shè)計(jì)平戰(zhàn)一體化安全運(yùn)營(yíng)機(jī)制.通過(guò)防御層、能力層的基礎(chǔ)建設(shè),以及運(yùn)營(yíng)層的策略建設(shè),多設(shè)備聯(lián)動(dòng),進(jìn)一步構(gòu)建涵蓋“基礎(chǔ)能力、運(yùn)營(yíng)能力、作戰(zhàn)能力”的平戰(zhàn)一體化能力體系.基于DAO基礎(chǔ)架構(gòu)為安全運(yùn)營(yíng)提供的局部動(dòng)態(tài)調(diào)整能力,能夠針對(duì)戰(zhàn)時(shí)需求,通過(guò)運(yùn)營(yíng)層場(chǎng)景切換,并借由能力層與防御層串聯(lián),擴(kuò)展基礎(chǔ)能力覆蓋范圍、打通運(yùn)營(yíng)能力協(xié)同路徑、提升作戰(zhàn)能力響應(yīng)強(qiáng)度,如圖2所示:

圖2 平戰(zhàn)一體化運(yùn)營(yíng)機(jī)制能力體系

平戰(zhàn)一體化安全運(yùn)營(yíng)機(jī)制依托于DAO基礎(chǔ)架構(gòu).具體而言,以防御層縱深網(wǎng)絡(luò)防御基礎(chǔ)為根基,以能力層、運(yùn)營(yíng)層為媒介,圍繞日常運(yùn)營(yíng)、資產(chǎn)管理、漏洞管理、威脅管理、人員管理以及事件管理,固化平時(shí)常態(tài)化安全運(yùn)營(yíng)機(jī)制和流程,從而依據(jù)等保2.0、關(guān)基保護(hù)條例等打造基礎(chǔ)能力及運(yùn)營(yíng)能力.同時(shí),依托于資產(chǎn)管理、威脅情報(bào)等以及運(yùn)營(yíng)層所提供的場(chǎng)景編排能力,賦予企業(yè)安全運(yùn)營(yíng)作戰(zhàn)能力,如全天候監(jiān)測(cè)預(yù)警、溯源反制、威脅狩獵等.

由此,平時(shí)常態(tài)化基礎(chǔ)能力、運(yùn)營(yíng)能力、戰(zhàn)時(shí)能力疊加的安全運(yùn)營(yíng),戰(zhàn)時(shí)針對(duì)性增強(qiáng)關(guān)鍵防護(hù)反制的作戰(zhàn)能力,從縱深防御體系、威脅研判策略、威脅響應(yīng)策略、人員資源配置等方面展開,由平時(shí)向戰(zhàn)時(shí)的轉(zhuǎn)化,以實(shí)現(xiàn)2種狀態(tài)的平滑過(guò)渡.

3 應(yīng)用實(shí)踐

3.1 基礎(chǔ)架構(gòu)建設(shè)

3.1.1 全方位感知安全縱深建設(shè)

基于DAO數(shù)字化安全運(yùn)營(yíng)體系,因設(shè)備冗雜導(dǎo)致的管理困難問(wèn)題得到緩解,防御基礎(chǔ)的全面性應(yīng)為防御層建設(shè)的首要關(guān)注問(wèn)題.即圍繞網(wǎng)絡(luò)安全、應(yīng)用安全、主機(jī)安全及數(shù)據(jù)安全,以網(wǎng)絡(luò)邊界為起點(diǎn),通過(guò)足量安全設(shè)備部署及異構(gòu),建立基于5道防線的防御縱深[9-10],如圖3所示:

圖3 防御層防御縱深架構(gòu)

在網(wǎng)絡(luò)安全運(yùn)營(yíng)中,圍繞安全視角的資產(chǎn)管理始終是銀行業(yè)機(jī)構(gòu)的痛點(diǎn),包括僵尸資產(chǎn)、信息不匹配、難以有效梳理資產(chǎn)暴露面等問(wèn)題.基于攻擊面管理(attack surface management, ASM)概念,將具備資產(chǎn)信息收集能力的設(shè)備所獲取的資產(chǎn)信息進(jìn)行歸集、清洗及融合,并將機(jī)構(gòu)互聯(lián)網(wǎng)資產(chǎn)及內(nèi)網(wǎng)資產(chǎn)進(jìn)行關(guān)聯(lián),形成資產(chǎn)訪問(wèn)路徑圖譜,建設(shè)由資產(chǎn)、路徑、弱點(diǎn)3元素構(gòu)成的ASM平臺(tái),能夠?yàn)槟芰犹峁┰O(shè)備指紋查詢、資產(chǎn)攻擊暴露面管理等原子能力.

除開展攻防演習(xí)以外,入侵與攻擊模擬(breach and attack simulation, BAS)技術(shù)能夠提供常態(tài)化、智能化的防護(hù)有效性驗(yàn)證手段.基于BAS平臺(tái)原子能力抽取及運(yùn)營(yíng)劇本編排,關(guān)聯(lián)ASM平臺(tái),周期性對(duì)機(jī)構(gòu)資產(chǎn)的安全設(shè)備防護(hù)覆蓋率及有效性、資產(chǎn)漏洞修復(fù)率進(jìn)行自動(dòng)化驗(yàn)證.

3.1.2 原子化設(shè)備能力基礎(chǔ)建設(shè)

能力層通過(guò)構(gòu)建原子化設(shè)備實(shí)例實(shí)現(xiàn)對(duì)安全設(shè)備及其能力的管理.實(shí)例化過(guò)程包括設(shè)備安全能力抽取、設(shè)備指紋信息補(bǔ)充及標(biāo)簽化.表1所示為2種設(shè)備的實(shí)例化結(jié)果.

表1 原子化設(shè)備實(shí)例

進(jìn)一步,將不同安全設(shè)備原子能力調(diào)用手段進(jìn)行集成,關(guān)聯(lián)至特定原子能力,從而封裝為原子能力接口,供運(yùn)營(yíng)層調(diào)度.能力層通過(guò)API、命令行、本地腳本等方式接入安全設(shè)備.以保護(hù)能力——阻斷IP為例,異構(gòu)的防火墻產(chǎn)品所需輸入?yún)?shù)、格式存在不同,例如輸入IP可分為IP、掩碼、IP段等形式,同時(shí)部分設(shè)備支持輸入阻斷時(shí)間.能力層將該動(dòng)作入?yún)⒐潭镮P掩碼及設(shè)備標(biāo)簽,通過(guò)內(nèi)部邏輯將掩碼轉(zhuǎn)化為各防火墻所支持的格式,并固定阻斷時(shí)間置為永久,同時(shí)根據(jù)設(shè)備標(biāo)簽對(duì)需調(diào)度的設(shè)備進(jìn)行過(guò)濾,由此形成標(biāo)準(zhǔn)化的原子能力動(dòng)作,即標(biāo)準(zhǔn)安全編排動(dòng)作(standard security orchestration action, SSOA),對(duì)各設(shè)備進(jìn)行統(tǒng)一調(diào)度,如圖4所示:

圖4 原子能力接口示意圖

3.1.3 安全運(yùn)營(yíng)總臺(tái)建設(shè)

安全編排自動(dòng)化和響應(yīng)(security orchestration automation and response, SOAR)技術(shù)通過(guò)對(duì)安全工具、專家經(jīng)驗(yàn)以及運(yùn)維操作進(jìn)行規(guī)劃、整合、合作和協(xié)調(diào),將其以劇本的形式進(jìn)行輸出,以實(shí)現(xiàn)跨多個(gè)技術(shù)范式的安全事件自動(dòng)化響應(yīng)[11-12].運(yùn)營(yíng)層依賴于SOAR技術(shù),以能力層為紐帶集成離散的安全設(shè)備和平臺(tái)能力,構(gòu)建安全運(yùn)營(yíng)指揮中樞,建立包括威脅事件響應(yīng)、離職風(fēng)險(xiǎn)處置、資產(chǎn)風(fēng)險(xiǎn)探測(cè)、安全基線檢驗(yàn)、設(shè)備策略維護(hù)等各類場(chǎng)景劇本,并逐步融合人工智能、基于時(shí)空的關(guān)聯(lián)分析等技術(shù),在標(biāo)準(zhǔn)化數(shù)字流程的基礎(chǔ)上建立輔助決策機(jī)制.同時(shí),運(yùn)營(yíng)層以SOAR平臺(tái)為基底,集成基于Java與Python的開放SDK,開放腳本與APP開發(fā)接口,實(shí)現(xiàn)特定安全運(yùn)營(yíng)能力的自主定義、開發(fā)和嵌入.

運(yùn)營(yíng)層以SSOA為基礎(chǔ),能夠?qū)崿F(xiàn)在單一的場(chǎng)景節(jié)點(diǎn)中對(duì)異構(gòu)安全設(shè)備的能力調(diào)用及資產(chǎn)的關(guān)聯(lián)查詢,同時(shí)具備了敏捷增加標(biāo)準(zhǔn)安全編排動(dòng)作設(shè)備實(shí)體的能力,由此構(gòu)建了能夠響應(yīng)威脅、防護(hù)需求動(dòng)態(tài)變化的自動(dòng)化場(chǎng)景,如圖5所示:

圖5 漏洞利用威脅排查自動(dòng)化場(chǎng)景

3.2 平戰(zhàn)一體化運(yùn)營(yíng)機(jī)制能力強(qiáng)化路徑

DAO數(shù)字化安全運(yùn)營(yíng)體系基于平戰(zhàn)一體化機(jī)制,集成平時(shí)、戰(zhàn)時(shí)2種安全運(yùn)營(yíng)需求于同一運(yùn)營(yíng)層場(chǎng)景劇本中,通過(guò)讀取全局參數(shù)對(duì)縱深防御體系、威脅研判策略、威脅響應(yīng)策略、人員資源配置4個(gè)層面進(jìn)行平戰(zhàn)狀態(tài)的自主切換,如圖6所示:

圖6 平戰(zhàn)一體化運(yùn)營(yíng)機(jī)制能力強(qiáng)化路徑

縱深防御體系戰(zhàn)時(shí)轉(zhuǎn)換側(cè)重強(qiáng)化威脅狩獵及溯源反制能力.通過(guò)部署互聯(lián)網(wǎng)高仿真高交互蜜罐,對(duì)攻擊者進(jìn)行迷惑以減緩攻擊進(jìn)度,并收集攻擊者攻擊手段以輔助進(jìn)行0day抓捕;同時(shí),可通過(guò)在蜜罐上部署MYSQL服務(wù)、放置CS馬等手段,獲取攻擊者敏感文件,實(shí)現(xiàn)對(duì)攻擊者的反制.

威脅研判策略戰(zhàn)時(shí)轉(zhuǎn)換側(cè)重提升威脅研判的廣度與效率.異于平時(shí)威脅識(shí)別高精度要求,戰(zhàn)時(shí)狀態(tài)網(wǎng)絡(luò)攻擊烈度增加,任何攻擊行為的疏忽都可能導(dǎo)致資產(chǎn)的陷落,由此要求威脅識(shí)別以廣度優(yōu)先,這要求降低威脅響應(yīng)等級(jí)閾值、放寬威脅關(guān)聯(lián)分析判斷條件,以確保攻擊行為的全面、及時(shí)發(fā)現(xiàn).

威脅響應(yīng)策略戰(zhàn)時(shí)轉(zhuǎn)換側(cè)重提升威脅響應(yīng)的效率.平時(shí)為降低威脅自動(dòng)化響應(yīng)對(duì)業(yè)務(wù)產(chǎn)生的影響,處置過(guò)程需綜合考慮威脅情報(bào)、告警等級(jí)、處置歷史等因素.在戰(zhàn)時(shí),響應(yīng)采取一刀切手段,如IP永久封禁,以阻斷相同源的重復(fù)攻擊.

人員資源配置戰(zhàn)時(shí)轉(zhuǎn)換側(cè)重提升戰(zhàn)時(shí)人員協(xié)調(diào)、資源調(diào)度效率.針對(duì)戰(zhàn)時(shí),建立基于運(yùn)營(yíng)層的專用部門級(jí)交流渠道,打破運(yùn)維人員、安全專家、安全資源池間溝通壁壘,從而提升基于非自動(dòng)化的針對(duì)性威脅溯源取證、事件分析及應(yīng)急響應(yīng)效率.

3.3 實(shí)踐成果

銀行業(yè)DAO數(shù)字化安全運(yùn)營(yíng)體系通過(guò)科學(xué)化安全設(shè)備管理在傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)上進(jìn)一步增強(qiáng)完善其防御能力,同時(shí)憑借能力層與運(yùn)營(yíng)層結(jié)構(gòu)建立起高效數(shù)字化平戰(zhàn)一體的安全運(yùn)營(yíng)基礎(chǔ),在實(shí)踐應(yīng)用中取得了良好的效果.

3.3.1 科學(xué)的安全設(shè)備管理

實(shí)踐企業(yè)先期完成了安全設(shè)備能力原子化建設(shè),以安全能力為單位從安全防護(hù)與運(yùn)營(yíng)角度展開安全設(shè)備的科學(xué)化管理與調(diào)度實(shí)踐.將多品牌防火墻、文件沙箱、IDS等設(shè)備能力敏捷集成為標(biāo)準(zhǔn)化的安全編排動(dòng)作,從而得以靈活、定制化建立包括漏洞利用威脅排查、內(nèi)網(wǎng)橫向取證響應(yīng)、漏洞檢測(cè)及補(bǔ)丁下發(fā)等各類安全運(yùn)營(yíng)場(chǎng)景.

3.3.2 全方位風(fēng)險(xiǎn)發(fā)現(xiàn)能力

基于原子化設(shè)備能力機(jī)制突破了安全設(shè)備管理的瓶頸,實(shí)現(xiàn)了最大程度上的安全設(shè)備的接入及異構(gòu),并能夠在此基礎(chǔ)上對(duì)原處于零散狀態(tài)的各設(shè)備進(jìn)行全局統(tǒng)籌,融合多源設(shè)備能力增強(qiáng)威脅辨識(shí)能力,產(chǎn)生了“1+1>2”的實(shí)踐效果.

3.3.3 安全運(yùn)營(yíng)流程規(guī)范化、高效化

通過(guò)該體系建設(shè),將各安全設(shè)備、管理系統(tǒng)能力解構(gòu)為原子化動(dòng)作,提供了一種基于原子動(dòng)作敏捷組合的安全運(yùn)營(yíng)場(chǎng)景靈活編排方案,使各類安全運(yùn)營(yíng)流程、風(fēng)險(xiǎn)響應(yīng)流程標(biāo)準(zhǔn)化,大幅降低人工運(yùn)營(yíng)動(dòng)作響應(yīng)時(shí)間及人為因素操作風(fēng)險(xiǎn)的同時(shí),促使各類安全運(yùn)營(yíng)事件實(shí)現(xiàn)100%閉環(huán).

3.3.4 平戰(zhàn)狀態(tài)平滑轉(zhuǎn)換

建立起安全運(yùn)營(yíng)戰(zhàn)時(shí)平滑轉(zhuǎn)換機(jī)制,實(shí)現(xiàn)作戰(zhàn)能力的戰(zhàn)時(shí)快速?gòu)?qiáng)化.同時(shí)該機(jī)制促進(jìn)了應(yīng)急響應(yīng)機(jī)制、演練和測(cè)試機(jī)制等措施的優(yōu)化,可以保障安全事件快速有效地響應(yīng)和處置,保障銀行系統(tǒng)的安全和可靠運(yùn)行.

4 結(jié) 語(yǔ)

本文分析了當(dāng)前銀行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)中所面臨的困難,提出了一種以解決銀行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)中安全設(shè)備管理、運(yùn)營(yíng)流程數(shù)字化、常態(tài)化作戰(zhàn)能力等方面痛點(diǎn)為目的安全運(yùn)營(yíng)數(shù)字化體系建設(shè)的創(chuàng)新思路.

在實(shí)際建設(shè)中,標(biāo)準(zhǔn)化運(yùn)營(yíng)流程的建設(shè)依賴于長(zhǎng)期的專家知識(shí)沉淀,如針對(duì)各類攻擊手段的分析及響應(yīng),因企業(yè)物理、網(wǎng)絡(luò)及管理環(huán)境的變化性,其積累固化過(guò)程將極為困難漫長(zhǎng).目前隨著ChatGPT等大型NLP模型的出現(xiàn)及發(fā)展,在安全運(yùn)營(yíng)中AI技術(shù)的應(yīng)用前景被進(jìn)一步擴(kuò)展,將如威脅輔助決策、數(shù)據(jù)威脅探測(cè)等應(yīng)用于安全運(yùn)營(yíng)場(chǎng)景流程中是進(jìn)一步探索與完善的方向.