全面實現(xiàn)數(shù)字化轉(zhuǎn)型成為傳統(tǒng)金融業(yè)發(fā)展的必然趨勢,金融業(yè)多年積累起來的海量金融業(yè)務(wù)數(shù)據(jù)將被重新整合利用。可視化、直觀化的數(shù)據(jù)為決策者及安全管理者提供具有指導作用的智慧,尋求到新的價值增長點,增強業(yè)務(wù)創(chuàng)新能力的支撐點。當技術(shù)變革沖擊原金融行業(yè)運營模式和生態(tài),其轉(zhuǎn)型變革也面臨著嚴峻的挑戰(zhàn)。
01
不可避免走向復雜化的金融行業(yè)網(wǎng)絡(luò)安全
陳玉奇指出,正如大家所知道的是現(xiàn)在我們一直在談跟安全相關(guān)的技術(shù)的能力、數(shù)據(jù)的能力、產(chǎn)品的能力,最終都需要為運營所服務(wù)。但是當討論運營之前,通常會關(guān)注現(xiàn)在金融行業(yè)的運營到底屬于什么樣的狀態(tài)?對金融行業(yè)來說由于業(yè)務(wù)特性導致其安全意識特別高,希望通過安全的方式,提高安全體系。在這個過程中,目前整個金融行業(yè)的安全方法和模型相對完善,無論是安全成熟度的模型還是等保的模型,這些模型在不同的情況下都有相應的落地。同時也發(fā)現(xiàn)它整體的投入和人員是比較完整。在整個安全的領(lǐng)域里面,我們會發(fā)現(xiàn)很多客戶有安全的意識、有安全的想法,但是在資金的投入、人員的投入上相對是捉襟見肘,金融機構(gòu)在這塊恰恰是有非常好的制度支撐和投入。
當擁有了人力、模型、數(shù)據(jù)之后,金融行業(yè)單位在邊界的安全、數(shù)據(jù)的安全、網(wǎng)絡(luò)的安全和信息的安全等各個層面上,大量的設(shè)備和能力都開始部署。有意識、產(chǎn)品、投入、人員,我們反而會發(fā)現(xiàn)整個金融行業(yè)的安全不可避免地走向復雜化,模型太多了,數(shù)據(jù)太多了,產(chǎn)品太多了必然會越來越復雜。
我們會發(fā)現(xiàn)雖然金融行業(yè)有很多的投入,但是大量的能力依靠第三方,過于依賴第三方之后,涉及建設(shè)安全體和業(yè)務(wù)之間該如何平衡?伴隨著系統(tǒng)越來越安全的時候,它的可用性一定是降低的。當金融機構(gòu)需要快速去實現(xiàn)數(shù)字化轉(zhuǎn)型的時候,安全怎么平衡這是值得考慮的問題?
由于所處的行業(yè)對業(yè)務(wù)的連續(xù)性、業(yè)務(wù)的安全性以及對客戶資金的責任,所以必然要求金融機構(gòu)一定要滿足合規(guī)的要求。合規(guī)和創(chuàng)新的安全在一定范圍內(nèi)沖突的時候,我相信絕大部分的金融企業(yè)會選擇合規(guī)。而且雖然有人力的投入、資金的投入,但是這些單位在自動化的程度上還是有很多需要進展或者發(fā)展。
正如我們前面所提到的金融機構(gòu)投入了很多的產(chǎn)品之后,事實上會發(fā)現(xiàn)一個問題,不同的技術(shù)、不同的產(chǎn)品之間有很多縫隙,什么是縫隙?很簡單,我們隨便找出一個金融企業(yè)、金融機構(gòu)會發(fā)現(xiàn)它的信息安全發(fā)展到今天為止,已經(jīng)有了幾年、幾十年,在多年的發(fā)展歷程中投了大量的安全、大量的安全設(shè)備,前人的安全解決方案和今人的安全解決方案我們能說百分之百覆蓋嗎?難說。防火墻的安全策略,前人寫的策略和今人寫的策略是百分之百匹配嗎?
從調(diào)查上來看不是的,我們會發(fā)現(xiàn)中間有很多空隙。前人寫的方案、前人寫的策略,基本上后人是不敢動的,為什么不敢動呢?因為涉及到前面所提到的業(yè)務(wù)和安全之間的平衡一定是業(yè)務(wù)為先,所以這時候一定會有很多縫隙。但是這些縫隙必然會帶來一些安全的風險。
隨著金融行業(yè)的安全重視程度之后,我們會發(fā)現(xiàn)不同的部門之間由于所處的位置不一樣,會有很多的溝通成本,這也會導致從金融企業(yè)本身看到安全運營的運行也有一定的難度。
02
重新定義的新一代高級網(wǎng)絡(luò)攻擊技術(shù)及威脅
針對金融行業(yè)的領(lǐng)域,正如大家所知道金融行業(yè)成為關(guān)鍵基礎(chǔ)設(shè)施的一部分,在這個定義之下我們會發(fā)現(xiàn)對它的攻擊、對它的威脅往往是多種方法的綜合利用,可能會通過釣魚郵件、隱蔽隧道、不同安全設(shè)備之間的縫隙去進行入侵,攻擊越來越隱秘。
我們經(jīng)常會發(fā)現(xiàn)某個APT組織,對某一個金融機構(gòu)的入侵甚至達到了幾個月甚至幾年,尤其是現(xiàn)在的國際大背景之下,很多類似這樣的入侵行為是非常隱蔽而且長期的。在分析這些入侵事件的時候,你會發(fā)現(xiàn)很多行為是無特征的,什么叫無特征?這些行為不一定是已知攻擊工具發(fā)起的,實際行為可能是正常的行為,比如說在內(nèi)網(wǎng)做一個登錄,它登錄到某一個系統(tǒng)中做某一個操作,我們會發(fā)現(xiàn)這個好像是很正常的,對單點的行為是正常的,但是把它拉開到一個長期的過程中你會發(fā)現(xiàn)這臺服務(wù)器為什么每30分鐘或者每30秒鐘都要登錄一次呢?很有可能不正常。所以我們會發(fā)現(xiàn)這些正常的行為往往會導致異常的結(jié)果出現(xiàn)。
今天對于攻擊者來說,攻擊對象發(fā)生了變化,不再是以互聯(lián)網(wǎng)側(cè)為主,可能是轉(zhuǎn)戰(zhàn)專線側(cè),金融城域網(wǎng)、其他內(nèi)部專線、第三方專線、很多攻擊來自于可信任的第三方,也有可能來自于某些開放的API。開放銀行也好、金融機構(gòu)的數(shù)字化轉(zhuǎn)型也好,必然會要求我們的金融業(yè)務(wù)更加開放,但在開放的過程中不可避免地會開放大量的API,而這些API也成為了新的攻擊的目標、會面臨更多的攻擊的行為。
同樣,針對供應鏈的攻擊的案例也在逐年增多,我們會發(fā)現(xiàn)類似于Google、微軟均被攻擊過,同時也造成了一定程度的損害。
03
新形勢之下,以數(shù)據(jù)驅(qū)動金融行業(yè)安全運營發(fā)展
當攻擊的危險快速變化,新形勢之下對安全運營也提出了更高的要求。數(shù)據(jù)驅(qū)動目前已經(jīng)成為金融行業(yè)很多企業(yè)的首選。但是我們應該如何利用這些數(shù)據(jù)在安全運營上做得更好?
第一點,數(shù)據(jù)采集一定是要全面的,我們會發(fā)現(xiàn)說某一個點的數(shù)據(jù)似乎做得很好,互聯(lián)網(wǎng)側(cè)的數(shù)據(jù)做了很多,但是不是互聯(lián)網(wǎng)側(cè)的數(shù)據(jù)就足以支撐我的安全運營和安全分析做得更加優(yōu)秀呢?不見得。所以我們會建議你除了互聯(lián)網(wǎng)側(cè),同時還需要結(jié)合生產(chǎn)網(wǎng)甚至測試網(wǎng)等的數(shù)據(jù),綜合以上各類數(shù)據(jù)從多維度進行分析。
除了本身的數(shù)據(jù)之外,我們應該引入第三方的數(shù)據(jù)的能力,例如,漏洞情報以及其他一些安全設(shè)備的不同的數(shù)據(jù)。
當我們把數(shù)據(jù)全部采集完了之后,進行全流量的分析之后,利用AI進行綜合建模的分析。我們要看到的是那些未知威脅的行為,包括隱蔽隧道、C2回連,還有一些非常隱秘的正常行為導致的異常結(jié)果。
基于人工智能的未知威脅的分析平臺是需要我們做的,但是不是有這個AI就足夠了?不是的。數(shù)據(jù)分析是基于AI模型,但是它必然要關(guān)聯(lián)到場景,沒有場景的數(shù)據(jù)分析、AI分析沒有意義。
我們舉個例子,比如斗象做安全運營的時候討論做基礎(chǔ)安全應該是什么樣?場景化是什么樣的模型,在場景的分析中會涉及到跟時間相關(guān)、跟時序相關(guān)的模型,我們會考慮到安全事件有多少問題,協(xié)議事件有多少問題,這些問題都是我們數(shù)據(jù)的輸入,而數(shù)據(jù)的輸入必然會通過AI的模型,最后形成對場景的設(shè)定。
舉幾個實際的例子,一個是特定場景是業(yè)務(wù)訪問的異常,大家的第一反應是業(yè)務(wù)訪問不了是異常,除了此情況外,在這段時間所有的數(shù)據(jù)包的回包,從原來的200 OK變成404、503,而且404、503數(shù)據(jù)變得非常多的時候,我們認為這個數(shù)據(jù)訪問是異常的,來自于我們對于數(shù)據(jù)的全面收集以及基于人工智能分析的模型,最后形成了對訪問異常場景的定義。
主機通信異常,正常網(wǎng)絡(luò)里面的主機和主機之間不一定有關(guān)系,當我們基于數(shù)據(jù)的內(nèi)容、基于AI的分析,主機和主機之間訪問的頻率變得越來越高,帶寬越來越大,這代表什么呢?代表有可能網(wǎng)絡(luò)內(nèi)部出現(xiàn)了非常多的自動化的橫向移動,這些橫向移動大概率事件可能是勒索病毒、挖礦程序在你的網(wǎng)絡(luò)里運行,這才是場景的應用。
例如ACL攻擊面收斂,在不同部門之間,金融行業(yè)有非常多的安全的投入、安全的建設(shè),有非常多的安全設(shè)備,最后導致設(shè)備之間有互相重疊,后來者不會動前面的安全策略。在這個過程中就會導致前面提到的安全縫隙。這個時候需要通過大量的數(shù)據(jù)分析,判斷這個攻擊面,互相訪問控制的策略是不是允許你調(diào)整?需不需要調(diào)整?怎么調(diào)整,這才是我們把數(shù)據(jù)分析應用到場景化的最有效使用,我們才能去幫助更好的實現(xiàn)安全運營。
當我們注意到一些專線的入侵行為,需要判斷有沒有一些API暴露在外,這些API有沒有被攻擊,我們有沒有可信任的第三方專線比如金融程序網(wǎng)、金融專線,是否存在異常行為。我們會發(fā)現(xiàn)有沒有一些異常的隧道,比如說DNS隧道。DNS域名解析,即為所有網(wǎng)絡(luò)訪問最基礎(chǔ)的行為,在這個過程中尤其是金融企業(yè)作為一個封閉的網(wǎng)絡(luò)來說有非常多的攻擊者會利用這些隧道的方式來進行數(shù)據(jù)的傳輸。能不能看到企業(yè)現(xiàn)在網(wǎng)絡(luò)里面?zhèn)鬏敂?shù)據(jù)是否為真實的DNS數(shù)據(jù)請求,是否有人利用這些DNS請求做一些其他數(shù)據(jù)傳輸?這才是大量數(shù)據(jù)分析以及利用各種算法分析所關(guān)聯(lián)到的模型的價值,這才是我們需要干的事情。
既然我們有了數(shù)據(jù)、有了模型,有了跟數(shù)據(jù)相關(guān)的模型所涉及到的場景的時候,那就會討論我搭建數(shù)據(jù)分析的閉環(huán),其意義就在于基線和時序是有關(guān)系的。大量的數(shù)據(jù)存儲下來,這個數(shù)據(jù)前一秒鐘的行為和后一秒鐘的行為,前一分鐘的行為和后一分鐘的行為之間是不是有關(guān)聯(lián),需要通過數(shù)據(jù)進行基線的建模,并深度分析。
04
全流量安全計算分析平臺構(gòu)建起全面防御
除了需要判斷分析是否存在已知威脅之外,對于金融行業(yè)來說,更加應該對未知的威脅,通過安全數(shù)據(jù)計算,構(gòu)建起持久的自動監(jiān)控響應機制。
持久的自主監(jiān)控響應機制應該具備如下特點:當發(fā)現(xiàn)異常行為時,能夠及時啟動告警、處置、阻斷等行為。我們前面談到的,利用全流量數(shù)據(jù)進行安全計算,并使用這些模型和算法,應該能夠持久地運行在平臺上,做持久地響應,供客戶自定義去使用,形成客戶自主的能力框架。
安全運營需要集成大量的情報和溯源分析,這些數(shù)據(jù)并不是只有個人的數(shù)據(jù)及企業(yè)內(nèi)部的數(shù)據(jù),同時需要結(jié)合大量第三方的互聯(lián)網(wǎng)數(shù)據(jù)來進行判斷,能精細化的調(diào)查、取證、做更加完善的全面的防御。
企業(yè)如果想要構(gòu)建起全面防御的閉環(huán)時,非常重要的一點就是跟時序有關(guān),跟模型輸出有關(guān),跟數(shù)據(jù)分析有關(guān),最終要自動化地去做響應,這是我們核心要做的事情。
05
場景化的案例賦能金融行業(yè)網(wǎng)絡(luò)安全運營落地
在金融行業(yè)到底怎么樣將這套閉環(huán)體系進行落地呢?我們有一個非常好的案例,這個客戶是中國的銀行卡業(yè)務(wù)的核心和樞紐,它的體系非常龐大。我們跟他們研討了很多年,最終發(fā)現(xiàn)客戶自主能力+廠商能力結(jié)合的方式是比較合適的。他們首先要把整個基礎(chǔ)架構(gòu)集中化,基礎(chǔ)設(shè)施云化,要實現(xiàn)海量的數(shù)據(jù)的存儲,因為每一個數(shù)據(jù)的存儲會涉及到每一個用卡人的每一分錢的安全。
在這個過程中,我們斗象與客戶探討的是,幫助他建立一套全新的、面向未來的、具備客戶自主能力的安全運營體系。
作為中國最為領(lǐng)先金融機構(gòu)之一,客戶的預期和目標并不止步于:可以應對攻防實戰(zhàn)、可以進行特征威脅檢測、可以實時監(jiān)測預警……傳統(tǒng)的安全思路不能滿足頂級用戶的要求。客戶更加希望能夠通過大數(shù)據(jù)、人工智能技術(shù),通過數(shù)據(jù)計算、智能模型、分析框架,包括有能力連接全國所有的分支機構(gòu),形成穩(wěn)定的網(wǎng)絡(luò)數(shù)據(jù)的接入,再通過以數(shù)據(jù)計算分析為驅(qū)動的方式,去形成常態(tài)化的安全運營體系,從而構(gòu)建縱深防護能力。從2018年-2020年一直到現(xiàn)在,包括到未來,我們幫助他們做面向未來一體化的安全數(shù)據(jù)計算平臺和安全運營平臺。
目前斗象全流量安全數(shù)據(jù)計算分析平臺幫助用戶每日進行60-80G穩(wěn)定的數(shù)據(jù)采集,每日近百億條網(wǎng)絡(luò)協(xié)議日志的計算,每天通過多維的模型運算和基線訓練,幫助用戶實現(xiàn)了IOC攻擊信標的可視化,以及針對未知威脅的防御監(jiān)控基線。
除此之外,既然有穩(wěn)定的收集的這么多數(shù)據(jù),這么強大的算力,能不能為這個客戶帶來除了安全之外有更多的其他數(shù)據(jù)分析價值?可以。我們開發(fā)API的接口,滿足它對業(yè)務(wù)挖掘的需求,包括有沒有人在互聯(lián)網(wǎng)薅羊毛,有沒有人用假卡,有沒有人用POS機薅羊毛等等,這些是通過開放的API的接口去進行的更進一步在數(shù)據(jù)分析、安全分析在金融業(yè)務(wù)安全領(lǐng)域的運用。
經(jīng)過長時間的運行,平臺整個數(shù)據(jù)量達到PB級了,我們依然可以實現(xiàn)秒級的查詢,支撐到3千多億條的數(shù)據(jù)量,并且整個體系經(jīng)歷和保障了多次實戰(zhàn)攻防演練的錘煉。這是我們在金融領(lǐng)域已經(jīng)幫助客戶做的事情。
斗象科技是國內(nèi)領(lǐng)先的安全數(shù)據(jù)智能與安全運營的提供商。
斗象旗下包括三大塊業(yè)務(wù),第一塊是FreeBuf,所有在信息安全領(lǐng)域的無論是從業(yè)者、愛好者、專家都知道的,中國最具影響力的網(wǎng)絡(luò)安全垂直門戶,集中了所有跟網(wǎng)絡(luò)信息安全的技術(shù)、案例、場景。
第二我們做漏洞盒子,中國最大的安全眾測與第三方漏洞平臺,我們甲方的安全需求跟我們大量的白帽子之間進行關(guān)聯(lián),在這個平臺上將這些白帽子聚力于企業(yè)級的漏洞挖掘和安全服務(wù),這是中國最大的白帽子的集合。
第三是斗象的智能安全,數(shù)據(jù)智能安全體系主要側(cè)重于兩件大事情,第一件大事情就是漏洞管理、漏洞情報的解決方案,有數(shù)據(jù)、有業(yè)務(wù)、有系統(tǒng)就一定有漏洞,有漏洞一定產(chǎn)生情報,這些漏洞和情報怎么去管,能不能形成閉環(huán)的運營體系。第二件事情是全流量的安全計算分析,我們希望金融企業(yè)在現(xiàn)在運營的體系里面去做更多的數(shù)據(jù)收集,這個數(shù)據(jù)包括自己的數(shù)據(jù)、第三方的數(shù)據(jù)、漏洞的情報、威脅的情報,這些數(shù)據(jù)都收集起來以后通過數(shù)據(jù)科學、算法模型,最終應用到不同的場景里面。
更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<