没有比金融机构更苦逼的行业了。
手里攥着大把票子,却无时无刻不被贼惦记着。于是金主爸爸们踏上了疯狂购买安全产品的道路:防火墙来几套,身份认证来几套,杀毒软件来几套……总之,他们坚信安全产品买多了,自己就安全了。
而事实,啪啪啪打脸:
汇丰银行大量秘密银行账户文件被曝光;
社保信息现高危漏洞,数千万个人隐私泄密;
工行快捷支付被曝漏洞,多位北京地区的工行储户遭遇了存款被盗事件;
广发银行、农行“萝卜章”事件,员工内外勾结诈骗数亿;
此时,金融大户们的反应是这样的:
安全产品一窝蜂堆积在家门口,却根本防不住外匪和内贼。金融大佬们哭了,嘤嘤嘤,童话里都是骗钱的,买了这么多产品却不能发挥作用?
这时候可能需要一个帮忙整理院子的“管家”,负责优化堆积的安全产品,让它们发挥本该产生的价值。
当然,要做的还不止这些,“管家”华青融天的安全运营平台负责人易歆告诉雷锋网。
花钱买产品谁都会,可买回来之后怎么用是个问题。
银行业普遍存在的现象是不论大行小行,安全产品买来了就是买来了,产品及安全策略的优化配置不及时,相应的攻击手段却越来越灵活。
“仅仅对安全产品进行梳理是不够的,而是要真正运维起来。”易歆告诉雷锋网。
目前银行面临的安全问题主要有三个方面:
第一,日益频繁和复杂的外部攻击。
第二,日趋严格的行业/企业内部合规审计。
第三,严格数据安全管理。
每方面都有相应的安全产品,银行老板们的需求很直白,买了这么多款产品总要让我看到他们是怎么工作的。也就是需要一个大脑,将这些产品动态输入进去,并由大脑控制信息进行连动式的防御机制,实现安全建设的可视化操作。
这就是SOC(Security Operations Center,安全运营中心),S即企业中相关安全事件和对应流程建设;O代表着一种实时动态运营,包括但不限于实时安全事件预警,还需要对事件的响应、处置和回溯分析;C则表示体系化的建设,多领域安全产品和服务“叠加”而成的综合防线。也就是说,SOC负责确保潜在的安全事件能够被正确识别、分析、防护、调查取证和报告。
华青融天会根据银行部署的安全设备、操作系统、网络流量数据获取事件进行特征识别、统计分析以及预测,并评估自身的安全加固程度给出相应建议。
“我们的定位是安全增值服务商,与大多数安全厂商的区别是,他们卖产品、实施完成后把实际产品巡检运维工作交由服务商或合作伙伴进行,且这种运维仍聚焦产品维度,并非以安全事件及整体态势进行规划运营。”
尽管SOC的概念足够完美,但其在国内落地一直不算成功。仅靠日志分析、终端安全等工具的堆砌,缺乏足够的知识和人才来运营,难以与IT、业务和监管等部门进行有机的联动等问题都使得国内一票自建SOC生长不顺,处于尴尬位置。
摸索这一平台的过程不容易。
2010年,国内各大金融机构在频发的网络安全事件下瑟瑟发抖,想要防御又不知如何砌墙,至于怎么做SOC更是一片模糊。2010年3月,易歆加入华青融天。彼时华青融天还是一个24人的团队,主要做招商银行的集成类项目。而易歆则重点关注EMC存储、备份以及APM(应用性能管理)领域。
也是那时,机缘巧合下他负责了某银行项目安全运营工作,才真正进入安全圈,开始了两三年的摸着石头过河。
被他们一路摸过来的“石头”有香港花旗银行,韩国的大韩银行,以及台湾的一些银行案例。而早期的产品实际就是架设在国外某产品之上,将安全事件数据以定制化方式向甲方维度展现。
“那段时间就是自己在磨。”
2013年,银监部门颁布了一系列监管要求,给一片混沌的银行行业指出清晰方向,即要对安全事件进行责任制的处理和响应。
有目标才有招式,他们逐渐给银行开展了各种关联事件产品的分析、回溯分析、事件调查、安全加固,甚至参与行分内部的一些攻防渗透,以及提供重要防护安全设备的运维,包括IPS、WAF或者漏洞扫描。
有了这些就能竖起一道无坚可摧的屏障吗?
当然不可能。
DDoS攻击时刻发生在互联网之上,金融行业更是重灾区之一。依靠数台抗D产品联合狙击防御就能挡住所有DDoS攻击吗?想太多了。
对于具有典型特征的DDOS攻击,如果能将每隔一段时间攻击特征数据加以分析是不是可以预测随后的攻击方向,并提前进行预案型的流量清洗?易歆觉得OK。
于是,从2016年到2017年,华青融天开始在原有产品之上添加了安全态势感知、情报TI和安全大数据平台等功能,提供真正的安全态势感知方向,如进行用户行为分析(主要为内部人员分析),针对外网攻击态势以及数据特征进行攻击预测和分析等。
“这也是下一代SOC平台,以事件及预测分析驱动,而非被动接受。”
但银行是否愿意投产这样一套下一代SOC平台?
实际上,银行遭受有组织的正面攻击可能性非常小。金融机构普遍默认的规则是:大规模的网络攻击是由网监、公安局防御的,单个的黑客攻击可以被现有的安全防护手段抵挡,而小规模,小团队有组织的攻击才是主要防守的。
易歆告诉雷锋网,在多年运维工作中他曾遇见多起黑客入侵事件,但多数情况是被当作肉鸡或者矿机,被当做矿机会出现突如其来网络带宽占高用,甚至会带来业务系统、办公日常应用的用户体验极差(延时高、网络丢包严重),被当做肉鸡则会强制性地在一些特殊的网段、时间点,让脚本运行某些外联行为或获取权限、敏感数据的尝试。
不过这种尝试会被SOC平台轻易监控到,此时再去出具一大票相关报告就显得拖沓。而易歆团队分成T1、T2两组,T1组只要发现存在敏感操作会立即采取调停,调查措施,T2组则负责随后的具体分析工作。也就是以事件驱动进行运维工作。
除了外部攻击,来自内部人员的小铁拳锤你胸口也不少见。
金融行业本身就是在和钱打交道,现在又被互联网金融“逼得”讲究互联互通,开始业务系统的频繁迭代、变更、上线。而在业务迭代上线过程中必然会存在某些漏洞,这些漏洞多为业内人员知晓。假如有心术不正之人稍微动动歪脑筋,制作各种僵尸木马,自己的脚本工具,甚至某些研发人员会专门给系统留后门,后果……自行想象。
世界上最难防的是人心,为此银行也采取了不少手段力图阻止这种情况出现。比如采用外包方式,开放某一区域邀请安全公司进行渗透工作,以及模拟应用攻击,查看自己的业务系统到底能不能扛住攻击,会不会有特殊漏洞存在。
这只是开胃小菜,部分银行也会招安一些白帽子不定期利用特殊漏洞或业内已知的后面进行攻防试验,模拟行内人员的特殊行为。当然,易歆表示他们也会在试运过程参与这种攻防,通常叫做批量式的验证攻防。
简单来说,今天你要去二环,但二环今天被管制了,但甲方爸爸就是要求你走,怎么办?采取各种方式想尽办法走。也就是即使这条路堵死了,你还是要用自己的工具和方法去验证这条路是不是真的堵死了。
即使采取了一系列手段,最后可能还会被攻击者钻空子。“毕竟安全加固是一个动态的过程,并没有唯一的标准性。加之会与产品、网络的互联互通、安全操作系统及应用的稳定性和可用性产生技术上的冲突,最终带来的结果就是,安全加固做得不彻底。”易歆说道。
是否有神器可以辅助安全加固?比如AI。
银行最不缺的是数据。
“如果从银行过往数年的数据中筛选部分如员工的各种登录数据,敏感操作数据以及业务系统的防御数据等迁移到大数据平台之上,并利用大数据的某些特征及技术特点进行建模,就可以实现自动化判定员工敏感操作行为,同时也会针对外网攻击事件进行预测。”易歆说道,这也是目前他们在做的。
也就是以员工个人过去一段时间的行为模型为标杆,如果其行为突然出现偏移(做了平时不会做的事),就会被模型识别出来并上报给风险质量合规管理部。
而预测攻击则是将几个月数据进行简单的统比和环比形成预测值,并对随后可能的攻击方向做出判断,哪些业务区域和系统可能受到攻击,是否要加强对这些业务性安全加固与防御,总之要形成的是一整套安全的业务视角。
“安全终究要为业务服务,它不是孤立存在的,而我们更愿意帮助用户走好安全的最后一公里。”
但这最后一公里并不好走。
知乎上有一个问题是国内安全管理平台(SOC)未来前景如何?点赞数最高的一条评论是:在各企业对IT信息化越来越依赖的现在,SOC是众多企业运营的必须部门。但于国内而言,这个被谈论许久的概念并没有很好的落地,响应不及时,规则不灵活,最为关键的是成本太高。因此SOC想在国内完美应用,似乎还任重道远。
雷锋网了解到,成立11年一直依靠自有项目收入养活自己的华青融天,一边深入研究安全态势和运营,一边即将启动融资,这个平台确实烧钱,但无疑是能够走得更稳的手杖。
易歆说,他们愿意为此付出。