“京东方不仅仅是传统认知的一家科技制造企业,而且扩展出很多的业态,既包括小课屏、画屏等面向C端的创新产品,也包括互联网医院、移动健康等智慧医疗服务。这就意味着我们的信息系统和数据开放性更强,暴露面更广,因此网络安全面临的挑战也越来越严峻。”京东方安全中心负责人李楠这样表示。
京东方科技集团股份有限公司(BOE)创立于1993年4月,是一家领先的物联网创新企业,形成了以半导体显示为核心,物联网创新、传感器及解决方案、MLED、智慧医工融合发展的“1+4+N+生态链”业务架构。目前京东方在全国多个城市拥有制造基地,子公司遍布全球20个国家和地区,服务体系覆盖欧、美、亚、非等全球主要地区。
更开放的业态拓展,更广泛的全球布局、更庞大的IT系统规模……都给京东方信息系统的网络安全提出了严峻挑战。在这种情况下,从2018年起,京东方就启动安全运营中心(SOC)建设,是国内最先部署SOC类产品的大型企业之一。经过多年建设,SOC的成熟度已经走在了行业前列,并屡获权威机构的推荐。
据李楠回忆,京东方从早期就非常重视网络安全,并在各个模块都有齐全的防护措施,如数据安全方面有特权账号管理,终端防御、网络防御、主机防御都有安全部署,可以应对常规的病毒木马、数据泄露、非授权访问等常规威胁。
然而,随着集团信息化建设不断深入,业务系统资产及漏洞暴露面越来越大、大量日志数据孤岛丛生缺少关联及分析、安全措施各自为战难以协同等问题也日益凸显。同时,随着各类安全产品的不断部署,海量安全日志无法得到合规存储,不仅存在合规风险,也存在日志无法有效利用的运营瓶颈。
面对千丝万缕、纷繁庞杂的集团网络安全状况,该如何破题?李楠团队给出的答案是“着眼资产”,即以资产为抓手,盘清家底、统揽全局。
“选择资产为切入口,基于两层原因,首先是2016年4月19日习近平总书记主持召开的网络安全和信息化工作座谈会中,重点提到‘要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。’另一方面,就是京东方在终端安全方面已经有了良好基础,将终端资产作为安全管理的切入口,就变得顺理成章、水到渠成。”
在这种情况下,奇安信刚推出不久的态势感知与安全运营平台(NGSOC),走进了京东方的视野。尤其是该平台在资产发现、日志收集、关联分析、服务器脆弱性管理等功能,吸引了京东方的极大关注。
在李楠看来,资产是网络安全运营管理非常重要的环节,第一阶段的核心工作,是以资产为中心收集资产、脆弱性、日志、流量等基础数据,并对数据进行分类梳理,对安全事件进行管理,以实现基础运行,为运行可控打好基础。从2018年到2019年,京东方依托态势感知平台完成了SOC建设的第一阶段。
第一阶段的建设从几个层面展开:在资产层面,通过人工录入、模板导入、流量探针、主机安全管理、漏扫等措施,实现了梳理资产、摸清家底;在漏洞层面,通过定期脆弱性扫描、漏洞与资产自动匹配、资产风险评估等机制,找出漏洞并有效管理;在日志留存层面,通过态势感知平台完成日志汇聚、资产安全事件回溯分析、审计合规等基础性工作;在威胁发现层面,通过建立有效而全面的流量分析,有效发现大量透过防御体系的安全风险;而在事件管理层面,通过大数据处理技术及威胁情报匹配,以及资产数据信息查询责任人等,大大提高了安全事件的分析处置效率。
该阶段建设的效果可谓立竿见影:在运营方面,实现了所有已知资产对应责任到人,高危漏洞有效管理,资产、漏洞、告警有效关联,关键安全事件闭环解决率100%,安全事件响应时间节约90%以上,并可通过仪表板、大屏等方式数字化展示集团网络安全各维度关键指标。在合规方面,实现日志留存6个月以上,完全符合法规及等保要求,并支撑HR、ERP、画屏及邮箱等系统顺利完成等级保护测评。
“第一阶段建设显著提升了集团的安全水平,但随着SOC发挥的作用越来越大,我们也发现了新的问题,例如部分告警资产无法找到责任人,子公司告警无法有效定位,告警量大,告警流程手工处理慢等。”李楠表示。为此,从2019年开始,集团决定启动SOC第二阶段,即功能完善建设阶段。
根据规划,SOC第二阶段的任务,主要是完善并实时了解资产属性信息变化,属地公司部署流量探针,集团完成平台扩容,和周边设备做数据打通,对关联规则告警进行优化降噪,网络安全数字化展示等,进而支撑资产、事件、漏洞全生命周期管理。主要围绕以下几个方面:
首先是更精细化的资产管理。一期工程尽管实现了有效的资产发现及资产管理,但由于所管理的组织过于庞大,资产责任部门及责任人时常动态变化,故存在一些在网设备无法实时准确对应责任部门及责任人的问题。同时资产缺少入网、退网状态管理。该阶段,京东方通过定制化开发完成SOC平台和CMDB(资产管理系统)数据的实时打通,给每个资产赋予BMC编号,并通过API接口完成态势感知平台及CMDB资产数据之间的实时同步,以应对组织及人员变化对资产准确性的影响。通过自定义资产属性字段增加入网、退网标签,并通过“资产发现确认”流程,对入网/退网资产进行管理。真正实现了从看见发现,到清晰识别和实时掌控。
其次是建立集团化安全运营。作为分支机构遍布全国各地的大型集团企业,京东方对于大型属地公司和小型属地公司采取不同的部署、运营和账号权限策略。集团可通过级联管理及分权分域管理向属地单位下发针对性关联分析规则及预警通报,以对下级单位进行赋能。基于平台计算存储所需资源,态势感知平台服务器集群也在随着数据量的增加而增加。
再次是和周边设备完成数据拉通,夯实安全大脑定位。通过定制化开发及API接口的对接,京东方先后完成和多个产品间的数据打通。例如,和主机CWPP对接自动获取服务器资产及配置基线数据;和资产管理系统对接完成全集团资产数据信息的实时同步;和漏扫设备对接,实现直接在态势感知平台调用漏扫设备下发扫描策略进行扫描并自动导入漏扫结果;和第三方威胁情报平台对接,完成双威胁情报匹配,为自动化处置打下基础;和ITSM系统对接,实现手动或部分确认性告警及脆弱性风险自动派单,缩短人员处置响应时间;和用户中台对接,从用户中台同步用户信息实现SOC平台的单点认证登录;和短信及移动门户平台对接,实现告警及风险的消息提醒;和工控安全产品对接,实现IOT设备数据一体化分析、管理和展现等。
再者是更加持续优化的安全运营。李楠做了一个比喻,NGSOC在整个安全运营中就如同“大脑中枢”,它一方面“眼观六路、耳听八方”,打通集团各类平台并汇聚分析集团资产、漏洞、日志、流量、告警等各类数据。另一方面,要“知行合一”,通过新增“告警处理流程”、“漏洞处置流程”,实现对告警处理闭环和漏洞生命周期管理,避免对安全风险出现“跟丢跑飞”的情况。对于告警量过大的通病,京东方通过各种技术手段进行筛选,结合长时间的风险修复运营,告警量已从最初的每日上万级下降到每日上百级,达到人工可逐一分析处理的水平。
最后是更为灵活多维的安全态势展现。一期工程由于缺少相应数据及功能支撑, 仅有外部威胁态势、内部威胁态势、资产风险态势、安全运营态势等部分大屏。持续优化之后,增加了包括资产态势、全网脆弱性态势、攻击者态势、业务外联态势、威胁预警态势、攻防演练态势、综合安全态势、漏洞生命周期态势、全球BOE设备及流量监控态势、应用系统安全态势等大屏展示场景,从而更加数字化、专题化、精细化的展示京东方整体网络安全态势。
通过该阶段的功能完善,京东方SOC的资产管理更加契合自身安全管理属性,并实现了告警处理闭环和漏洞生命周期管理。尤其在告警准确及风险闭环方面,京东方走在了国内前列。
阶段一和阶段二建设完成后,整体安全运营框架搭建完毕,安全运营体系基本形成。但随着集团数字化转型的持续开展,业务系统和安全要素的融合越来越密切,各类新的问题也开始出现,比较明显的主要是两方面:基于业务场景的关联规则分析能力不足,SOC特定的告警处置占用了安全人员大量时间。
“安全人员不懂业务,业务建模有难度,是红蓝双方共同的痛点。”京东方SOC建设负责人张森对打通安全和业务的难度,有着深刻理解。为了强化基于业务场景的关联规则分析能力,京东方开展业务建模工作,通过深入分析业务安全需求,实现了业务指标和IT指标的深度绑定。
以钓鱼邮件为例,过去仅有钓鱼邮件告警这一粗粒度的IT指标,业务建模之后,细化为钓鱼邮件收取率、打开率、URL点击率等业务指标;同样,边界安全的防火墙IP阻断/允许次数,转化为关键业务攻击量。基于业务场景制定了大量关联分析及基线分析规则,包括账号新增、账号锁定、钓鱼邮件、运维审计等等。通过该项工作,最终实现了以资产、业务为核心的全集团风险管理并积累了大量安全运营知识库。
除了推动业务建模之外,京东方运营团队和奇安信一起,重点推动了海量告警的合并降噪。具体采取了定期梳理资产、告警归并、告警降噪、建立运营模式等多项措施,通过明确责任人以治降噪,对具有相同属性的告警数据根据特定逻辑进行归并,过滤明显的无效数据,通过威胁情报进行二次校验,对运营知识积累形成知识库等措施,大幅度减少低价值告警数量,实现了运营效率的显著提升。
完成前三个阶段之后,京东方SOC已经具备了体系运营的基础,在成熟度层面逐渐成为行业翘楚。从2022年开始,京东方将安全自动化响应提上了日程。“安全运营人员的精力和时间是宝贵的,我们希望他们从繁琐事务中解放出来,投入到事件研判、溯源追踪等更高价值、更高技术含量的工作之中。”
具体实现上,京东方针对通用的、大批量的、固定流程的告警,以及运维人员告警处置过程等形成SOP。并在NGSOC基础上,通过定制安全自动化编排与响应工具(SOAR),集成多类自动化通知,将人工处理的过程定义成剧本,实现告警自动化处理。
通过SOAR剧本的编排,最终大幅度缩短了SOC响应和处置时间,提升了效率。从实际效果来看,自动化处置和人工处置相比,在NGSOC中发现同类告警,时间从3分钟缩短到不到10秒钟;根据告警查询文件信誉/文件信息,时间从5分钟缩短到5秒;下载文件和上传文件检测内容,时间从5分钟缩短到10秒以内;而发送告警处置结果通知,时间从2分钟缩短到5秒以内),整体的响应处置时间从15分钟缩短至30秒,效率提升幅度达到96.7%。
更重要的是,NGSOC和SOAR的强强联合,可形成“采集-分析-响应-复盘-总结”的持续动态闭环,解决了安全运营的最后一公里落地问题。对于漏洞管理可以实现全流程闭环管理,能够追责到资产漏洞责任人,并进行告警状态调整。针对自动工单派发,在NGSOC中产生的告警,由人工派单转换为自动下发处置工单,并可通过邮件、短信、内部通信工具等方式通知资产责任人,加快整体派单效率,相关方可持续跟踪工单处置状态。
李楠总结道:“通过自动化响应、自动派单的安全运营模式,我们可以在实践中不断的复盘整改,让运营人员腾出精力去做更隐蔽的攻击行为分析或漏洞研究,反哺平台的告警分析规则,最终形成一个‘告警处置越来越智能,平台运营越来越省心,风险识别越来越精准’的良性循环,推动SOC真正迈入高成熟度的体系运营阶段。”
根据赛迪顾问发布的《2021-2022中国安全运营中心调研分析报告》(简称:《报告》)显示,国内企业安全运营中心建成率已接近九成,但有高达65.5%的受访企业仅处于一、二级成熟度区间”,大多数企业安全运营中心的成熟度还比较低。《报告》重点推荐了京东方的安全运营中心的建设案例,按照赛迪顾问的成熟度模型,京东方已接近实现了四级的体系运营,并向最高级——五级的深度运营逐步靠近,在国内大型企业中处于领先水平。
“路虽远,行则将至;事虽难,做则必成”。京东方SOC能取得安全运营成熟度行业领先的成绩,归其原因,不仅仅是布局早、规划清晰,更重要的是将规划目标的每一项任务分解都落到了实处,每一个细微工作都做到了极致,拾级而上、聚沙成塔, 经过5年持之以恒、日积月累的分阶段建设,分步骤实施,京东方的安全运营中心,最终成为全行业的重要标杆。