ThreatBook較真之作第二期，看看作為金融科技企業(yè)的證通股份有限公司(以下簡稱 “證通”) 如何理解網(wǎng)絡(luò)安全?

“別人家的安全”是安全威脅情報(bào)(微信ID：ThreatBook)近期推出的一檔專欄。

合規(guī)、管理、構(gòu)建、應(yīng)急……安全問題千千萬，層出不窮。我們沒辦法給出這些問題的標(biāo)準(zhǔn)答案，但我們可以用Case Study的形式，讓你看看——“別人家的安全”。

本期受訪者資料：黃凱，8年安全從業(yè)經(jīng)驗(yàn)，目前就職于證通股份有限公司，安全技術(shù)負(fù)責(zé)人，職責(zé)包括信息安全技術(shù)體系管理、安全監(jiān)控系統(tǒng)運(yùn)營、安全技術(shù)調(diào)研。

[[208367]]

證通資深安全工程師 黃凱

Q：作為金融科技企業(yè)的證通股份有限公司(以下簡稱 “證通”) 如何理解網(wǎng)絡(luò)安全?

A：證通股份有限公司成立于2015年，是由國內(nèi)多家證券機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)和金融服務(wù)機(jī)構(gòu)以市場化方式共同發(fā)起成立的金融綜合服務(wù)企業(yè)，證通的團(tuán)隊(duì)來自銀行、證券、互聯(lián)網(wǎng)企業(yè)以及業(yè)內(nèi)領(lǐng)軍科技公司，其中核心科技人員占員工總數(shù)一半以上。實(shí)力雄厚的股東背景及團(tuán)隊(duì)優(yōu)勢，讓證通有責(zé)任更有義務(wù)在面向金融行業(yè)的IT創(chuàng)新輸出上有所作為。因此證通上至管理層、下至基層員工，大家對安全都非常重視，對新技術(shù)也保持著積極學(xué)習(xí)與探索的狀態(tài)。證通安全架構(gòu)是在滿足合規(guī)要求基礎(chǔ)上，結(jié)合新思想和新技術(shù)的“創(chuàng)新工場”。一方面是為了自身的安全能力的提升，畢竟網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在，單純防御性的措施已經(jīng)不如之前那么有效了;另一方面，我們也希望通過我們的技術(shù)革新，建立起成熟的與時(shí)俱進(jìn)的安全體系架構(gòu)，更好地為股東單位及行業(yè)機(jī)構(gòu)服務(wù)。

現(xiàn)在證通安全團(tuán)隊(duì)的職責(zé)已覆蓋安全合規(guī)、安全開發(fā)生命周期、安全運(yùn)維、安全監(jiān)控、安全技術(shù)調(diào)研等方面，是一支綜合能力很強(qiáng)的團(tuán)隊(duì)。

Q：證通的整個(gè)安全體系是如何構(gòu)建的?

A：證通的安全體系已經(jīng)覆蓋了安全技術(shù)管控、安全運(yùn)營管控、安全策略制定等各個(gè)方面。以具體場景為例，我們有三張網(wǎng)：生產(chǎn)網(wǎng)、測試網(wǎng)和辦公網(wǎng)。我們以生產(chǎn)網(wǎng)為重，對其管控力度也是三張網(wǎng)里最強(qiáng)的，生產(chǎn)網(wǎng)的安全設(shè)備部署與測試網(wǎng)、辦公網(wǎng)隔離，并且從建設(shè)之初便著手全量的安全日志收集，實(shí)現(xiàn)第一時(shí)間的安全事件告警和響應(yīng)。對測試網(wǎng)，我們配置了網(wǎng)絡(luò)安全設(shè)備和日志收集系統(tǒng);對辦公網(wǎng)，我們配置了齊全的安全管控和檢測手段，并定期對證通全體員工進(jìn)行安全培訓(xùn)，重點(diǎn)防止敏感數(shù)據(jù)泄漏。

Q：適應(yīng)性安全是安全圈現(xiàn)在很火爆的理念，態(tài)勢感知系統(tǒng)是這個(gè)理念比較典型的實(shí)踐品，證通啟動(dòng)態(tài)勢感知項(xiàng)目的大致情況如何?

A：態(tài)勢感知在2016年上半年的時(shí)候就已經(jīng)是非常成型的概念了，我們也非常認(rèn)可這個(gè)理念并自建了一套態(tài)勢感知系統(tǒng)以滿足自身安全需求。目前已經(jīng)完成了一期建設(shè)，包括安全測試模塊、自動(dòng)阻斷模塊、蜜罐模塊、智能漏洞驗(yàn)證模塊等。做態(tài)勢感知，首先要知道自己有什么資產(chǎn)，有什么風(fēng)險(xiǎn)，再結(jié)合外部的數(shù)據(jù)去防護(hù)。之所以強(qiáng)調(diào)外部數(shù)據(jù)是因?yàn)槠髽I(yè)光靠自己收集的數(shù)據(jù)通常是不夠的，而且數(shù)據(jù)分析成本很高，必須要有獲得外部情報(bào)數(shù)據(jù)的途徑。比如我們看到一個(gè)IP來掃描，我們怎么判斷他大致是一個(gè)什么樣的人，他到底是惡意地來掃描，準(zhǔn)備進(jìn)行攻擊，還是說他只是一個(gè)“廣撒網(wǎng)”的掃描，威脅情報(bào)可以讓我們心里有底。

Q：那您覺得態(tài)勢感知項(xiàng)目本身需要具備什么條件才能夠有效?

A：態(tài)勢感知項(xiàng)目要成功，我覺得主要有以下幾個(gè)條件。第一是數(shù)據(jù)源要豐富，對數(shù)據(jù)的理解要足夠充分，得知道現(xiàn)有的數(shù)據(jù)源到底是哪個(gè)系統(tǒng)產(chǎn)生的什么日志，從而進(jìn)行解析和分析。日志解析和分析工作對人員的技術(shù)能力以及對數(shù)據(jù)理解的要求很高，對于正則表達(dá)式需要非常熟悉，還需要理解網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、中間件、開發(fā)框架等多方面的數(shù)據(jù)，與相關(guān)團(tuán)隊(duì)的溝通成本也很高，是一個(gè)非常費(fèi)時(shí)費(fèi)力而不怎么能獲得成就感的工作，但是把這些日志結(jié)構(gòu)化是非常有用的，因?yàn)榈胶竺婵梢宰鼋y(tǒng)計(jì)、呈現(xiàn)、數(shù)據(jù)關(guān)聯(lián)，做好這些工作是先決條件。提高對數(shù)據(jù)的理解和數(shù)據(jù)的準(zhǔn)確性，還要靠自己不斷地在運(yùn)行中總結(jié)經(jīng)驗(yàn)，同時(shí)也需要依靠外部的數(shù)據(jù)源來做一些輔助，有時(shí)我們做告警就依賴于威脅情報(bào)，結(jié)合外部數(shù)據(jù)可以達(dá)到一個(gè)相對準(zhǔn)確的效果，我們自己其實(shí)也有建自己的情報(bào)源，但是僅靠自己的數(shù)據(jù)不足以做出足夠準(zhǔn)確的判斷。

其次是界面設(shè)計(jì)和交互設(shè)計(jì)要友好。一方面，操作人員要容易配置，能夠保證數(shù)據(jù)多層面、多角度的呈現(xiàn);另一方面是上層決策者的宏觀感受要直觀，一看就知道安全團(tuán)隊(duì)在做什么事情，阻攔了多少攻擊事件，也就是讓安全不僅是可視化的，而且是可量化的，這樣才能直觀體現(xiàn)出安全團(tuán)隊(duì)的價(jià)值。

第三是怎樣建立數(shù)據(jù)模型，因?yàn)槊刻飚a(chǎn)生那么多數(shù)據(jù)，肯定得去建立相應(yīng)的一些模型，以模型為基準(zhǔn)去做數(shù)據(jù)的分析和呈現(xiàn)。有一些模型可能是簡單的條件判斷，有一些模型可能是通過機(jī)器學(xué)習(xí)實(shí)現(xiàn)，隨著數(shù)據(jù)的增加逐漸成熟，等等。

Q：態(tài)勢感知系統(tǒng)的效果是什么?

A：對于一線人員來說，態(tài)勢感知打通了多個(gè)維度的數(shù)據(jù)，通過數(shù)據(jù)可視化讓我們對威脅態(tài)勢有直觀了解，通過外部威脅情報(bào)協(xié)助我們進(jìn)行決策，甚至自動(dòng)阻斷惡意請求，把我們從重復(fù)勞動(dòng)中解放，從而可以聚焦在更高層面的工作。舉個(gè)例子：在以前沒有安全威脅情報(bào)做參考的時(shí)候，事件處置流程是這樣的：發(fā)生告警以后有值班人員打電話給你，你打開電腦開始處理應(yīng)急事件，登錄系統(tǒng)后判斷這個(gè)IP對我們公司的什么系統(tǒng)做了一些什么樣的掃描或者攻擊，再去看他的請求參數(shù)是什么樣的，會(huì)不會(huì)對我們產(chǎn)生威脅。引入了威脅情報(bào)之后，我們就可以基于威脅情報(bào)先判斷一下這個(gè)IP是來干嘛的，比方說一個(gè)掃描IP，在我們系統(tǒng)中觸發(fā)了大量404響應(yīng)，再對比相關(guān)的告警內(nèi)容，就可以初步判定威脅性不大，此外由于我們的系統(tǒng)在上線前都經(jīng)過了嚴(yán)格的安全測試，我們相信類似的掃描不會(huì)對我們形成威脅，所以這個(gè)告警就不用再去太關(guān)心了，這樣就極大地降低了我們應(yīng)急人員的工作壓力。

從上層管理人員的角度來看，就像剛才說的，通過態(tài)勢感知系統(tǒng)做到了安全態(tài)勢的可視化和工作成效可量化。

Q：接下來準(zhǔn)備怎樣對態(tài)勢感知系統(tǒng)做升級(jí)?

A：首先是增加數(shù)據(jù)源，做安全要在“知己”的路上走得更遠(yuǎn)，既然已經(jīng)盤點(diǎn)了已有的資產(chǎn)信息，就可以基于這些資產(chǎn)去做一些更深入的工作，比如資產(chǎn)的系統(tǒng)、版本、中間件信息、開發(fā)框架信息等等，這些信息可以做一些關(guān)聯(lián)，基于關(guān)聯(lián)去做精確度更高的、更智能的安全威脅的態(tài)勢感知;其次是工具化集成化，將態(tài)勢感知系統(tǒng)打造成安全團(tuán)隊(duì)日常的工作平臺(tái)，形成閉環(huán)，從而提升工作效率。此外，我們安全團(tuán)隊(duì)還可以與其他團(tuán)隊(duì)合作，讓態(tài)勢感知系統(tǒng)為運(yùn)維和數(shù)據(jù)分析提供支持。

當(dāng)前微步在線的威脅情報(bào)跟我們的SIEM系統(tǒng)結(jié)合得比較深，我們的生產(chǎn)網(wǎng)、辦公網(wǎng)、測試網(wǎng)都有接入，在不同維度數(shù)據(jù)的整合方面還有很多工作要做。外部數(shù)據(jù)，包括威脅情報(bào)在內(nèi)，也是需要逐漸完善，我們也想和微步在線進(jìn)行更深入的合作，并樂意將我們的經(jīng)驗(yàn)和技術(shù)與行業(yè)分享。