客戶需求：已經(jīng)建立了比較完善的網(wǎng)絡(luò)安全防御體系，但由于傳統(tǒng)靜態(tài)特征碼(規(guī)則)匹配技術(shù)的滯后性，很難發(fā)現(xiàn)、分析和追蹤APT攻擊，所以希望通過態(tài)勢感知系統(tǒng)的建立，進一步提升網(wǎng)絡(luò)威脅治理水平。

解決方案：交通銀行采用搭載亞信安全態(tài)勢感知技術(shù)的沙箱分析及威脅情報系統(tǒng)，通過深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅分析設(shè)備DDAN、深度威脅郵件網(wǎng)關(guān)DDEI 之間的聯(lián)動，協(xié)助交通銀行實現(xiàn)全天候、全方位的網(wǎng)絡(luò)威脅識別、預(yù)警和處理能力，并滿足網(wǎng)絡(luò)安全法等相關(guān)法規(guī)要求。

效果/客戶證言：通過部署亞信安全的態(tài)勢感知平臺，我行形成了能夠?qū)崿F(xiàn)主動管理、立體防護、事前防御、響應(yīng)快速的能力，全面提升了網(wǎng)絡(luò)安全治理水平。這次升級還滿足了《2013年國家信息安全專項有關(guān)事項》、銀監(jiān)會發(fā)【2016】107號文以及網(wǎng)絡(luò)安全法的規(guī)定。我們將利用沙箱技術(shù)與現(xiàn)有的計算機節(jié)點防病毒系統(tǒng)、網(wǎng)關(guān)系統(tǒng)、防火墻系統(tǒng)等進行互補，實時地掌握全公司的安全威脅，將各類隱患消滅在萌芽狀態(tài)。

——交通銀行網(wǎng)絡(luò)安全工程師

在移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等技術(shù)的推動下，金融科技的創(chuàng)新發(fā)展一日千里，但與之同行的網(wǎng)絡(luò)威脅也是翻天覆地，APT攻擊、數(shù)據(jù)泄露、勒索病毒等網(wǎng)絡(luò)安全事件頻繁發(fā)生，新金融面臨著層出不窮的安全威脅。

面對網(wǎng)絡(luò)威脅風險的持續(xù)升級，交通銀行在行業(yè)內(nèi)率先啟動態(tài)勢感知項目建設(shè)，采用搭載了亞信安全態(tài)勢感知技術(shù)的沙箱分析及威脅情報系統(tǒng)，將亞信安全深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅分析設(shè)備DDAN、深度威脅郵件網(wǎng)關(guān)DDEI 部署到關(guān)鍵節(jié)點，實現(xiàn)了全天候、全方位的網(wǎng)絡(luò)威脅識別、預(yù)警和處理能力。

百年交行進入網(wǎng)絡(luò)安全“角斗場”

在堅持走國際化、綜合化的道路上，交通銀行得到了全球客戶和業(yè)界的廣泛認可，已連續(xù)十年躋身《財富》世界500強。隨著金融科技的發(fā)展，交通銀行在發(fā)揮人工智能、大數(shù)據(jù)、區(qū)塊鏈、云計算等技術(shù)為金融產(chǎn)品全方位“賦能”的同時，更重視網(wǎng)絡(luò)風險管理，竭盡全力采用創(chuàng)新網(wǎng)絡(luò)安全技術(shù)保障客戶資金安全。

對于交通銀行來說，如何有效治理APT攻擊等定制化網(wǎng)絡(luò)威脅是一個不容掉以輕心的課題。這是因為，APT攻擊是一種目的性更強、更復(fù)雜的網(wǎng)絡(luò)攻擊，不法分子廣泛采用了零日漏洞、高級定制木馬、專用攻擊設(shè)備進行攻擊和信息獲取，具有難發(fā)現(xiàn)、難分析、難追蹤的特點。在入侵路徑上，除了利用系統(tǒng)或者應(yīng)用軟件漏洞之外，不法分子會以會議資料、緊急通知、快遞通知等信息為幌子，精心編造郵件以誘使企業(yè)員工點擊。而銀行員工一旦點擊，惡意程序就可能通過內(nèi)網(wǎng)感染企業(yè)系統(tǒng)，繼而導(dǎo)致機密信息外泄。

對于交通銀行來說，最大的問題就是傳統(tǒng)的網(wǎng)絡(luò)安全防護手段已經(jīng)難以應(yīng)對APT攻擊。目前，交通銀行建立了比較完善的網(wǎng)絡(luò)安全防御體系，在終端、郵件出口和網(wǎng)絡(luò)邊界等關(guān)鍵位置實施了多項安全控制措施，整體信息安全建設(shè)和運營處于同業(yè)前列。然而，由于大量的APT攻擊缺少明顯的攻擊特征，使得交通銀行依賴于靜態(tài)特征碼(規(guī)則)的檢測技術(shù)在安全防護上存在一定的滯后性。

實現(xiàn)本地偵測分析與云端聯(lián)動

面對網(wǎng)絡(luò)威脅風險的持續(xù)升級，交通銀行在行業(yè)內(nèi)率先啟動態(tài)勢感知平臺建設(shè)。通過測試、評估、評審、招標，交行最終確定采用亞信安全提供的網(wǎng)絡(luò)安全態(tài)勢感知方案，將亞信安全深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅分析設(shè)備DDAN、深度威脅郵件網(wǎng)關(guān)DDEI 部署到關(guān)鍵節(jié)點，并與其他安全產(chǎn)品共同處理網(wǎng)絡(luò)威脅，形成了新一代整體防御架構(gòu)。

在功能提升方面，亞信安全深度威脅郵件網(wǎng)關(guān)DDEI能夠幫助交行的網(wǎng)絡(luò)安全監(jiān)控人員檢查所有郵件及附件安全，可偵測高級惡意軟件與文件漏洞攻擊，其涵蓋了各種文件類型與內(nèi)容，包括各類 Windows 執(zhí)行文件、 Microsoft Office 文件、PDF、Zip、Java、網(wǎng)站內(nèi)容和壓縮文件。DDEI擁有高級偵測技術(shù)，能夠阻止大多數(shù)惡意軟件攻擊所使用的社交工程郵件，在破壞產(chǎn)生之前偵測并攔截惡意軟件。同時，DDEI還與亞信安全TDA，以及DDNA形成了聯(lián)動防線，這也是粉碎APT攻擊陰謀的關(guān)鍵所在。

在網(wǎng)絡(luò)層面，亞信安全深度威脅發(fā)現(xiàn)設(shè)備TDA 能夠從靜態(tài)到動態(tài)，再到事件關(guān)聯(lián)，深入發(fā)掘隱匿的攻擊活動，尤其是對APT攻擊的“橫向移動”和外聯(lián)通訊。信息安全人員可以借助TDA快速發(fā)現(xiàn)并分析惡意文檔、惡意軟件、惡意網(wǎng)頁，C&C 通信數(shù)據(jù)以及傳統(tǒng)防護無法偵測到的定向式攻擊活動。

不僅是在郵件網(wǎng)關(guān)上，在內(nèi)部網(wǎng)絡(luò)上的TDA威脅監(jiān)控系統(tǒng)，同樣可以發(fā)現(xiàn)可疑異常文件和流量，并可以提交到深度威脅分析設(shè)備DDAN沙箱進行深層次的分析。通過模擬交通銀行的實際環(huán)境，沙箱在安全、孤立環(huán)境中運行并觀察可疑異常文件的行為，能夠可靠地檢測和分析出異常文件。

方案部署完成之后，文件沙箱分析設(shè)備、郵件沙箱分析設(shè)備、網(wǎng)絡(luò)流量偵測設(shè)備都接入SIEM平臺，相關(guān)的威脅日志、威脅分析結(jié)果等威脅情報亦傳輸至SIEM平臺。再進一步，DDAN還更能夠和亞信安全全球云安全智能防護網(wǎng)絡(luò)(Smart Protection Network)共享本地及云端威脅情報。

合規(guī)運營確保用戶資金安全

從網(wǎng)絡(luò)安全運維角度來看，一個完整的運維體系包含四個階段：偵測階段、分析階段、響應(yīng)階段、預(yù)防階段。因此，從日常的海量告警信息中甄別出潛伏最深、最具攻擊性的威脅，并且準確判出斷威脅的真實性，進一步確認威脅的本質(zhì)以及攻擊者的意圖，回溯攻擊場景，評估威脅嚴重性、影響和范圍，而態(tài)勢感知技術(shù)的融入，是交行網(wǎng)絡(luò)安全戰(zhàn)略升級的關(guān)鍵所在。

交通銀行網(wǎng)絡(luò)安全工程師表示：“通過部署亞信安全的態(tài)勢感知平臺，我行形成了能夠?qū)崿F(xiàn)主動管理、立體防護、事前防御、快速響應(yīng)的能力，全面提升了網(wǎng)絡(luò)安全治理水平。這次升級更滿足了《2013年國家信息安全專項有關(guān)事項》、銀監(jiān)會發(fā)【2016】107號文以及網(wǎng)絡(luò)安全法的規(guī)定。后續(xù)，我們將利用沙箱技術(shù)與現(xiàn)有的計算機節(jié)點防病毒系統(tǒng)、網(wǎng)關(guān)系統(tǒng)、防火墻系統(tǒng)等進行互補，實時地掌握全公司的安全威脅，將各類隱患消滅在萌芽狀態(tài)。”