CSO面對面丨如何透過“聯合作戰”，加強銀行安全體系建設

隨著數字化轉型的深入，以銀行為代表的金融機構不斷加碼金融科技建設。然而隨著線上業務量不斷上升，銀行面臨的安全風險暴露面也愈大、問題愈加複雜。本期騰訊安全《CSO面對面》欄目，邀請到某頭部商業銀行安全主管，以金融行業的安全防護為例，分享金融機構面臨的安全運營問題及解決對策。

以下為本期《CSO面對面》文字實錄:

Q1．在網路安全領域，一直有著“三分靠技術，七分靠管理”的傳統共識，但在當下各行各業數字化轉型高速發展，網路安全威脅和對抗強度顯著增加的情況下，“技術”和“管理”正在變得彼此融合。如何看待“技術”和“管理”在企業組織內部安全建設中的價值。

A：網路安全既需要技術作為保障，又需要有相應的管理措施，相輔相成。良好的管理是填補網路安全最經濟有效的方式，網路安全建設工作不僅僅是簡單的購買安全裝置、軟體，部署安全措施，還需要建立覆蓋全面、層次分明的網路安全管理制度體系和完備的網路安全管理組織結構作為支撐，比如物理安全、人力資源安全、業務連續性管理等都無法純粹依靠技術來實現，更多的是要靠管理來實現，並且在資訊保安管理中，除了產品和技術外，人員的因素是最重要的。安全最重要的是落實，各項安全制度如果不落實，安全就無從談起。

Q2.銀行業相比其他行業數字化轉型更深入，在面臨的網路安全威脅上是否有典型特徵？這種特徵形成的原因又是什麼？

A：城市商業銀行的定位是做城市居民身邊的銀行，所以從這個視角看，當地銀行零售業務的數字化轉型與大型銀行相比，是更加切實可行貼近本地實際的。銀行業數字化轉型，相對科技來說主要是從線下到線上，從在行到離行的業務發展，手機銀行、微信銀行、線上辦公等線上渠道佔比逐年升高。線上面臨的安全威脅也越來越多，目前我們資料分析主要的安全威脅有以下幾類：

• 非授權訪問:開發的不規範，假冒、身份攻擊、非法使用者進入違法操作、合法使用者以未授權方式進行操作等。

• 資訊洩漏或丟失:使用者口令、賬號等重要資訊。

• 拒絕服務攻擊:非流量型的TCP_SYN與CC攻擊佔據主流。

• 網路傳播病毒、網路釣魚:透過檔案上傳，郵件，微信客服釣魚。

• 勒索軟體：由於銀行業涉及資金，所以勒索攻擊或疑似也較多。

Q3.網路安全建設是一個複雜的體系化工程，不僅有等保合規的基線要求，也有行業內的一些要求，如果讓你用一句話或幾個要點概括貴行的安全建設理念是什麼？

A：總結來看是“零事故”。但“零事故”是網路安全的目標，“零事故”不是“零攻破”，而是不發生重大資訊保安事件（被勒索、大量資訊洩露、被篡改勒索類）。系統只分兩類，一類是已經被攻破的，一類是即將被攻破的。面對攻擊時，只要最終沒有影響到日常辦公和對內對外業務就行，總體理念是：業務不中斷、資料不出事、合規不踩線。

Q4.在和騰訊安全合作之前，貴行在安全運營方面面臨的痛點和挑戰是什麼？

A：高精尖的網路安全技術人員依然緊缺，不足以支撐大規模、深度的網路攻防演習和APT攻擊。

• 行內人員安全防範意識要進一步提升

• 應用安全整體對抗體系強化

• 溯源與反制能力有待提升，對攻擊行為的溯源深度和及時性尚有不足，缺乏足夠強的攻擊的反制技術能力和足夠多的工具儲備

• 快速響應能力有待提升，疫情常態化要求我行科技快速為被隔離員工提供安全可靠遠端辦公環境，突發工作量大、響應時間要求迅速

Q5.貴行接入騰訊安全Soc+產品以後，有哪些變化？

A：阻斷的效果是立竿見影的,阻斷率能達到99%以上，對比傳統的防火牆在一些強對抗的場景中效果更加突出。在具體的部署過程中，由於騰訊安全天幕SOC+支援採用的是無侵入式旁路部署，對業務基本是“無感”式的防護,體驗很好。

Q6.相比傳統安全產品（防火牆等），您覺得騰訊安全NDR天幕安全治理平臺的特色是什麼?

A：主要體現在四個方面：

• 提供網路四層全域性IP（v4/v6）出入流量秒級實時封禁功能、七層出入網路流量訪問控制，透過Domain、URL、Referer、User-Agent、Cookie、X-Forwarded-For、Http-Method、Header等欄位的複雜訪問規則配置，滿足不同業務場景多條件組合過濾需求

• 與第三方檢測裝置協同聯動豐富的API介面

• 同型別裝置較大的網路吞吐能力

• 旁路部署，反應迅速

Q7.全行業的創新和技術迭代頻率很快，在應對安全威脅方面，從過去傳統的IDPS類產品到現在的NDR類產品，你覺得體現出什麼變化？企業組織在選擇安全產品時，如何保持“創新技術”和“穩定”的平衡。

A：從單品級產品到系統級別產品，從點到線到面，從區域性到整體聯防聯控，聯動多個安全產品功能，提高整體安全建設和安全運營方案的有效性。

雖然都是基於流量進行威脅檢測，但IDPS和NDR從定位來說就有本質的區別，NDR並不能替代IDPS。

IDPS是被動防禦階段的產品，主要基於特徵或簽名檢測技術，進行實時檢測和線上阻斷。它是針對已知威脅和漏洞利用最精準的檢測手段，且檢測，部署成本低。

而NDR則是攻擊專業化和定向化趨勢下出現的主動防禦產品，它的關鍵假設是內網已經失陷，需要透過構建檢測和響應能力，在失陷和最終資料洩露的視窗期儘早發現隱藏威脅和攻擊，因此側重在基於非實時或長時流量做異常檢測和主動的威脅狩獵。

NDR的核心能力構建，需要具備高度複合能力的產品團隊。

網路安全涉及到眾多的細分領域，從網路、終端、身份、資料、應用的安全，再延伸到雲、工控、物聯網等不同場景下安全，解決的問題不同，所涉及的安全產品和安全技術也會有所差異。並且使用者在採購安全工具之後，還需要在安全團隊、安全策略、安全培訓、安全體系等方面進行持續投入，因此使用者需求的多樣化直接導致了安全產業格局的碎片化，而網路安全的兩個特性又進一步加劇了行業碎片化的格局：

網路安全的木桶原理：即資訊系統整體安全水平是由安全級別最低的部分所決定的，這意味著構建一個成熟的安全體系，必須要進行全方位的投入，不能有明顯的短板；

網路安全的本質是攻防對抗：即安全監測和攻擊方式是在不斷演進的，因此使用者必須對新的安全技術和工具保持足夠的敏感，並且長期持續在新的安全技術上進行投入。

由於攻防的不對等，安全產品細分較其他軟硬體更多，安全產品選擇，我們一般是先買穩產品保證使用，然後使用技術創新產品配合異構使用。

Q8.安全運維的第一步就是要先知道威脅在哪裡，哪些地方發生了威脅，相當於有一個雷達。進一步就要去防禦，就像用導彈精準狙擊。在貴行目前的安全體系中，雷達和導彈的部署以及配合情況是怎樣的？哪些產品扮演了雷達的角色，哪些產品扮演了導彈的角色。

A：我行部署各類安全裝置與分析系統，透過縱深防禦為主，橫向擴充套件為輔、從外部到內部，從邊界到核心的安全防禦體系，結合自動化處置基本能及時封禁與阻斷攻擊行為，技術人員能及時分析網路攻擊事件。

雷達類包括系統安全監控、網銀網站可用性監測、安全運營平臺、輿情監測、網路攻擊監測、網際網路應用系統監控、網際網路安全監測處置、行業態勢感知平臺等。

導彈類包括SOAR自動化處置平臺，對接騰訊天幕，ADS，CDN API，桌管系統進行封禁，阻斷。目前所有安全相關裝置與系統安全日誌統一傳送給日誌平臺，經過SOC態勢感知平臺進行日誌消費，結合全流量日誌、態勢感知進行場景分析與自動處置。

Q9.下一步，貴行的安全建設目標是什麼？

A：透過“聯合作戰”的方式構建多層、異構的縱深防禦體系，全面提升風險感知能力和協同應對能力。同時，要透過深度運營，讓安全體系和能力真正運轉起來。網路安全工作不僅要合規執行，更要實戰執行。為此，需要一套標準化的操作流程，每一個流程節點，都有細化可執行的操作規程，才能最大化提升安全運營效率，使“零事故”成為可能。目前主要在做的有：

• 完善基礎安全架構，深化安全態勢感知建設，完善安全關聯規則和場景模型，實現日誌、流量和威脅情報的關聯，最佳化監測、態勢感知展示和管理流程，提高資訊保安事件告警精準度。

• 建設自動化安全運營，建設自動化安全運營操作工具與平臺，實現安全事件發現、分析、研判等處理一體化、自動化、智慧化。

• 建立安全更新自動化機制，強化安全裝置部署、替換升級與平臺更新常態化建設，實現作業系統補丁、安全裝置特徵庫等自動化更新。

• 建立重保工作常態化機制，深化風險排查和安全加固，完善監測和應急處置機制，持續提升安全攻防技能和響應能力.

騰訊安全SOC+是什麼？

SOC+安全運營體系”是騰訊安全面向產業數字化轉型推出的新理念，強調以威脅情報運營和攻防對抗為基礎，構建起“情報-攻防-服務-生態”的閉環安全運營體系。目前，騰訊SOC+整合了TIX威脅情報中心、SOC安全運營平臺、NDR網路威脅檢測與響應、MDR安全運營服務四大產品矩陣，可支撐政企機構建立起技術、人員、流程一體化的安全運營體系，全面提升安全防護能力和安全運營效率。