實用、高效——綠盟科技助力恆泰證券安全運營平臺建設

隨著企業資訊化的不斷髮展，企業資料資產日趨增多、系統的關聯性和複雜度不斷增強，資訊保安防護工作面臨前所未有的困難和挑戰。

為了更好監控和保障資訊系統安全穩定執行，及時識別和防範安全風險，同時滿足國家和行業監管要求，保證資訊保安管理工作的依法合規，恆泰證券透過部署綠盟智慧安全運營平臺，建立了一個全資料、集中管理的安全運營管理平臺，做到事前預警、事中監控、事後分析，全面提升公司資訊保安管理與防護水平。

一、綠盟智慧安全運營平臺

綠盟智慧安全運營平臺以大資料框架為基礎，結合威脅情報系統，透過對攻防場景的機器學習、威脅建模、場景關聯分析、異常行為分析以及安全編排自動化、視覺化呈現等技術，助力建設和完善安全態勢全面監控、安全威脅實時預警、資產及漏洞全生命週期管理、安全事故緊急響應的能力，併為安全運營提供可靠的資訊資料支撐，協助運維人員快速發現和分析安全問題，且能透過運維手段實現安全閉環管理。

二、企業面臨的痛點

恆泰證券希望透過建立一套由資產管理、威脅情報以及日誌、流量分析系統為支撐的態勢感知平臺，將各單點防護裝置(WAF、IPS、流量探針UTS)進行整合，實現公司資訊系統整體的安全態勢感知，及時發現並阻止正在進行或將要出現的來自內外部的資訊保安問題，並在事件挖掘、調查時提供分析途徑。

透過部署綠盟智慧安全運營平臺建設，利用大資料採集、分析技術，收集各種安全裝置（IPS、WAF、UTS等）的資料，並將各類安全資料進行關聯分析，再利用視覺化技術，將各種攻擊行為進行視覺化展示，實現對系統安全的整體展示、態勢感知、攻擊事件溯源及對潛在威脅的預警功能。

三、立體安全威脅防禦體系

3.1 管理層面

恆泰證券公司領導高度重視資訊保安，建立健全資訊保安防禦體系。設立IT戰略發展和治理委員會，承擔公司資訊保安工作領導小組工作。另設立資訊保安聯絡聯動機制，由公司系統執行總部資訊保安部牽頭，在各部門、各子公司設立資訊保安聯絡專員，用於及時通報資訊保安預警和事件。

3.2 技術層面

目前分別在呼和浩特機房和深圳機房部署UTS流量探針，收集全網流量資訊，並上傳至安全運營平臺，對攻擊進行分析、溯源、展示、研判、處置。

基於區域/資產的資料降噪措施

主要措施

l  結合使用者業務進行事件規則調優，將誤報量降低。

l  區域進行展示，快速將風險定位至內網有問題的區域。

l  重新定義事件標準，對高危事件進行外發；專注於高保真安全事件。

l  結合資產重要性及用途對關鍵事件進行二次篩選，發現真實攻擊的事件。

l  集合內網區域邊界的裝置進行再篩選，可以發現突破邊界的攻擊。

·        

透過上述措施，每日真正的高危告警數量可以收斂到5-6條，極大提高了運維效率。

業務系統及規則降噪調優

A、透過運維工作臺發現攻擊事件；

B、透過攻擊詳情展開檢視流量上下文資訊；

C、聯絡相關業務部門進行確認識別。

 按區域進行重點監控展示

A、將區域與裝置進行繫結，以便生成每個區域的告警。

B、基於現網區域拓撲進行大屏展示，對網內所有區域安全情況進行展示。透過比對，可以快速瞭解某區域存在安全問題。

  大屏展示

事件級別定義與重點告警展示

A、自定義中高危及需要關注的事件級別

內部對映，將特別重大/重大對映為高；較大/一般對映為中；輕度與未知對映為低；同時在高中、低基礎上，篩選出不同級別中使用者需要關注的。

B、重點展示與告警

對中高危事件重點展示並進行郵件告警。

中高危展示

基於資產特性與告警進行整合篩選

A、定義重要資產類別

重要資產定義：如可以SSH登入，或者可獲取高許可權的資產。

B、基於資產視角的威脅定位

l  資產管理、威脅情報、事件分析結合提高了我們的分析處置、響應處置速度。

l  終端、伺服器、應用的標識可快速定位到受害主機負責人、團隊及其聯絡方式。

l  因此可快速定位是從哪個區域發起的攻擊及攻擊影響範圍（因接入所有安全裝置事件可集中搜尋）。

基於內網區域邊界裝置進行篩選出實錘事件

基於內網安全裝置IP，重點監控及快速檢視突破內網進來的攻擊，根據其監測裝置告警特徵對外網安全裝置進行規則防護完善與自定義新增新規則，這些告警都是需要深入關注的。

四、實戰案例

日常安全運營中，攻擊溯源作為安全事故中事後響應的重要組成部分，透過對受害資產、內網流量、日誌等進行分析一定程度上還原攻擊者的攻擊路徑與攻擊手法，有助於修復漏洞與風險避免二次事件的發生。攻擊知識可轉換成防禦優勢，能夠做到積極主動且有預見性，更好地控制後果。

五、成果展示

智慧安全運營平臺的建設為恆泰證券資訊保安取得了如下成果：

1、建立縱深化安全防禦體系

透過智慧安全運營整體解決方案的建設，實現對網路安全的分析研判、跟蹤和分析，全面掌握網路安全態勢、威脅、風險和隱患；實現實時監測漏洞、網路攻擊情況；及時通報預警重大網路安全威脅；實時分析研判、準確安全監測、及時應急處置。經過多重縱深安全防護體系建設，能夠實現安全區域邊界、安全網路通訊和安全計算環境三重防護，並建立安全管理中心，透過技術手段實現集中管理，系統管理、審計管理、安全管理。融合事前監測預警、事中實時防禦、事後檢測響應的全過程安全防護能力。滿足《中華人民共和國網路安全法》以及證券行業相關主管部門對於資訊系統安全防護建設要求的有關規定。

2、安全態勢視覺化展示

分割槽域直觀展示當前面臨的各種網路攻擊，實現重點安全監控指標的展現，在出現高威脅攻擊時可透過實時攻擊地圖進行展示，同時結合歷史資料分析，展示資料中心安全態勢及發展趨勢，為運維處置人員作出預警及處置研判的決策依據。

3、攻擊路徑視覺化提供決策支撐

利用攻擊鏈模型和機器學習演算法，結合威脅情報，及時通報預警重大網路安全威脅；提前感知攻擊者的下一步攻擊計劃，提供決策資料，指導進行安全防禦體系的敏捷調整、持續運營，使安全防禦體系變得更有智慧。

4、安全防護/運維效果量化分析

利用平臺資產管理能力，定義資產的安全價值。結合資產安全價值、資產威脅情況從資產視角及時發現重點攻擊。

5、建立7*24小時全天候多方式安全監控告警體系

透過平臺告警推送介面與恆泰證券資訊科技中心集中告警平臺的對接，提高安全告警的時效性，實現7*24小時的安全監控告警。告警資訊透過企業微信、簡訊、郵件以及聲音等多種方式向安全管理相關人員推送。其次，透過不斷的對系統過濾規則調優提高每條告警的有效性，降低誤報，為安全事件處置人員提供更具價值資訊，有效提高事件處置效率。

六、規劃展望

隨著黑色產業鏈的萌生和壯大，日益頻繁的APT等網路攻擊，正在導致政企行業機密情報被竊取、工業系統被破壞、金融系統遭受經濟損失，2014年曝光的專門針對我國海事部門的“海蓮花”APT攻擊事件、2015年烏克蘭“電力門事件”、2016年沙烏地阿拉伯Shamoon2.0的攻擊，2017年全球範圍爆發的永恆之藍漏洞攻擊等，眾多有針對性的安全事件，將未知威脅防禦話題提到了空前的高度。恆泰證券將在全流量三期中透過綠盟智慧安全運營平臺與終端檢測與響應系統對接，以端點檢測與響應技術為核心，透過可信特徵管理、綜合行為檢測、基線橫向分析和安全沙箱等方式對使用者的行為進行分析，有效發現已知和未知的威脅，提升防護精準度，降低企業終端安全風險。