斗象陈玉奇:以数据计算分析,驱动金融行业网络安全最后一公里
2022-07-29
来源: 爱分析ifenxi
全面实现数字化转型成为传统金融业发展的必然趋势,金融业多年积累起来的海量金融业务数据将被重新整合利用。可视化、直观化的数据为决策者及安全管理者提供具有指导作用的智慧,寻求到新的价值增长点,增强业务创新能力的支撑点。当技术变革冲击原金融行业运营模式和生态,其转型变革也面临着严峻的挑战。
01
不可避免走向复杂化的金融行业网络安全
陈玉奇指出,正如大家所知道的是现在我们一直在谈跟安全相关的技术的能力、数据的能力、产品的能力,最终都需要为运营所服务。但是当讨论运营之前,通常会关注现在金融行业的运营到底属于什么样的状态?对金融行业来说由于业务特性导致其安全意识特别高,希望通过安全的方式,提高安全体系。在这个过程中,目前整个金融行业的安全方法和模型相对完善,无论是安全成熟度的模型还是等保的模型,这些模型在不同的情况下都有相应的落地。同时也发现它整体的投入和人员是比较完整。在整个安全的领域里面,我们会发现很多客户有安全的意识、有安全的想法,但是在资金的投入、人员的投入上相对是捉襟见肘,金融机构在这块恰恰是有非常好的制度支撑和投入。
当拥有了人力、模型、数据之后,金融行业单位在边界的安全、数据的安全、网络的安全和信息的安全等各个层面上,大量的设备和能力都开始部署。有意识、产品、投入、人员,我们反而会发现整个金融行业的安全不可避免地走向复杂化,模型太多了,数据太多了,产品太多了必然会越来越复杂。
我们会发现虽然金融行业有很多的投入,但是大量的能力依靠第三方,过于依赖第三方之后,涉及建设安全体和业务之间该如何平衡?伴随着系统越来越安全的时候,它的可用性一定是降低的。当金融机构需要快速去实现数字化转型的时候,安全怎么平衡这是值得考虑的问题?
由于所处的行业对业务的连续性、业务的安全性以及对客户资金的责任,所以必然要求金融机构一定要满足合规的要求。合规和创新的安全在一定范围内冲突的时候,我相信绝大部分的金融企业会选择合规。而且虽然有人力的投入、资金的投入,但是这些单位在自动化的程度上还是有很多需要进展或者发展。
正如我们前面所提到的金融机构投入了很多的产品之后,事实上会发现一个问题,不同的技术、不同的产品之间有很多缝隙,什么是缝隙?很简单,我们随便找出一个金融企业、金融机构会发现它的信息安全发展到今天为止,已经有了几年、几十年,在多年的发展历程中投了大量的安全、大量的安全设备,前人的安全解决方案和今人的安全解决方案我们能说百分之百覆盖吗?难说。防火墙的安全策略,前人写的策略和今人写的策略是百分之百匹配吗?
从调查上来看不是的,我们会发现中间有很多空隙。前人写的方案、前人写的策略,基本上后人是不敢动的,为什么不敢动呢?因为涉及到前面所提到的业务和安全之间的平衡一定是业务为先,所以这时候一定会有很多缝隙。但是这些缝隙必然会带来一些安全的风险。
随着金融行业的安全重视程度之后,我们会发现不同的部门之间由于所处的位置不一样,会有很多的沟通成本,这也会导致从金融企业本身看到安全运营的运行也有一定的难度。
02
重新定义的新一代高级网络攻击技术及威胁
针对金融行业的领域,正如大家所知道金融行业成为关键基础设施的一部分,在这个定义之下我们会发现对它的攻击、对它的威胁往往是多种方法的综合利用,可能会通过钓鱼邮件、隐蔽隧道、不同安全设备之间的缝隙去进行入侵,攻击越来越隐秘。
我们经常会发现某个APT组织,对某一个金融机构的入侵甚至达到了几个月甚至几年,尤其是现在的国际大背景之下,很多类似这样的入侵行为是非常隐蔽而且长期的。在分析这些入侵事件的时候,你会发现很多行为是无特征的,什么叫无特征?这些行为不一定是已知攻击工具发起的,实际行为可能是正常的行为,比如说在内网做一个登录,它登录到某一个系统中做某一个操作,我们会发现这个好像是很正常的,对单点的行为是正常的,但是把它拉开到一个长期的过程中你会发现这台服务器为什么每30分钟或者每30秒钟都要登录一次呢?很有可能不正常。所以我们会发现这些正常的行为往往会导致异常的结果出现。
今天对于攻击者来说,攻击对象发生了变化,不再是以互联网侧为主,可能是转战专线侧,金融城域网、其他内部专线、第三方专线、很多攻击来自于可信任的第三方,也有可能来自于某些开放的API。开放银行也好、金融机构的数字化转型也好,必然会要求我们的金融业务更加开放,但在开放的过程中不可避免地会开放大量的API,而这些API也成为了新的攻击的目标、会面临更多的攻击的行为。
同样,针对供应链的攻击的案例也在逐年增多,我们会发现类似于Google、微软均被攻击过,同时也造成了一定程度的损害。
03
新形势之下,以数据驱动金融行业安全运营发展
当攻击的危险快速变化,新形势之下对安全运营也提出了更高的要求。数据驱动目前已经成为金融行业很多企业的首选。但是我们应该如何利用这些数据在安全运营上做得更好?
第一点,数据采集一定是要全面的,我们会发现说某一个点的数据似乎做得很好,互联网侧的数据做了很多,但是不是互联网侧的数据就足以支撑我的安全运营和安全分析做得更加优秀呢?不见得。所以我们会建议你除了互联网侧,同时还需要结合生产网甚至测试网等的数据,综合以上各类数据从多维度进行分析。
除了本身的数据之外,我们应该引入第三方的数据的能力,例如,漏洞情报以及其他一些安全设备的不同的数据。
当我们把数据全部采集完了之后,进行全流量的分析之后,利用AI进行综合建模的分析。我们要看到的是那些未知威胁的行为,包括隐蔽隧道、C2回连,还有一些非常隐秘的正常行为导致的异常结果。
基于人工智能的未知威胁的分析平台是需要我们做的,但是不是有这个AI就足够了?不是的。数据分析是基于AI模型,但是它必然要关联到场景,没有场景的数据分析、AI分析没有意义。
我们举个例子,比如斗象做安全运营的时候讨论做基础安全应该是什么样?场景化是什么样的模型,在场景的分析中会涉及到跟时间相关、跟时序相关的模型,我们会考虑到安全事件有多少问题,协议事件有多少问题,这些问题都是我们数据的输入,而数据的输入必然会通过AI的模型,最后形成对场景的设定。
举几个实际的例子,一个是特定场景是业务访问的异常,大家的第一反应是业务访问不了是异常,除了此情况外,在这段时间所有的数据包的回包,从原来的200 OK变成404、503,而且404、503数据变得非常多的时候,我们认为这个数据访问是异常的,来自于我们对于数据的全面收集以及基于人工智能分析的模型,最后形成了对访问异常场景的定义。
主机通信异常,正常网络里面的主机和主机之间不一定有关系,当我们基于数据的内容、基于AI的分析,主机和主机之间访问的频率变得越来越高,带宽越来越大,这代表什么呢?代表有可能网络内部出现了非常多的自动化的横向移动,这些横向移动大概率事件可能是勒索病毒、挖矿程序在你的网络里运行,这才是场景的应用。
例如ACL攻击面收敛,在不同部门之间,金融行业有非常多的安全的投入、安全的建设,有非常多的安全设备,最后导致设备之间有互相重叠,后来者不会动前面的安全策略。在这个过程中就会导致前面提到的安全缝隙。这个时候需要通过大量的数据分析,判断这个攻击面,互相访问控制的策略是不是允许你调整?需不需要调整?怎么调整,这才是我们把数据分析应用到场景化的最有效使用,我们才能去帮助更好的实现安全运营。
当我们注意到一些专线的入侵行为,需要判断有没有一些API暴露在外,这些API有没有被攻击,我们有没有可信任的第三方专线比如金融程序网、金融专线,是否存在异常行为。我们会发现有没有一些异常的隧道,比如说DNS隧道。DNS域名解析,即为所有网络访问最基础的行为,在这个过程中尤其是金融企业作为一个封闭的网络来说有非常多的攻击者会利用这些隧道的方式来进行数据的传输。能不能看到企业现在网络里面传输数据是否为真实的DNS数据请求,是否有人利用这些DNS请求做一些其他数据传输?这才是大量数据分析以及利用各种算法分析所关联到的模型的价值,这才是我们需要干的事情。
既然我们有了数据、有了模型,有了跟数据相关的模型所涉及到的场景的时候,那就会讨论我搭建数据分析的闭环,其意义就在于基线和时序是有关系的。大量的数据存储下来,这个数据前一秒钟的行为和后一秒钟的行为,前一分钟的行为和后一分钟的行为之间是不是有关联,需要通过数据进行基线的建模,并深度分析。
04
全流量安全计算分析平台构建起全面防御
除了需要判断分析是否存在已知威胁之外,对于金融行业来说,更加应该对未知的威胁,通过安全数据计算,构建起持久的自动监控响应机制。
持久的自主监控响应机制应该具备如下特点:当发现异常行为时,能够及时启动告警、处置、阻断等行为。我们前面谈到的,利用全流量数据进行安全计算,并使用这些模型和算法,应该能够持久地运行在平台上,做持久地响应,供客户自定义去使用,形成客户自主的能力框架。
安全运营需要集成大量的情报和溯源分析,这些数据并不是只有个人的数据及企业内部的数据,同时需要结合大量第三方的互联网数据来进行判断,能精细化的调查、取证、做更加完善的全面的防御。
企业如果想要构建起全面防御的闭环时,非常重要的一点就是跟时序有关,跟模型输出有关,跟数据分析有关,最终要自动化地去做响应,这是我们核心要做的事情。
05
场景化的案例赋能金融行业网络安全运营落地
在金融行业到底怎么样将这套闭环体系进行落地呢?我们有一个非常好的案例,这个客户是中国的银行卡业务的核心和枢纽,它的体系非常庞大。我们跟他们研讨了很多年,最终发现客户自主能力+厂商能力结合的方式是比较合适的。他们首先要把整个基础架构集中化,基础设施云化,要实现海量的数据的存储,因为每一个数据的存储会涉及到每一个用卡人的每一分钱的安全。
在这个过程中,我们斗象与客户探讨的是,帮助他建立一套全新的、面向未来的、具备客户自主能力的安全运营体系。
作为中国最为领先金融机构之一,客户的预期和目标并不止步于:可以应对攻防实战、可以进行特征威胁检测、可以实时监测预警……传统的安全思路不能满足顶级用户的要求。客户更加希望能够通过大数据、人工智能技术,通过数据计算、智能模型、分析框架,包括有能力连接全国所有的分支机构,形成稳定的网络数据的接入,再通过以数据计算分析为驱动的方式,去形成常态化的安全运营体系,从而构建纵深防护能力。从2018年-2020年一直到现在,包括到未来,我们帮助他们做面向未来一体化的安全数据计算平台和安全运营平台。
目前斗象全流量安全数据计算分析平台帮助用户每日进行60-80G稳定的数据采集,每日近百亿条网络协议日志的计算,每天通过多维的模型运算和基线训练,帮助用户实现了IOC攻击信标的可视化,以及针对未知威胁的防御监控基线。
除此之外,既然有稳定的收集的这么多数据,这么强大的算力,能不能为这个客户带来除了安全之外有更多的其他数据分析价值?可以。我们开发API的接口,满足它对业务挖掘的需求,包括有没有人在互联网薅羊毛,有没有人用假卡,有没有人用POS机薅羊毛等等,这些是通过开放的API的接口去进行的更进一步在数据分析、安全分析在金融业务安全领域的运用。
经过长时间的运行,平台整个数据量达到PB级了,我们依然可以实现秒级的查询,支撑到3千多亿条的数据量,并且整个体系经历和保障了多次实战攻防演练的锤炼。这是我们在金融领域已经帮助客户做的事情。
斗象科技是国内领先的安全数据智能与安全运营的提供商。
斗象旗下包括三大块业务,第一块是FreeBuf,所有在信息安全领域的无论是从业者、爱好者、专家都知道的,中国最具影响力的网络安全垂直门户,集中了所有跟网络信息安全的技术、案例、场景。
第二我们做漏洞盒子,中国最大的安全众测与第三方漏洞平台,我们甲方的安全需求跟我们大量的白帽子之间进行关联,在这个平台上将这些白帽子聚力于企业级的漏洞挖掘和安全服务,这是中国最大的白帽子的集合。
第三是斗象的智能安全,数据智能安全体系主要侧重于两件大事情,第一件大事情就是漏洞管理、漏洞情报的解决方案,有数据、有业务、有系统就一定有漏洞,有漏洞一定产生情报,这些漏洞和情报怎么去管,能不能形成闭环的运营体系。第二件事情是全流量的安全计算分析,我们希望金融企业在现在运营的体系里面去做更多的数据收集,这个数据包括自己的数据、第三方的数据、漏洞的情报、威胁的情报,这些数据都收集起来以后通过数据科学、算法模型,最终应用到不同的场景里面。
更多信息可以来这里获取==>>电子技术应用-AET<<