网络安全风险/专题 | 数字化驱动的网络安全风险运营转型探索_新手黑客教程
随着金融行业数字化转型步入深水区,“互联互通、开放融合、共享共赢”已然成为银行业务生态发展的核心思想,过往相对单一的线下业务逐步转变为线上化、数字化方式,并逐步以开放式金融接口向其他互联网生态扩展。与此同时,国际形势的发展及国家对网络安全的高度重视,使得安全所需关注的范围不断扩展,相关保障资源投入日趋加大。金融行业的网络安全从业者,正在面临前所未有的挑战。
平安银行金融科技部
总经理助理 宋歌
数字化转型背景下
网络安全面临新挑战
挑战之一,数字化转型引发了信息系统资产和数据资产的爆炸式增长,网络安全保护对象无论是在类型还是在数量上都发生了极大变化。网络安全管理的资产对象,从传统的OS向容器化演进、从传统的应用系统向微服务演进、从传统的服务器和PC终端向物联网终端演进、从传统的人员账号向数字人和虚拟账号演进,所有这些由数字化转型引发的变化,对于网络安全风险防范构成了极大挑战。
挑战之二,金融生态开放和互联互通,使得传统网络安全防御的边界越来越模糊,开放和安全之间的矛盾日益突出,特别是随着云原生技术的推进,传统网络安全访问控制的手段和实现方式也发生了极大的变化,而在传统网络架构向云原生架构转型的过程中,两种技术架构的混合模式,也给网络安全风险防范带来了极大的挑战。
挑战之三,网络攻击的防范和手段也在发生极大的变化。数字化和互联互通,不仅仅给金融业务发展带来了创新的动力,也为降低网络攻击的门槛提供了便利。各类网络攻击、网络欺诈,都在以产业化分工的方式快速发展,网络安全真正进入“魔高一尺、道高一丈”的对抗时代。
面对这些新的挑战,网络安全风险防范也必须拿起数字化的武器,用数字化方法提升防范能力,让网络安全风险可看见、可分析、可聚焦、可管控。
数字化驱动的
网络安全风险运营模式
1.网络安全风险运营体系框架
平安银行基于IPDRR模型建立了自身的网络安全风险运营体系框架(如图1所示),并基于最基础的“风险=资产价值×威胁×脆弱性”风险管理逻辑,明确了网络安全风险管理的要素,打造全面数字化的网络安全风险运营能力。
图1网络安全风险运营体系框架
识别(I)环节的核心目标,是有效识别需要纳入管理的信息资产,以及不同类型资产在各自生命周期及不同场景下的安全技术及合规风险,这是整体网络安全风险运营的基础。这个环节资产及风险场景识别的颗粒度越细,可以实现的网络安全风险差异化运营能力就越强。防御(P)环节的核心目标,是基于资产及其风险状况建立与之适应的动态安全技防能力。检测(D)环节的核心目标,是发现所有资产在各管理环节的安全异常,包括偏离基线要求,以及攻击行为等。响应(R)环节的核心目标,是在发现异常后,能够基于风险等级开展快速的自动化风险处置。恢复及评估(R)环节的核心目标,除恢复系统正常运行外,更重要的是对整体安全风险是否恢复到了可接受水平开展评估,包括开展根因分析、举一反三的风险排查、管理纠偏等。
2.网络安全风险运营数据模型
数字化转型带来的变化,使得网络安全管理由静态向动态发展。传统网络安全管理以“堵”为主的方式,正在逐步向“疏堵结合”演进。因此,知道在网络环境中实时发生了什么,变得越来越重要。这就要求我们能够实时掌握不同信息资产在全生命周期中安全状态的变化,以数字化的方式构建动态的网络安全风险运营能力,实现对信息资产安全属性变化、脆弱性变化、威胁变化、防御有效性变化的实时发现、实时分析、实时告警,以及快速处置。
平安银行结合网络安全风险运营的核心要素,设计了“四维一体”的分级资产安全管理数据模型(如图2所示),围绕安全关注的资产实体,结合标签、画像、风险监测评分指标等实用工具,通过实时数据分析实现对安全风险的动态监测与跟踪,并聚焦重点的风险资产与风险领域,分级分类开展对网络安全风险的快速处置和闭环管理。
图2资产安全管理数据模型
(1)安全资产数据模型聚焦重点家产。盘清资产家底,是做好网络安全风险防范的基础。平安银行构建了强大的动态安全配置管理系统(SCMDB)。第一,通过对接基础架构配置管理、应用系统配置管理、人力资源系统、账号管理系统等基础管理平台,构建了安全配置管理的数据底座,实现了资产及其安全配置信息的静态同步。第二,通过对接变更管理、投产发布管理、数据访问控制、终端准入、账号权限管理等流程工具,以卡点机制实现了资产及其安全配置信息的动态同步。第三,充分借助网络资产自动发现、系统设备指纹自动识别、软件成分分析、主机(终端)配置及进程监测、入网账号自动识别等能力,辅以人工,实现对SCMDB中安全配置信息的纠偏和完善。第四,结合等级保护、数据安全、个人信息保护等监管要求,对资产实体开展定级,并结合资产关联关系、资产实体属性(如资产类型、状态、使用人)等,为资产标注安全标签,为后续的一体化风险管控策略提供更为全面的数据基础。
目前,平安银行实现了对主机、应用、中间件、数据库、端口、URI、API、终端(含哑终端)、账号等十余类安全资产配置信息变化的动态监测,并对其安全标签实现实时更新。为实现动态的网络安全事件发现和快速处置奠定了基础。
(2)脆弱数据模型聚焦缺陷短板。脆弱数据视图是在安全防御视图的基础上,围绕资产全面掌握当前安全脆弱性与剩余风险。常见的脆弱性包括不同资产的未修复漏洞、基线不符合情况、例外情况、终端特权情况、离职人员情况等。在此视图下,可快速聚焦缺陷短板,对安全防护资产进行必要的资源倾斜。
(3)威胁数据模型聚焦攻击违规。通过引入外部的威胁情报数据,持续开展自动化的威胁情报运营。结合SCMDB中的资产标签,围绕资产实体,结合行内各类安全防护、监测工具,实时对资产面临的内外部网络安全攻击与内部违规监测数据进行归集与展示,及时了解当前威胁态势,并为安全防御策略提供最直接的决策依据数据。同时,通过应用日志和终端行为分析等方式,开展内网威胁分析,及时发现并处置内部风险事件。
(4)防御数据模型聚焦防护有效性。防御数据模型体现的是安全防御体系的有效性及其风险态势情况。筑建网络安全纵深防御体系,通常需要在网络、主机、数据库、应用、终端等各个层面部署相应的防御工具和能力。平安银行建立了防御体系有效性自动化验证平台,持续对各层级防御工具的覆盖率和策略有效性开展自动化验证。同时将验证结果对接至安全大数据平台,与安全资产匹配,开展准实时的防御有效性数据建模。
平安银行通过安全大数据平台建立的防御数据模型,既可以从资产的视角出发,辅助安全工程师持续观测各类安全资产是否全部有效接入应有的网络安全防御措施,确保安全措施的覆盖率达标;也可以从攻击防御能力的视角,辅助安全工程师发现攻击路径上安全防御措施的时效点,确保防御策略的有效性达标。这两个视角下发现的问题,均会被纳入安全脆弱性管理,并在对应管理流程、预防工具或控制工具流程中予以快速修复整改。该视图不仅可体现安全防护的整体水平态势,也为后续的风险视图建模提供了基础数据,进而反馈指导布控策略的动态调整。
(5)网络安全风险数据模型(如图3所示)聚焦闭环运营。基于如上四大视图,平安银行围绕资产,开展了建模、映射、匹配、关联,用安全标签为资产画像,动态绘制资产风险视图,包括实体标签(资产固有属性)、资产级别标签、资产安全覆盖标签、资产脆弱性标签、资产威胁标签等基础数据。并基于这些标签数据,实现对各类资产风险指标的实时评估计分,形成对网络安全风险的快速、准确预警能力,并联动平安银行的网络安全作战指挥平台,实现对风险的快速处置和闭环管理。
图3网络安全风险数据模型
目前,平安银行安全大数据平台已经具备的能力包括以下三方面。
合规风险自动化预警能力。平安银行基于等级保护、金融行业网络安全标准等基本安全防御要求,在安全风险数据建模基础上,建立了安全合规自动化预警能力。安全资产在安全配置或防御上出现偏离监管要求的情况,平台会自动预警。
安全防御策略动态调整能力。在不同的攻防态势下,例如,网络安全攻防演练、重要活动安全保卫期间,平安银行可以基于重保的要求,实时调整信息资产的安全定级,随时组建新的策略群组,并为不同时期的保障要求下发安全防御策略。
网络安全风险态势感知能力。基于银行自身在信息资产、外部威胁的特征,平安银行可以实现更加全面的网络安全风险评估和防御体系有效性评价,为调整年度网络安全防御策略提供数据依据。
数字化驱动的
网络安全风险运营展望
未来平安银行将持续夯实数字化安全运营能力。第一,将持续适配云原生战略,基于云原生的数字化运维能力,构建数字化网络安全风险防范能力;第二,将推动以数据资产为核心的安全风险闭环管理,将网络安全和数据安全结合起来,用已有的网络安全运营能力为数据安全提供有力的支撑和保障;第三,在数据能力的驱动下,推动网络安全管理场景化,实现基于业务特征或风险特征的差异化网络安全风险管控。
我们希望数字化的网络安全风险运营,不仅仅为安全所用,其数据模型分析结果,还可以为设计系统架构、应用研发、产品设计等领域的安全解决方案,提供真实有效的数据依据。从而进一步推进网络安全风险管理左移,真正实现“数据驱动安全,运营创造价值”的目标。
新媒体中心
主任 / 邝源
编辑 / 姚亮宇傅甜甜张珺邰思琪
~
网络安全学习,我们一起交流
~
255
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
