银行主动安全纵深防御体系解决方案.docx

《银行主动安全纵深防御体系解决方案.docx》由会员分享，可在线阅读，更多相关《银行主动安全纵深防御体系解决方案.docx（22页珍藏版）》请在第一文库网上搜索。

1、银行主动安全纵深防御体系解决方案1 .背景现状22 .总体规划23 .总体方案33.1.一个平台33.1.1.实现安全集中管理33.1.2.实现安全异构对接33.1.3.实现安全态势感知43.1.4.实现安全能力协同43.1.5.实现安全联动处置43.1.6.平台总体架构53.1.7.平台主要能力53.1.8.平台关键技术63. 2.三大模块101. 2.1威胁情报模块103. 2.2.自动封堵模块114. 2.3.基线分析模块125. 2.4.模块关犍技术133.3.两个能力173.3.1安全实战能力173.3.2.纵深防御能力193. 4.三重防护201. 4.1.安全计算环境建设202.

2、 4.2.安全区域边界建设223. 4.3.安全通信网络建设234. 效益与价值234. 1.实现体系化纵深联动防御234. 2.告别转椅式安全运维模式234. 3.重塑整体性安全工作氛围234.4. 降低经济损失可能性245.规划与展望245.1.团队建设245. 2.管理流程245. 3.安全技术243 .13.实现安全态势感知通过建设统一安全运营平台，给行内安全运维人员、安全管理人员、安全决策人员提供简单、实用、高效的安全运营平台，采用大数据技术在更大数据、更全面、更透彻的方式分析安全威胁，进一步实现重点安全分析场景，重点发现高级别安全攻击、持续型攻击、顽固安全问题，综合提升应对高级安全

3、威胁、隐蔽安全事件的能力，建设安全态势要素的输出和整体安全态势可视化感知能力，实现预警通知效果，为安全分析人员提供直观、强大、清晰的安全威胁预警能力，以及重大问题、事件的整体性报告，为安全管理人员和决策人员提供可靠的数据支撑。4 .1.4.实现安全能力协同通过建设统一安全运营平台，实现已有安全设备之间的能力协同，将各个单一的安全设备组成在一起，进行协同作战，同时配合三个模块中的威胁情报，建立情报共享机制。配合UEBA模块，形成基线分析机制。配合自动封堵模块（SOAR）,形成安全事件自动处置机制。统一安全运营平台、三大模块（威胁情报、UEB.SOAR）,各个安全设备协同配合，实现安全能力协同。3

4、.15.实现安全联动处置通过建立统一安全运营平台，实现对全网安全数据进行统一收集、分析、判断，形成安全数据中心，统一安全运营平台配合自动封堵模块（SoAR）,可实现从安全运营平台安全调取评判数据，通过对安全事件的剧本编排，联动目前已有的安全封禁类产品（防火墙、WAF、EDR）实现安全事件自动化响应，形成威胁发现、自动研判和响应处置的安全运营闭环处置流程，释放安全管理人员手动处置威胁的工作负担，帮助解决威胁发现不及时、安全响应滞后等问题，同时也帮助安全管理人员提升运维效率。316.平台总体架构一地两中心基!瞰构商业情报EDR图：统一安全运营平台总体架构通过建设统一安全运营平台，结合威胁情报模块、

5、自动封堵模块、基线分析模块，重塑安全运营，告别“转椅式安全”模式，为行内其他安全产品提供安全能力插座式的能力。317.平台主要能力D统一管理安全要素建立安全数据中心，全面收集信息系统内部和外部的安全要素，实现对安全要素的体系化、集中化管理。通过建立体系化的管理方式，方便运维人员对安全要素集中管理，并能够及时感知资产风险，提升企业的网络安全自主可控能力。2）威胁深度检测收集安全检测防护设备的安全检测防护设备产生的告警，剔除误报提高告警准确率；并对多源安全告警进行关联分析、规则分析、情报分析等，发现潜伏的高级持续性威肋，。通过结合多源数据的安全检测分析，提升告警检出率和准确率。3）安全事件溯源分析

6、结合安全事件检测结果，梳理数据中心中资产互访关系，基于攻击链阶段推导事件发展过程，分析历史数据实现逆向溯源。帮助安全运维人员梳理安全事件发生链路，并进一步研判安全威胁扩散情况，及时阻断威胁蔓延。4）安全运营能力安全运营工作台对收集到的有代表性的网络攻击行为、新产生的网络安全威胁情报、网络安全整体分析报告和各部门单位的应急处置状况进行统一发布，提高统一调度和指挥能力。系统从安全运营工作台获取安全告警或安全事件的详细信息，并针对此类信息进行调查分析，从而确认安全事件的准确性和影响范围。对已经确认的攻击，则通过相应的预警通报机制完成预警通报工5）安全态势感知提供网络安全威胁可视化的入口，通过历史安全

7、数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估，来全面描述全网的安全情况、影响评估和态势演化。包含网络入侵态势、横向威胁态势、违规外联态势、攻击者追踪溯源、资产威胁溯源。6）安全事件管理通过当前全网区域流量、重要区域恶意文件分析数据、全网各安全设备告警日志进行集中收集、治理、分析、存储，从而提供智能、快速、准确的安全信息以及事件管理和全网安全日志管理和快速查询功能。3.18.平台关键技术D实时流计算实时流计算引擎包含规则引擎、关联引擎和统计引擎三大模块，应用无边界流数据计算场景。分析人员可以对数据中的任意字段做统计、求和、均值、唯一值等计算，编写SQ1提交FIinkJob,实现业

8、务指标高实时运算。分析人员上传规则和关联脚本到数据平台，通过界面配置参数，提交任务到平台。规则和统计结果实时输出到图形化界面。2）离线计算离线计算引擎支持部署离线算法，模型训练和机器学习场景。分析人员可以利用离线分析引擎对数据进行深度提炼挖掘，算法输出结果即时反馈，提供模型训练能力。分析人员编写算法脚本和机器学习模型，上传到平台后提交离线任务。任务执行结果及时反馈到界面，可以根据算法执行结果调整模型，形成模型训练和机器学习闭环。3）虚拟化资源高效利用技术高性能和大规模计算过程中，不可避免的会利用到虚拟化技术，在虚拟化资源分配的过程中，往往存在分配不均，造成资源浪费和计算步骤等问题针对这一难题，

9、利用论文基于智能认知的虚拟网络资源管理模型，设计一种将动态资源感知与虚拟网络流量特性和要求相结合的有效方法，可以通过资源自动调整来自动分配虚拟机的容量，从而在不增加计算开销的情况下实现虚拟资源的高效利用，使得本方案的可扩展的安全分析和计算得以实现，实现将本方案的平台的计算服务和针对平台的安全防护系统相分离，在进行安全分析计算的同时，保障本平台的自身安全。安全运营平台在多级部署时，存在一级平台与下级平台和分布采集探针之间的通信，当下级平台过多时，并且复杂网络环境中数据量过大等极端条件下，会导致一级平台无法响应下级平台的请求和交互等问题。针对这一难题，利用逐跳路由的负载均衡方案，利用流的突发性特征

10、，保证同一流的分组按顺序到达接收端，用于解决分布式数据采集探针的数据发送延迟和丢失等问题，保障当本方案平台横向扩展至一定规模后的平台可用。4）实时分析插件模块化技术目前安全运营平台提供Hadoop架构对大规模数据的计算进行分解，然后交由众多的计算节点分别完成，再统一汇总计算结果。Hadoop架构通常的使用方式为批量收集输入数据，批量计算，然后批量吐出计算结果。然而在安全大数据分析的应用场景下，通常对告警的实时性要求较高，需要对海量的原始数据进行实时流式处理和持续处理，Hadoop架构难以处理实时性要求较高的业务。针对这一难题，本方案采用运行拓扑（topo1ogy）的StrOm架构，极大的降低了

11、安全事件的告警延迟。StOrm集群提供控制节点（masternode）和工作节点（WOrkernode）控制节点上面运行一个叫NimbUS后台程序，负责在集群里面分发代码，分配计算任务和监控状态。每一个工作节点上面运行一个Supervisor的进程，监听分配给它那台机器的工作，根据需要启动/关闭工作进程WOrker,多个工作进程worker组成拓扑（topo1ogy）。工作进程worker中每一个spout/bo1t（数据处理单元）的线程称为一个task（任务），使用Spout/Bo1t编程模型来对消息进行流式处理。Spout组件是消息生产者，支持从多种异构数据源读取数据，并发射消息流，Bo1

12、t组件负责接收Spout组件发射的信息流，并完成具体的处理逻辑。在复杂的业务逻辑中可以串联多个Bo1t组件，在每个Bo1t组件中编写各自不同的功能，从而实现整体的处理逻辑，只需将不同的实时分析数据处理任务按照一定的规则和接口纳入和封装到Bo1t组件中，就可以动态的实现实时分析功能的模块扩展。5）离线批处理分析模块化技术目前在离线数据批处理应用中，主流使用的是基于Hadoop架构的MaPRec1UCe分布式计算框架，在安全事件溯源分析应用场景中，需要关联多维、多源的数据，如日志、流量、漏洞数据以及威胁情报，甚至其他检测模型的分析结果等数据，计算和处理逻辑比较复杂，MaPRedUCe的COPy阶段

13、要求每个计算节点从其它所有计算节点上抽取其所需的计算结果，copy操作需要占用大量的网络带宽，十分耗时，从而造成RedUCe任务整体计算速度较慢。6）自动化网络资产识别与探测技术研究采集设备部署与网络进行连接后，需要能够主动对指定网络范围内的设备进行设备信息探测，获取网络空间的基础设施信息。本课题基于设备指纹库主要进行主机类型、端口扫描、版本侦测、操作系统侦测，探测技术具有防火墙与IDS的规避技巧，可以综合应用到四个基本功能的各个阶段。对于不能识别的设备将设备信息传输到大数据平台对设备进行进一步分析，提供强大的脚本引擎功能，脚本可以对基本功能进行补充和扩展，可满足在不同网络环境中进行资产探测识

14、别需求。7）多源网络行为关联分析技术随着仿真作战任务的不断推进，会产生大量的网络行为，多个网络行为构成一次网络安全攻击。因此网络安全攻击天然具有附着性，无法通过单次的攻击行为去发现整体网络安全问题。将安全设备的告警信息作为线索，通过联动分析多个网络行为，判断攻击发生时，是否对系统造成影响或者是否利用了系统的安全漏洞，确认是否为有效攻击，并进一步分析网络行为造成的影响程度。本课题主要的研究关键技术包括如下：仿真基础环境态势研究。通过分析构建的仿真环境中的脆弱性情况，掌握整体仿真环境的安全漏洞、可疑被攻击点等，为仿真任务的危害程度评估做最基础判断；从安全攻击和攻击行为的安全防护能力分析，得到对应的

15、应用系统的的防御能力，如安全设备对攻击事件的相应速度、处置速度等，结合弱点数据，进行网络行为件影响程度分析，得到可能受影响的系统和资产范围。本项研究从有防护状态下的网络行为关联分析研究：通过对比安全防护设备的告警数据，获取防护行为，经多源行为进行关联分析研究；无防护状态下网络行为关联分析研究：假定仿真环境中无任何防护设备，对网络行为进行关联分析通过攻击与系统日志比对，攻击与系统存在漏洞比对，网络行为与系统的服务器性能信息对比，确认网络攻击行为造成的最大危害；关联建模技术研究。系统内置分析算法，可支持分析算法和场景扩充，支持在多种仿真任务中构建各类仿真计算模型，为更复杂的任务应用提供支持。8）基于A1的高级持续威胁挖掘高级异常APT威胁发现要求系统能够根据时间关联、空间关联、行为关联以及业务关联综合检测判断出复杂异常行为。以传统安全设备的告警信息为线索，结合上节所描述的智能自学习的异常行为检测技术，发现有价值和真实有效的攻击行为线索。本创新点从以下几个方面研究挖掘高级安全威胁。- 数据驱动安全威胁分析。通过对这量化指标的判定识别，最终获知数列之间的相位的差的方向是否与预计方向相同，判断这些行为是否具有连续性和相似性，从而挖掘具有明显相似的机器行为；- 用户行为特征提取与自动更新。将异常访问、操作事件识别可看成是一个分类问题，基于行业经验和专家知识从训练样本中提取与异