证通的态势感知:立足合规,打造适应性安全-阿里云开发者社区

开发者社区> nicenelly> 正文

证通的态势感知:立足合规,打造适应性安全

简介:
+关注继续查看

ThreatBook较真之作第二期,看看作为金融科技企业的证通股份有限公司(以下简称 “证通”) 如何理解网络安全?

“别人家的安全”是安全威胁情报(微信ID:ThreatBook)近期推出的一档专栏。

合规、管理、构建、应急……安全问题千千万,层出不穷。我们没办法给出这些问题的标准答案,但我们可以用Case Study的形式,让你看看——“别人家的安全”。

本期受访者资料:黄凯,8年安全从业经验,目前就职于证通股份有限公司,安全技术负责人,职责包括信息安全技术体系管理、安全监控系统运营、安全技术调研。

证通资深安全工程师 黄凯

Q:作为金融科技企业的证通股份有限公司(以下简称 “证通”) 如何理解网络安全?

A:证通股份有限公司成立于2015年,是由国内多家证券机构、互联网企业和金融服务机构以市场化方式共同发起成立的金融综合服务企业,证通的团队来自银行、证券、互联网企业以及业内领军科技公司,其中核心科技人员占员工总数一半以上。实力雄厚的股东背景及团队优势,让证通有责任更有义务在面向金融行业的IT创新输出上有所作为。因此证通上至管理层、下至基层员工,大家对安全都非常重视,对新技术也保持着积极学习与探索的状态。证通安全架构是在满足合规要求基础上,结合新思想和新技术的“创新工场”。一方面是为了自身的安全能力的提升,毕竟网络安全发展到现在,单纯防御性的措施已经不如之前那么有效了;另一方面,我们也希望通过我们的技术革新,建立起成熟的与时俱进的安全体系架构,更好地为股东单位及行业机构服务。

现在证通安全团队的职责已覆盖安全合规、安全开发生命周期、安全运维、安全监控、安全技术调研等方面,是一支综合能力很强的团队。

Q:证通的整个安全体系是如何构建的?

A:证通的安全体系已经覆盖了安全技术管控、安全运营管控、安全策略制定等各个方面。以具体场景为例,我们有三张网:生产网、测试网和办公网。我们以生产网为重,对其管控力度也是三张网里最强的,生产网的安全设备部署与测试网、办公网隔离,并且从建设之初便着手全量的安全日志收集,实现第一时间的安全事件告警和响应。对测试网,我们配置了网络安全设备和日志收集系统;对办公网,我们配置了齐全的安全管控和检测手段,并定期对证通全体员工进行安全培训,重点防止敏感数据泄漏。

Q:适应性安全是安全圈现在很火爆的理念,态势感知系统是这个理念比较典型的实践品,证通启动态势感知项目的大致情况如何?

A:态势感知在2016年上半年的时候就已经是非常成型的概念了,我们也非常认可这个理念并自建了一套态势感知系统以满足自身安全需求。目前已经完成了一期建设,包括安全测试模块、自动阻断模块、蜜罐模块、智能漏洞验证模块等。做态势感知,首先要知道自己有什么资产,有什么风险,再结合外部的数据去防护。之所以强调外部数据是因为企业光靠自己收集的数据通常是不够的,而且数据分析成本很高,必须要有获得外部情报数据的途径。比如我们看到一个IP来扫描,我们怎么判断他大致是一个什么样的人,他到底是恶意地来扫描,准备进行攻击,还是说他只是一个“广撒网”的扫描,威胁情报可以让我们心里有底。

Q:那您觉得态势感知项目本身需要具备什么条件才能够有效?

A:态势感知项目要成功,我觉得主要有以下几个条件。第一是数据源要丰富,对数据的理解要足够充分,得知道现有的数据源到底是哪个系统产生的什么日志,从而进行解析和分析。日志解析和分析工作对人员的技术能力以及对数据理解的要求很高,对于正则表达式需要非常熟悉,还需要理解网络层、系统层、应用层、中间件、开发框架等多方面的数据,与相关团队的沟通成本也很高,是一个非常费时费力而不怎么能获得成就感的工作,但是把这些日志结构化是非常有用的,因为到后面可以做统计、呈现、数据关联,做好这些工作是先决条件。提高对数据的理解和数据的准确性,还要靠自己不断地在运行中总结经验,同时也需要依靠外部的数据源来做一些辅助,有时我们做告警就依赖于威胁情报,结合外部数据可以达到一个相对准确的效果,我们自己其实也有建自己的情报源,但是仅靠自己的数据不足以做出足够准确的判断。

其次是界面设计和交互设计要友好。一方面,操作人员要容易配置,能够保证数据多层面、多角度的呈现;另一方面是上层决策者的宏观感受要直观,一看就知道安全团队在做什么事情,阻拦了多少攻击事件,也就是让安全不仅是可视化的,而且是可量化的,这样才能直观体现出安全团队的价值。

第三是怎样建立数据模型,因为每天产生那么多数据,肯定得去建立相应的一些模型,以模型为基准去做数据的分析和呈现。有一些模型可能是简单的条件判断,有一些模型可能是通过机器学习实现,随着数据的增加逐渐成熟,等等。

Q:态势感知系统的效果是什么?

A:对于一线人员来说,态势感知打通了多个维度的数据,通过数据可视化让我们对威胁态势有直观了解,通过外部威胁情报协助我们进行决策,甚至自动阻断恶意请求,把我们从重复劳动中解放,从而可以聚焦在更高层面的工作。举个例子:在以前没有安全威胁情报做参考的时候,事件处置流程是这样的:发生告警以后有值班人员打电话给你,你打开电脑开始处理应急事件,登录系统后判断这个IP对我们公司的什么系统做了一些什么样的扫描或者攻击,再去看他的请求参数是什么样的,会不会对我们产生威胁。引入了威胁情报之后,我们就可以基于威胁情报先判断一下这个IP是来干嘛的,比方说一个扫描IP,在我们系统中触发了大量404响应,再对比相关的告警内容,就可以初步判定威胁性不大,此外由于我们的系统在上线前都经过了严格的安全测试,我们相信类似的扫描不会对我们形成威胁,所以这个告警就不用再去太关心了,这样就极大地降低了我们应急人员的工作压力。

从上层管理人员的角度来看,就像刚才说的,通过态势感知系统做到了安全态势的可视化和工作成效可量化。

Q:接下来准备怎样对态势感知系统做升级?

A:首先是增加数据源,做安全要在“知己”的路上走得更远,既然已经盘点了已有的资产信息,就可以基于这些资产去做一些更深入的工作,比如资产的系统、版本、中间件信息、开发框架信息等等,这些信息可以做一些关联,基于关联去做精确度更高的、更智能的安全威胁的态势感知;其次是工具化集成化,将态势感知系统打造成安全团队日常的工作平台,形成闭环,从而提升工作效率。此外,我们安全团队还可以与其他团队合作,让态势感知系统为运维和数据分析提供支持。

当前微步在线的威胁情报跟我们的SIEM系统结合得比较深,我们的生产网、办公网、测试网都有接入,在不同维度数据的整合方面还有很多工作要做。外部数据,包括威胁情报在内,也是需要逐渐完善,我们也想和微步在线进行更深入的合作,并乐意将我们的经验和技术与行业分享。


原文发布时间为:2017-11-02

本文作者:微步在线

本文来自云栖社区合作伙伴51CTO,了解相关信息可以关注51CTO。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7827 0
【重要通知】阿里云关于Intel处理器Meltdown和Spectre安全漏洞处理持续更新公告
近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。
8097 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2630 0
【阿里云新品发布·周刊】第6期:态势感知全新升级为:云安全中心!
将你想要了解的产品动态,评论在下方,下期更新!
2566 0
混合云态势感知安全解决方案
本文整理自2017云栖大会-成都峰会上阿里云安全专家戈建勇的分享讲义。讲义主要分享了混合云发展趋势及从传统安全体系到云安全体系转变所面临的挑战,以及混合云态势感知安全解决方案,并分享了几种不同场景下的态势感知安全解决方案和方案优势。
1981 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
9551 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
11205 0
+关注
716
文章
646
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载