? ? ? ?2021 GOLF+ IT新治理領(lǐng)導(dǎo)力論壇于2021年12月24日線上召開。本次大會(huì)旨在“新治理融惠創(chuàng)新，數(shù)字化行穩(wěn)致遠(yuǎn)”，圍繞“治效兼顧，構(gòu)筑科技治理新生態(tài)”和“XOPS創(chuàng)新，領(lǐng)航運(yùn)維發(fā)展新脈絡(luò)”兩大主題展開。

? ? ? ?網(wǎng)絡(luò)安全作為2021年全球熱門關(guān)鍵詞，是IT新治理模式下不可或缺的話題。本次論壇特設(shè)“安全與風(fēng)險(xiǎn)治理分論壇”。將針對(duì)當(dāng)前復(fù)雜的科技風(fēng)險(xiǎn)治理環(huán)境，邀請(qǐng)以金融行業(yè)、通信行業(yè)為主的一線研發(fā)運(yùn)營安全一體化（DevSecOps）、軟件供應(yīng)鏈安全技術(shù)實(shí)踐者，以及模型風(fēng)險(xiǎn)治理的行業(yè)專家，就當(dāng)前在該領(lǐng)域獲得的研究成果、實(shí)踐經(jīng)驗(yàn)心得等議題展開探討，從不同角度分析科技治理過程中存在的風(fēng)險(xiǎn)和安全隱患，互通切實(shí)可行的治理方法與技術(shù)手段，共同維護(hù)網(wǎng)絡(luò)安全，為政府和企業(yè)營造安全可控的網(wǎng)絡(luò)空間環(huán)境。

? ? ? ?國信證券股份有限公司信息安全運(yùn)營負(fù)責(zé)人王福于“安全與風(fēng)險(xiǎn)治理分論壇”發(fā)表《信息安全監(jiān)控及應(yīng)急響應(yīng)體系的建立及運(yùn)營》主題演講。

? ? ? ?【演講實(shí)錄】

? ? ? ?大家好，我是國信證券信息技術(shù)總部安全運(yùn)營負(fù)責(zé)人王福，今天的演講主題是信息安全監(jiān)控及應(yīng)急響應(yīng)體系的建立與運(yùn)營，主要分為三部分：

? ? ? ?一、金融行業(yè)信息系統(tǒng)特點(diǎn)和信息安全風(fēng)險(xiǎn)。

? ? ? ?二、信息安全監(jiān)控和應(yīng)急響應(yīng)體系。

? ? ? ?三、信息安全實(shí)戰(zhàn)化攻防演練，提升監(jiān)控和應(yīng)急響應(yīng)的有效性。

? ? ? ?首先，知己知彼，金融行業(yè)信息系統(tǒng)特點(diǎn)及信息安全風(fēng)險(xiǎn)。

? ? ? ?金融行業(yè)信息系統(tǒng)普遍存在以下四個(gè)主要特點(diǎn)，但在券商行業(yè)更加突出。

? ? ? ?一、及時(shí)性和有效性。在券商行業(yè)，如何對(duì)客戶的委托進(jìn)行及時(shí)有效的交易，是IT系統(tǒng)最基本、最核心的需求。

? ? ? ?二、準(zhǔn)確性和可靠性。在數(shù)據(jù)化的時(shí)代，IT數(shù)據(jù)是IT資產(chǎn)的重要表現(xiàn)形式，IT系統(tǒng)需要保證這些數(shù)據(jù)資產(chǎn)的準(zhǔn)確性和可靠性。

? ? ? ?三、連續(xù)性和可擴(kuò)性。相較于其他行業(yè)，券商行業(yè)的信息系統(tǒng)對(duì)于交易量的預(yù)測性較差，比如電商行業(yè)對(duì)于自身交易量有較好的預(yù)測能力，如雙十一、雙十二的交易量會(huì)激增。而券商行業(yè)因?yàn)槭袌鲂星椴▌?dòng)性難以預(yù)測，IT系統(tǒng)的可靠性更需要得到保證。能夠彈性地?cái)U(kuò)容，是券商行業(yè)比較大的特點(diǎn)。

? ? ? ?四、安全性和保密性。這是今天的重點(diǎn)內(nèi)容，券商系統(tǒng)的安全性、保密性是必須保證的。

? ? ? ?基于以上的四個(gè)特點(diǎn)，金融行業(yè)信息系統(tǒng)面臨的主要信息安全風(fēng)險(xiǎn)分為以下三個(gè)方面。

? ? ? ?一、數(shù)據(jù)泄露。一方面是客戶數(shù)據(jù)泄露。客戶數(shù)據(jù)包括客戶的手機(jī)號(hào)、身份證號(hào)等敏感信息，這類數(shù)據(jù)泄露可能對(duì)公司造成負(fù)面影響，所以也是信息安全工作的重中之重，一定要保護(hù)好客戶數(shù)據(jù)安全。另外一方面是公司內(nèi)部敏感信息泄露。相較于其他行業(yè)，券商行業(yè)有更多受監(jiān)管要求不能對(duì)外披露的敏感信息，保障這些敏感信息的安全性和保密性也是工作重點(diǎn)。

? ? ? ?二、公司聲譽(yù)不良影響。如果公司網(wǎng)站等對(duì)外發(fā)布平臺(tái)被篡改為政治敏感或其他不當(dāng)內(nèi)容，這會(huì)對(duì)公司的聲譽(yù)造成嚴(yán)重影響。如果公司郵箱中大盤類被盜或?qū)ν獍l(fā)送垃圾郵件，這也會(huì)對(duì)公司的聲譽(yù)產(chǎn)生不良影響。

? ? ? ?三、業(yè)務(wù)系統(tǒng)不可用。由于網(wǎng)絡(luò)攻擊導(dǎo)致業(yè)務(wù)系統(tǒng)不可用，如系統(tǒng)遭受來自外部的DDoS攻擊、資源消耗型攻擊，或攻擊者攻入了生產(chǎn)系統(tǒng)內(nèi)部，獲得了系統(tǒng)或核心數(shù)據(jù)庫的權(quán)限，進(jìn)行破壞，從而導(dǎo)致生產(chǎn)系統(tǒng)的不可用。

? ? ? ?基于以上風(fēng)險(xiǎn)，我們一直在思考如何建設(shè)形神兼?zhèn)涞陌踩O(jiān)控和應(yīng)急響應(yīng)體系。此處分為兩部分：縱深檢測防御系統(tǒng)和監(jiān)控應(yīng)急響應(yīng)團(tuán)隊(duì)。

? ? ? ?一、縱深檢測防御體系。攻擊者對(duì)公司發(fā)起攻擊時(shí)，攻擊者至少會(huì)在網(wǎng)絡(luò)層留下痕跡，通過一套多層次、全方位的縱深檢測防御體系，至少可以在一個(gè)層次檢查到攻擊行為，那么縱深防御體系就是有效的。

? ? ? ?二、監(jiān)控應(yīng)急響應(yīng)團(tuán)隊(duì)。其核心戰(zhàn)斗力是針對(duì)不同攻擊場景做好對(duì)應(yīng)的檢測規(guī)則和應(yīng)急處置預(yù)案。在攻擊真正發(fā)生前，提前針對(duì)不同的攻擊方式、攻擊場景做好預(yù)判和演練。其次，組建分層次、職責(zé)清晰的監(jiān)控應(yīng)急團(tuán)隊(duì)，將他們分為一、二線，分別負(fù)責(zé)不同職責(zé)。最后，“以賽代練”。通過常態(tài)化攻防演練，在實(shí)戰(zhàn)中打造具備7*24小時(shí)應(yīng)急處置能力的專業(yè)化監(jiān)控應(yīng)急響應(yīng)團(tuán)隊(duì)。

? ? ? ?上圖是縱深監(jiān)控及應(yīng)急響應(yīng)體系。我們建立了以安全運(yùn)營中心（SOC）為核心的多層次全方位的縱深防御及監(jiān)控體系。

? ? ? ?首先，WEB應(yīng)用防護(hù)墻（WAF）實(shí)現(xiàn)了對(duì)于WEB應(yīng)用層的攻擊檢測和安全防護(hù)。

? ? ? ?其次，NIDS和IPS實(shí)現(xiàn)了基于網(wǎng)絡(luò)流量層（南北向和東西向）的攻擊檢測及實(shí)時(shí)攻擊阻斷能力。

? ? ? ?再次，基于主機(jī)入侵檢測系統(tǒng)、防病毒系統(tǒng)實(shí)現(xiàn)主機(jī)層的攻擊檢測和防御。

? ? ? ?最后，內(nèi)外網(wǎng)部署蜜罐系統(tǒng)實(shí)現(xiàn)了基于“欺騙”的安全防御體系。

? ? ? ?上圖是對(duì)縱深防御體系的細(xì)化，核心模塊包括安全防護(hù)系統(tǒng)、安全監(jiān)控系統(tǒng)、安全監(jiān)控與事件管理平臺(tái)，以及事件管理平臺(tái)。輔助模塊包括CMDB、互聯(lián)網(wǎng)資產(chǎn)管理平臺(tái)和威脅情報(bào)輔助平臺(tái)，基礎(chǔ)模塊包括日志采集和數(shù)據(jù)存儲(chǔ)。

? ? ? ?縱深防御體系有以下三個(gè)特點(diǎn)。

? ? ? ?一、實(shí)現(xiàn)了網(wǎng)絡(luò)阻斷系統(tǒng)和其他安全系統(tǒng)的聯(lián)動(dòng)阻斷機(jī)制，如網(wǎng)絡(luò)入侵檢測系統(tǒng)、主機(jī)入侵檢測系統(tǒng)，還有WAF安全檢測系統(tǒng)。通過和網(wǎng)絡(luò)組系統(tǒng)的實(shí)時(shí)聯(lián)動(dòng)，實(shí)現(xiàn)7*24小時(shí)針對(duì)互聯(lián)網(wǎng)攻擊的IP阻斷機(jī)制，能夠解放最基本的應(yīng)急處置工作量。

? ? ? ?二、基于日志采集的基礎(chǔ)模塊，建設(shè)攻擊檢測規(guī)則。公司數(shù)據(jù)中臺(tái)可以收集到許多日志，包括但不限于操作系統(tǒng)日志、WEB應(yīng)用日志和防火墻網(wǎng)絡(luò)設(shè)備日志，以及安全告警、東西向和南北向全流量的回溯。它也是攻擊研判過程中的基礎(chǔ)模塊。

? ? ? ?三、在SOC里實(shí)現(xiàn)SOP功能。通過SOP自定義自動(dòng)化應(yīng)急處置功能，實(shí)現(xiàn)了失陷主機(jī)的自動(dòng)化網(wǎng)卡禁用功能。當(dāng)一個(gè)主機(jī)被失陷時(shí)，可以通過SOP功能實(shí)現(xiàn)網(wǎng)卡阻斷的功能點(diǎn)。攻擊IP的風(fēng)險(xiǎn)也在 SOP里實(shí)現(xiàn)，這能夠提升應(yīng)急處理效率。在某些場景里面，經(jīng)常進(jìn)行數(shù)據(jù)分析或處置操作，當(dāng)需要將操作規(guī)范化時(shí)，將其存儲(chǔ)到SOP，下次可以在相同的攻擊場景里通過SOP一鍵實(shí)現(xiàn)這些操作。

? ? ? ?安全的本質(zhì)是人與人的對(duì)抗，硬實(shí)力并不是決定性的,團(tuán)隊(duì)的建設(shè)才是最核心的。監(jiān)控和應(yīng)急響應(yīng)團(tuán)隊(duì)的建設(shè)可以分為以下四部分：響應(yīng)處置、分析研判、安全預(yù)警和復(fù)盤優(yōu)化。

? ? ? ?一、響應(yīng)處置。根據(jù)不同影響性把安全事件分成不同級(jí)別和類別，并提前設(shè)立不同的處置預(yù)案，方便后續(xù)做好應(yīng)急處置工作。

? ? ? ?二、分析研判。將監(jiān)控團(tuán)隊(duì)分為一線和二線。一線負(fù)責(zé)對(duì)告警進(jìn)行初步分析和研判，處理大部分告警，并把他們不確定或覺得有問題的告警交由二線處置。二線負(fù)責(zé)對(duì)告警進(jìn)一步研判，如果發(fā)現(xiàn)告警是真實(shí)的攻擊，那么需要做應(yīng)急處置工作，如上級(jí)的排查或操作，也包括后續(xù)的溯源處置。分層次的分工可以讓應(yīng)急響應(yīng)更加有效率地進(jìn)行。

? ? ? ?三、安全預(yù)警。通過自動(dòng)化手段監(jiān)控有效性驗(yàn)證。縱深防御體系是否正常工作需要通過自動(dòng)化方式來保證。我們需要保證數(shù)據(jù)源和監(jiān)控?cái)?shù)據(jù)的有效性，如日志采集、流量監(jiān)控是否全面，客戶端覆蓋率是否有保證，自動(dòng)化手段能更好地保證數(shù)據(jù)源和監(jiān)控?cái)?shù)據(jù)的有效性。除此之外，還要保證監(jiān)控規(guī)則本身的有效性，如針對(duì)某個(gè)外部需要的告警是否一直有效，還是由于某些原因?qū)е滤咽В@種特殊情況必須通過自動(dòng)化的方式保證監(jiān)控的有效性。

? ? ? ?四、復(fù)盤優(yōu)化。通過監(jiān)控團(tuán)隊(duì)的每日站立會(huì)，對(duì)當(dāng)天所有安全事件進(jìn)行總體的分析和回顧，通過討論的形式，對(duì)當(dāng)天所有告警的具體處置的準(zhǔn)確性、有效性進(jìn)行保證。除此之外，還會(huì)討論當(dāng)天總體的外部攻擊情況，做好明天或當(dāng)天晚上的應(yīng)急響應(yīng)部署工作。

? ? ? ?僅僅建設(shè)硬實(shí)力和軟實(shí)力是不夠的，還需要通過實(shí)戰(zhàn)化的攻防演練提升團(tuán)隊(duì)能力。開展實(shí)戰(zhàn)化攻防演練的原因有以下三點(diǎn)。

? ? ? ?一、監(jiān)控及應(yīng)急響應(yīng)體系經(jīng)歷的真實(shí)攻擊不足，需要通過實(shí)戰(zhàn)化的演練來驗(yàn)證監(jiān)控和應(yīng)急響應(yīng)體系的準(zhǔn)確性、全面性和有效性。原因有兩方面，一方面是人員問題，每個(gè)人的工作經(jīng)歷參差不齊。另外一方面是公司本身所遭受的攻擊不足。

? ? ? ?二、隨著監(jiān)控系統(tǒng)和應(yīng)急響應(yīng)手段越來越復(fù)雜，需要通過實(shí)戰(zhàn)化的演練來優(yōu)化應(yīng)急響應(yīng)處置工作的規(guī)范化和標(biāo)準(zhǔn)化。

? ? ? ?三、監(jiān)控響應(yīng)團(tuán)隊(duì)存在人員流動(dòng)，實(shí)戰(zhàn)經(jīng)驗(yàn)少，需要通過實(shí)戰(zhàn)化的演練來保持團(tuán)隊(duì)人員的技術(shù)能力和團(tuán)隊(duì)合作能力。

? ? ? ?實(shí)戰(zhàn)化攻防演練包括以下四種形式。

? ? ? ?一、整合內(nèi)外部人力資源。公開演練分為攻擊隊(duì)和防守隊(duì)，如果在攻擊方人力資源不能常態(tài)化的情況下，可以邀請(qǐng)外部安全公司參與攻防演練。通過整合內(nèi)外部人力資源的形式，保證演練水平。具體演練包括不同的形式，如黑盒、白盒和黑盒。不同形式的作用不同。白盒的形式對(duì)于攻擊防守雙方來說完全是公開的，它更像是沙盤或劇本化的推演，可以保證監(jiān)控團(tuán)隊(duì)對(duì)于處置預(yù)案的熟悉程度。而黑盒的形式對(duì)雙方來說是雙盲的攻擊，更加接近真實(shí)的攻擊，這種形式可以模擬真實(shí)攻擊來驗(yàn)證現(xiàn)在的建設(shè)水平。

? ? ? ?二、在真實(shí)的生產(chǎn)環(huán)境搭建靶場。在生產(chǎn)環(huán)境中做好安全隔離，保障靶場本身的安全性。通過這樣的方式模擬真實(shí)的攻擊場景中對(duì)公司生產(chǎn)環(huán)節(jié)的攻擊。靶場環(huán)境里的監(jiān)控防御體系和生產(chǎn)環(huán)境是完全等同的，如果在靶場里它對(duì)某個(gè)攻擊會(huì)發(fā)出告警，那么在真實(shí)的生產(chǎn)環(huán)境里就同樣會(huì)發(fā)出告警，通過這種完全等同的方式保證演練的有效性。

? ? ? ?三、通過ATT&CK模型，“場景化”梳理常見攻擊手法，“沉浸式”開展攻防演練，如反序列化漏洞。

? ? ? ?四、以應(yīng)急預(yù)案的形式整理總結(jié)成果及經(jīng)驗(yàn)，為后續(xù)真實(shí)攻擊提供處置依據(jù)。

通過攻防演練，我們總結(jié)了30多個(gè)攻擊場景，80多個(gè)攻擊實(shí)戰(zhàn)演練子項(xiàng)，以及80多個(gè)應(yīng)急處置預(yù)案。上圖右半部分是目前我們所做的攻擊場景，它是根據(jù)ATT&CK模型不同殺傷鏈的不同環(huán)節(jié)制定的。

? ? ? ?實(shí)戰(zhàn)化攻防演練的收獲主要體現(xiàn)在以下三方面。

? ? ? ?一、人員方面。人員得以熟悉各類攻防場景，攻防技術(shù)能力有較大提升。

? ? ? ?二、技術(shù)方面。新增監(jiān)控規(guī)則，覆蓋更多監(jiān)控場景，安全監(jiān)控能力有顯著提高。

? ? ? ?三、流程方面。建立應(yīng)急響應(yīng)流程，形成應(yīng)急響應(yīng)預(yù)案，人員協(xié)同更加緊密，事件處置更加規(guī)范。

? ? ? ?攻防演練對(duì)監(jiān)控系統(tǒng)和人員能力的提升有非常大的幫助。通過實(shí)戰(zhàn)化攻防演練，可以不斷提升并保持團(tuán)隊(duì)人員的能力。