沒有比金融機構更苦逼的行業(yè)了。

手里攥著大把票子，卻無時無刻不被賊惦記著。于是金主爸爸們踏上了瘋狂購買安全產品的道路：防火墻來幾套，身份認證來幾套，殺毒軟件來幾套……總之，他們堅信安全產品買多了，自己就安全了。

而事實，啪啪啪打臉：

匯豐銀行大量秘密銀行賬戶文件被曝光；

社保信息現高危漏洞，數千萬個人隱私泄密；

工行快捷支付被曝漏洞，多位北京地區(qū)的工行儲戶遭遇了存款被盜事件；

廣發(fā)銀行、農行“蘿卜章”事件，員工內外勾結詐騙數億；

此時，金融大戶們的反應是這樣的：

安全產品一窩蜂堆積在家門口，卻根本防不住外匪和內賊。金融大佬們哭了，嚶嚶嚶，童話里都是騙錢的，買了這么多產品卻不能發(fā)揮作用？

這時候可能需要一個幫忙整理院子的“管家”，負責優(yōu)化堆積的安全產品，讓它們發(fā)揮本該產生的價值。

當然，要做的還不止這些，“管家”華青融天的安全運營平臺負責人易歆告訴雷鋒網。

安全增值服務

花錢買產品誰都會，可買回來之后怎么用是個問題。

銀行業(yè)普遍存在的現象是不論大行小行，安全產品買來了就是買來了，產品及安全策略的優(yōu)化配置不及時，相應的攻擊手段卻越來越靈活。

“僅僅對安全產品進行梳理是不夠的，而是要真正運維起來。”易歆告訴雷鋒網。

目前銀行面臨的安全問題主要有三個方面：

第一，日益頻繁和復雜的外部攻擊。

第二，日趨嚴格的行業(yè)/企業(yè)內部合規(guī)審計。

第三，嚴格數據安全管理。

每方面都有相應的安全產品，銀行老板們的需求很直白，買了這么多款產品總要讓我看到他們是怎么工作的。也就是需要一個大腦，將這些產品動態(tài)輸入進去，并由大腦控制信息進行連動式的防御機制，實現安全建設的可視化操作。

這就是SOC（Security Operations Center，安全運營中心），S即企業(yè)中相關安全事件和對應流程建設；O代表著一種實時動態(tài)運營，包括但不限于實時安全事件預警，還需要對事件的響應、處置和回溯分析；C則表示體系化的建設，多領域安全產品和服務“疊加”而成的綜合防線。也就是說，SOC負責確保潛在的安全事件能夠被正確識別、分析、防護、調查取證和報告。

華青融天會根據銀行部署的安全設備、操作系統、網絡流量數據獲取事件進行特征識別、統計分析以及預測，并評估自身的安全加固程度給出相應建議。

“我們的定位是安全增值服務商，與大多數安全廠商的區(qū)別是，他們賣產品、實施完成后把實際產品巡檢運維工作交由服務商或合作伙伴進行，且這種運維仍聚焦產品維度，并非以安全事件及整體態(tài)勢進行規(guī)劃運營?！?/p>

盡管SOC的概念足夠完美，但其在國內落地一直不算成功。僅靠日志分析、終端安全等工具的堆砌，缺乏足夠的知識和人才來運營，難以與IT、業(yè)務和監(jiān)管等部門進行有機的聯動等問題都使得國內一票自建SOC生長不順，處于尷尬位置。

摸著石頭過河

摸索這一平臺的過程不容易。

2010年，國內各大金融機構在頻發(fā)的網絡安全事件下瑟瑟發(fā)抖，想要防御又不知如何砌墻，至于怎么做SOC更是一片模糊。2010年3月，易歆加入華青融天。彼時華青融天還是一個24人的團隊，主要做招商銀行的集成類項目。而易歆則重點關注EMC存儲、備份以及APM（應用性能管理）領域。

也是那時，機緣巧合下他負責了某銀行項目安全運營工作，才真正進入安全圈，開始了兩三年的摸著石頭過河。

被他們一路摸過來的“石頭”有香港花旗銀行，韓國的大韓銀行，以及臺灣的一些銀行案例。而早期的產品實際就是架設在國外某產品之上，將安全事件數據以定制化方式向甲方維度展現。

“那段時間就是自己在磨?！?/p>

2013年，銀監(jiān)部門頒布了一系列監(jiān)管要求，給一片混沌的銀行行業(yè)指出清晰方向，即要對安全事件進行責任制的處理和響應。

有目標才有招式，他們逐漸給銀行開展了各種關聯事件產品的分析、回溯分析、事件調查、安全加固，甚至參與行分內部的一些攻防滲透，以及提供重要防護安全設備的運維，包括IPS、WAF或者漏洞掃描。

事件統計分析

有了這些就能豎起一道無堅可摧的屏障嗎？

當然不可能。

DDoS攻擊時刻發(fā)生在互聯網之上，金融行業(yè)更是重災區(qū)之一。依靠數臺抗D產品聯合狙擊防御就能擋住所有DDoS攻擊嗎？想太多了。

對于具有典型特征的DDOS攻擊，如果能將每隔一段時間攻擊特征數據加以分析是不是可以預測隨后的攻擊方向，并提前進行預案型的流量清洗？易歆覺得OK。

于是，從2016年到2017年，華青融天開始在原有產品之上添加了安全態(tài)勢感知、情報TI和安全大數據平臺等功能，提供真正的安全態(tài)勢感知方向，如進行用戶行為分析（主要為內部人員分析），針對外網攻擊態(tài)勢以及數據特征進行攻擊預測和分析等。

“這也是下一代SOC平臺，以事件及預測分析驅動，而非被動接受?！?/p>

但銀行是否愿意投產這樣一套下一代SOC平臺？

實際上，銀行遭受有組織的正面攻擊可能性非常小。金融機構普遍默認的規(guī)則是：大規(guī)模的網絡攻擊是由網監(jiān)、公安局防御的，單個的黑客攻擊可以被現有的安全防護手段抵擋，而小規(guī)模，小團隊有組織的攻擊才是主要防守的。

易歆告訴雷鋒網，在多年運維工作中他曾遇見多起黑客入侵事件，但多數情況是被當作肉雞或者礦機，被當做礦機會出現突如其來網絡帶寬占高用，甚至會帶來業(yè)務系統、辦公日常應用的用戶體驗極差（延時高、網絡丟包嚴重），被當做肉雞則會強制性地在一些特殊的網段、時間點，讓腳本運行某些外聯行為或獲取權限、敏感數據的嘗試。

不過這種嘗試會被SOC平臺輕易監(jiān)控到，此時再去出具一大票相關報告就顯得拖沓。而易歆團隊分成T1、T2兩組，T1組只要發(fā)現存在敏感操作會立即采取調停，調查措施，T2組則負責隨后的具體分析工作。也就是以事件驅動進行運維工作。

除了外部攻擊，來自內部人員的小鐵拳錘你胸口也不少見。

金融行業(yè)本身就是在和錢打交道，現在又被互聯網金融“逼得”講究互聯互通，開始業(yè)務系統的頻繁迭代、變更、上線。而在業(yè)務迭代上線過程中必然會存在某些漏洞，這些漏洞多為業(yè)內人員知曉。假如有心術不正之人稍微動動歪腦筋，制作各種僵尸木馬，自己的腳本工具，甚至某些研發(fā)人員會專門給系統留后門，后果……自行想象。

世界上最難防的是人心，為此銀行也采取了不少手段力圖阻止這種情況出現。比如采用外包方式，開放某一區(qū)域邀請安全公司進行滲透工作，以及模擬應用攻擊，查看自己的業(yè)務系統到底能不能扛住攻擊，會不會有特殊漏洞存在。

這只是開胃小菜，部分銀行也會招安一些白帽子不定期利用特殊漏洞或業(yè)內已知的后面進行攻防試驗，模擬行內人員的特殊行為。當然，易歆表示他們也會在試運過程參與這種攻防，通常叫做批量式的驗證攻防。

簡單來說，今天你要去二環(huán)，但二環(huán)今天被管制了，但甲方爸爸就是要求你走，怎么辦？采取各種方式想盡辦法走。也就是即使這條路堵死了，你還是要用自己的工具和方法去驗證這條路是不是真的堵死了。

即使采取了一系列手段，最后可能還會被攻擊者鉆空子?！爱吘拱踩庸淌且粋€動態(tài)的過程，并沒有唯一的標準性。加之會與產品、網絡的互聯互通、安全操作系統及應用的穩(wěn)定性和可用性產生技術上的沖突，最終帶來的結果就是，安全加固做得不徹底?！币嘴дf道。

是否有神器可以輔助安全加固？比如AI。

人工智能

銀行最不缺的是數據。

“如果從銀行過往數年的數據中篩選部分如員工的各種登錄數據，敏感操作數據以及業(yè)務系統的防御數據等遷移到大數據平臺之上，并利用大數據的某些特征及技術特點進行建模，就可以實現自動化判定員工敏感操作行為，同時也會針對外網攻擊事件進行預測。”易歆說道，這也是目前他們在做的。

也就是以員工個人過去一段時間的行為模型為標桿，如果其行為突然出現偏移（做了平時不會做的事），就會被模型識別出來并上報給風險質量合規(guī)管理部。

而預測攻擊則是將幾個月數據進行簡單的統比和環(huán)比形成預測值，并對隨后可能的攻擊方向做出判斷，哪些業(yè)務區(qū)域和系統可能受到攻擊，是否要加強對這些業(yè)務性安全加固與防御，總之要形成的是一整套安全的業(yè)務視角。

“安全終究要為業(yè)務服務，它不是孤立存在的，而我們更愿意幫助用戶走好安全的最后一公里?！?/p>

但這最后一公里并不好走。

知乎上有一個問題是國內安全管理平臺（SOC）未來前景如何？點贊數最高的一條評論是：在各企業(yè)對IT信息化越來越依賴的現在，SOC是眾多企業(yè)運營的必須部門。但于國內而言，這個被談論許久的概念并沒有很好的落地，響應不及時，規(guī)則不靈活，最為關鍵的是成本太高。因此SOC想在國內完美應用，似乎還任重道遠。

雷鋒網了解到，成立11年一直依靠自有項目收入養(yǎng)活自己的華青融天，一邊深入研究安全態(tài)勢和運營，一邊即將啟動融資，這個平臺確實燒錢，但無疑是能夠走得更穩(wěn)的手杖。

易歆說，他們愿意為此付出。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。