沒有比金融機(jī)構(gòu)更苦逼的行業(yè)了。

手里攥著大把票子，卻無時(shí)無刻不被賊惦記著。于是金主爸爸們踏上了瘋狂購買安全產(chǎn)品的道路：防火墻來幾套，身份認(rèn)證來幾套，殺毒軟件來幾套……總之，他們堅(jiān)信安全產(chǎn)品買多了，自己就安全了。

而事實(shí)，啪啪啪打臉：

匯豐銀行大量秘密銀行賬戶文件被曝光；

社保信息現(xiàn)高危漏洞，數(shù)千萬個(gè)人隱私泄密；

工行快捷支付被曝漏洞，多位北京地區(qū)的工行儲(chǔ)戶遭遇了存款被盜事件；

廣發(fā)銀行、農(nóng)行“蘿卜章”事件，員工內(nèi)外勾結(jié)詐騙數(shù)億；

此時(shí)，金融大戶們的反應(yīng)是這樣的：

安全產(chǎn)品一窩蜂堆積在家門口，卻根本防不住外匪和內(nèi)賊。金融大佬們哭了，嚶嚶嚶，童話里都是騙錢的，買了這么多產(chǎn)品卻不能發(fā)揮作用？

這時(shí)候可能需要一個(gè)幫忙整理院子的“管家”，負(fù)責(zé)優(yōu)化堆積的安全產(chǎn)品，讓它們發(fā)揮本該產(chǎn)生的價(jià)值。

當(dāng)然，要做的還不止這些，“管家”華青融天的安全運(yùn)營平臺(tái)負(fù)責(zé)人易歆告訴雷鋒網(wǎng)。

安全增值服務(wù)

花錢買產(chǎn)品誰都會(huì)，可買回來之后怎么用是個(gè)問題。

銀行業(yè)普遍存在的現(xiàn)象是不論大行小行，安全產(chǎn)品買來了就是買來了，產(chǎn)品及安全策略的優(yōu)化配置不及時(shí)，相應(yīng)的攻擊手段卻越來越靈活。

“僅僅對安全產(chǎn)品進(jìn)行梳理是不夠的，而是要真正運(yùn)維起來?！币嘴Ц嬖V雷鋒網(wǎng)。

目前銀行面臨的安全問題主要有三個(gè)方面：

第一，日益頻繁和復(fù)雜的外部攻擊。

第二，日趨嚴(yán)格的行業(yè)/企業(yè)內(nèi)部合規(guī)審計(jì)。

第三，嚴(yán)格數(shù)據(jù)安全管理。

每方面都有相應(yīng)的安全產(chǎn)品，銀行老板們的需求很直白，買了這么多款產(chǎn)品總要讓我看到他們是怎么工作的。也就是需要一個(gè)大腦，將這些產(chǎn)品動(dòng)態(tài)輸入進(jìn)去，并由大腦控制信息進(jìn)行連動(dòng)式的防御機(jī)制，實(shí)現(xiàn)安全建設(shè)的可視化操作。

這就是SOC（Security Operations Center，安全運(yùn)營中心），S即企業(yè)中相關(guān)安全事件和對應(yīng)流程建設(shè)；O代表著一種實(shí)時(shí)動(dòng)態(tài)運(yùn)營，包括但不限于實(shí)時(shí)安全事件預(yù)警，還需要對事件的響應(yīng)、處置和回溯分析；C則表示體系化的建設(shè)，多領(lǐng)域安全產(chǎn)品和服務(wù)“疊加”而成的綜合防線。也就是說，SOC負(fù)責(zé)確保潛在的安全事件能夠被正確識(shí)別、分析、防護(hù)、調(diào)查取證和報(bào)告。

華青融天會(huì)根據(jù)銀行部署的安全設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)流量數(shù)據(jù)獲取事件進(jìn)行特征識(shí)別、統(tǒng)計(jì)分析以及預(yù)測，并評估自身的安全加固程度給出相應(yīng)建議。

“我們的定位是安全增值服務(wù)商，與大多數(shù)安全廠商的區(qū)別是，他們賣產(chǎn)品、實(shí)施完成后把實(shí)際產(chǎn)品巡檢運(yùn)維工作交由服務(wù)商或合作伙伴進(jìn)行，且這種運(yùn)維仍聚焦產(chǎn)品維度，并非以安全事件及整體態(tài)勢進(jìn)行規(guī)劃運(yùn)營?！?/p>

盡管SOC的概念足夠完美，但其在國內(nèi)落地一直不算成功。僅靠日志分析、終端安全等工具的堆砌，缺乏足夠的知識(shí)和人才來運(yùn)營，難以與IT、業(yè)務(wù)和監(jiān)管等部門進(jìn)行有機(jī)的聯(lián)動(dòng)等問題都使得國內(nèi)一票自建SOC生長不順，處于尷尬位置。

摸著石頭過河

摸索這一平臺(tái)的過程不容易。

2010年，國內(nèi)各大金融機(jī)構(gòu)在頻發(fā)的網(wǎng)絡(luò)安全事件下瑟瑟發(fā)抖，想要防御又不知如何砌墻，至于怎么做SOC更是一片模糊。2010年3月，易歆加入華青融天。彼時(shí)華青融天還是一個(gè)24人的團(tuán)隊(duì)，主要做招商銀行的集成類項(xiàng)目。而易歆則重點(diǎn)關(guān)注EMC存儲(chǔ)、備份以及APM（應(yīng)用性能管理）領(lǐng)域。

也是那時(shí)，機(jī)緣巧合下他負(fù)責(zé)了某銀行項(xiàng)目安全運(yùn)營工作，才真正進(jìn)入安全圈，開始了兩三年的摸著石頭過河。

被他們一路摸過來的“石頭”有香港花旗銀行，韓國的大韓銀行，以及臺(tái)灣的一些銀行案例。而早期的產(chǎn)品實(shí)際就是架設(shè)在國外某產(chǎn)品之上，將安全事件數(shù)據(jù)以定制化方式向甲方維度展現(xiàn)。

“那段時(shí)間就是自己在磨?！?/p>

2013年，銀監(jiān)部門頒布了一系列監(jiān)管要求，給一片混沌的銀行行業(yè)指出清晰方向，即要對安全事件進(jìn)行責(zé)任制的處理和響應(yīng)。

有目標(biāo)才有招式，他們逐漸給銀行開展了各種關(guān)聯(lián)事件產(chǎn)品的分析、回溯分析、事件調(diào)查、安全加固，甚至參與行分內(nèi)部的一些攻防滲透，以及提供重要防護(hù)安全設(shè)備的運(yùn)維，包括IPS、WAF或者漏洞掃描。

事件統(tǒng)計(jì)分析

有了這些就能豎起一道無堅(jiān)可摧的屏障嗎？

當(dāng)然不可能。

DDoS攻擊時(shí)刻發(fā)生在互聯(lián)網(wǎng)之上，金融行業(yè)更是重災(zāi)區(qū)之一。依靠數(shù)臺(tái)抗D產(chǎn)品聯(lián)合狙擊防御就能擋住所有DDoS攻擊嗎？想太多了。

對于具有典型特征的DDOS攻擊，如果能將每隔一段時(shí)間攻擊特征數(shù)據(jù)加以分析是不是可以預(yù)測隨后的攻擊方向，并提前進(jìn)行預(yù)案型的流量清洗？易歆覺得OK。

于是，從2016年到2017年，華青融天開始在原有產(chǎn)品之上添加了安全態(tài)勢感知、情報(bào)TI和安全大數(shù)據(jù)平臺(tái)等功能，提供真正的安全態(tài)勢感知方向，如進(jìn)行用戶行為分析（主要為內(nèi)部人員分析），針對外網(wǎng)攻擊態(tài)勢以及數(shù)據(jù)特征進(jìn)行攻擊預(yù)測和分析等。

“這也是下一代SOC平臺(tái)，以事件及預(yù)測分析驅(qū)動(dòng)，而非被動(dòng)接受?！?/p>

但銀行是否愿意投產(chǎn)這樣一套下一代SOC平臺(tái)？

實(shí)際上，銀行遭受有組織的正面攻擊可能性非常小。金融機(jī)構(gòu)普遍默認(rèn)的規(guī)則是：大規(guī)模的網(wǎng)絡(luò)攻擊是由網(wǎng)監(jiān)、公安局防御的，單個(gè)的黑客攻擊可以被現(xiàn)有的安全防護(hù)手段抵擋，而小規(guī)模，小團(tuán)隊(duì)有組織的攻擊才是主要防守的。

易歆告訴雷鋒網(wǎng)，在多年運(yùn)維工作中他曾遇見多起黑客入侵事件，但多數(shù)情況是被當(dāng)作肉雞或者礦機(jī)，被當(dāng)做礦機(jī)會(huì)出現(xiàn)突如其來網(wǎng)絡(luò)帶寬占高用，甚至?xí)順I(yè)務(wù)系統(tǒng)、辦公日常應(yīng)用的用戶體驗(yàn)極差（延時(shí)高、網(wǎng)絡(luò)丟包嚴(yán)重），被當(dāng)做肉雞則會(huì)強(qiáng)制性地在一些特殊的網(wǎng)段、時(shí)間點(diǎn)，讓腳本運(yùn)行某些外聯(lián)行為或獲取權(quán)限、敏感數(shù)據(jù)的嘗試。

不過這種嘗試會(huì)被SOC平臺(tái)輕易監(jiān)控到，此時(shí)再去出具一大票相關(guān)報(bào)告就顯得拖沓。而易歆團(tuán)隊(duì)分成T1、T2兩組，T1組只要發(fā)現(xiàn)存在敏感操作會(huì)立即采取調(diào)停，調(diào)查措施，T2組則負(fù)責(zé)隨后的具體分析工作。也就是以事件驅(qū)動(dòng)進(jìn)行運(yùn)維工作。

除了外部攻擊，來自內(nèi)部人員的小鐵拳錘你胸口也不少見。

金融行業(yè)本身就是在和錢打交道，現(xiàn)在又被互聯(lián)網(wǎng)金融“逼得”講究互聯(lián)互通，開始業(yè)務(wù)系統(tǒng)的頻繁迭代、變更、上線。而在業(yè)務(wù)迭代上線過程中必然會(huì)存在某些漏洞，這些漏洞多為業(yè)內(nèi)人員知曉。假如有心術(shù)不正之人稍微動(dòng)動(dòng)歪腦筋，制作各種僵尸木馬，自己的腳本工具，甚至某些研發(fā)人員會(huì)專門給系統(tǒng)留后門，后果……自行想象。

世界上最難防的是人心，為此銀行也采取了不少手段力圖阻止這種情況出現(xiàn)。比如采用外包方式，開放某一區(qū)域邀請安全公司進(jìn)行滲透工作，以及模擬應(yīng)用攻擊，查看自己的業(yè)務(wù)系統(tǒng)到底能不能扛住攻擊，會(huì)不會(huì)有特殊漏洞存在。

這只是開胃小菜，部分銀行也會(huì)招安一些白帽子不定期利用特殊漏洞或業(yè)內(nèi)已知的后面進(jìn)行攻防試驗(yàn)，模擬行內(nèi)人員的特殊行為。當(dāng)然，易歆表示他們也會(huì)在試運(yùn)過程參與這種攻防，通常叫做批量式的驗(yàn)證攻防。

簡單來說，今天你要去二環(huán)，但二環(huán)今天被管制了，但甲方爸爸就是要求你走，怎么辦？采取各種方式想盡辦法走。也就是即使這條路堵死了，你還是要用自己的工具和方法去驗(yàn)證這條路是不是真的堵死了。

即使采取了一系列手段，最后可能還會(huì)被攻擊者鉆空子?！爱吘拱踩庸淌且粋€(gè)動(dòng)態(tài)的過程，并沒有唯一的標(biāo)準(zhǔn)性。加之會(huì)與產(chǎn)品、網(wǎng)絡(luò)的互聯(lián)互通、安全操作系統(tǒng)及應(yīng)用的穩(wěn)定性和可用性產(chǎn)生技術(shù)上的沖突，最終帶來的結(jié)果就是，安全加固做得不徹底。”易歆說道。

是否有神器可以輔助安全加固？比如AI。

人工智能

銀行最不缺的是數(shù)據(jù)。

“如果從銀行過往數(shù)年的數(shù)據(jù)中篩選部分如員工的各種登錄數(shù)據(jù)，敏感操作數(shù)據(jù)以及業(yè)務(wù)系統(tǒng)的防御數(shù)據(jù)等遷移到大數(shù)據(jù)平臺(tái)之上，并利用大數(shù)據(jù)的某些特征及技術(shù)特點(diǎn)進(jìn)行建模，就可以實(shí)現(xiàn)自動(dòng)化判定員工敏感操作行為，同時(shí)也會(huì)針對外網(wǎng)攻擊事件進(jìn)行預(yù)測。”易歆說道，這也是目前他們在做的。

也就是以員工個(gè)人過去一段時(shí)間的行為模型為標(biāo)桿，如果其行為突然出現(xiàn)偏移（做了平時(shí)不會(huì)做的事），就會(huì)被模型識(shí)別出來并上報(bào)給風(fēng)險(xiǎn)質(zhì)量合規(guī)管理部。

而預(yù)測攻擊則是將幾個(gè)月數(shù)據(jù)進(jìn)行簡單的統(tǒng)比和環(huán)比形成預(yù)測值，并對隨后可能的攻擊方向做出判斷，哪些業(yè)務(wù)區(qū)域和系統(tǒng)可能受到攻擊，是否要加強(qiáng)對這些業(yè)務(wù)性安全加固與防御，總之要形成的是一整套安全的業(yè)務(wù)視角。

“安全終究要為業(yè)務(wù)服務(wù)，它不是孤立存在的，而我們更愿意幫助用戶走好安全的最后一公里?！?/p>

但這最后一公里并不好走。

知乎上有一個(gè)問題是國內(nèi)安全管理平臺(tái)（SOC）未來前景如何？點(diǎn)贊數(shù)最高的一條評論是：在各企業(yè)對IT信息化越來越依賴的現(xiàn)在，SOC是眾多企業(yè)運(yùn)營的必須部門。但于國內(nèi)而言，這個(gè)被談?wù)撛S久的概念并沒有很好的落地，響應(yīng)不及時(shí)，規(guī)則不靈活，最為關(guān)鍵的是成本太高。因此SOC想在國內(nèi)完美應(yīng)用，似乎還任重道遠(yuǎn)。

雷鋒網(wǎng)了解到，成立11年一直依靠自有項(xiàng)目收入養(yǎng)活自己的華青融天，一邊深入研究安全態(tài)勢和運(yùn)營，一邊即將啟動(dòng)融資，這個(gè)平臺(tái)確實(shí)燒錢，但無疑是能夠走得更穩(wěn)的手杖。

易歆說，他們愿意為此付出。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。