證通的態勢感知立足合規，打造適應性安全

threatbook較真之作第二期，看看作為金融科技企業的證通股份****(以下簡稱「證通」) 如何理解網路安全?

合規、管理、構建、應急……安全問題千千萬，層出不窮。我們沒辦法給出這些問題的標準答案，但我們可以用case study的形式，讓你看看——「別人家的安全」。

本期受訪者資料：黃凱，8年安全從業經驗，目前就職於證通股份****，安全技術負責人，職責包括資訊保安技術體系管理、安全監控系統運營、安全技術調研。

證通資深安全工程師黃凱

q：作為金融科技企業的證通股份****(以下簡稱「證通」) 如何理解網路安全?

a：證通股份****成立於2023年，是由國內多家**機構、網際網路企業和金融服務機構以市場化方式共同發起成立的金融綜合服務企業，證通的團隊來自銀行、**、網際網路企業以及業內領軍科技公司，其中核心科技人員佔員工總數一半以上。實力雄厚的股東背景及團隊優勢，讓證通有責任更有義務在面向金融行業的it創新輸出上有所作為。因此證通上至管理層、下至基層員工，大家對安全都非常重視，對新技術也保持著積極學習與探索的狀態。證通安全架構是在滿足合規要求基礎上，結合新思想和新技術的「創新工場」。一方面是為了自身的安全能力的提公升，畢竟網路安全發展到現在，單純防禦性的措施已經不如之前那麼有效了;另一方面，我們也希望通過我們的技術革新，建立起成熟的與時俱進的安全體系架構，更好地為股東單位及行業機構服務。

現在證通安全團隊的職責已覆蓋安全合規、安全開發生命週期、安全運維、安全監控、安全技術調研等方面，是一支綜合能力很強的團隊。

q：證通的整個安全體系是如何構建的?

a：證通的安全體系已經覆蓋了安全技術管控、安全運營管控、安全策略制定等各個方面。以具體場景為例，我們有三張網：生產網、測試網和辦公網。我們以生產網為重，對其管控力度也是三張網裡最強的，生產網的安全裝置部署與測試網、辦公網隔離，並且從建設之初便著手全量的安全日誌收集，實現第一時間的安全事件告警和響應。對測試網，我們配置了網路安全裝置和日誌收集系統;對辦公網，我們配置了齊全的安全管控和檢測手段，並定期對證通全體員工進行安全培訓，重點防止敏感資料洩漏。

q：適應性安全是安全圈現在很火爆的理念，態勢感知系統是這個理念比較典型的實踐品，證通啟動態勢感知專案的大致情況如何?

a：態勢感知在2023年上半年的時候就已經是非常成型的概念了，我們也非常認可這個理念並自建了一套態勢感知系統以滿足自身安全需求。目前已經完成了一期建設，包括安全測試模組、自動阻斷模組、蜜罐模組、智慧型漏洞驗證模組等。做態勢感知，首先要知道自己有什麼資產，有什麼風險，再結合外部的資料去防護。之所以強調外部資料是因為企業光靠自己收集的資料通常是不夠的，而且資料分析成本很高，必須要有獲得外部情報資料的途徑。比如我們看到乙個ip來掃瞄，我們怎麼判斷他大致是乙個什麼樣的人，他到底是惡意地來掃瞄，準備進行攻擊，還是說他只是乙個「廣撒網」的掃瞄，威脅情報可以讓我們心裡有底。

q：那您覺得態勢感知專案本身需要具備什麼條件才能夠有效?

a：態勢感知專案要成功，我覺得主要有以下幾個條件。第一是資料來源要豐富，對資料的理解要足夠充分，得知道現有的資料來源到底是哪個系統產生的什麼日誌，從而進行解析和分析。日誌解析和分析工作對人員的技術能力以及對資料理解的要求很高，對於正規表示式需要非常熟悉，還需要理解網路層、系統層、應用層、中介軟體、開發框架等多方面的資料，與相關團隊的溝通成本也很高，是乙個非常費時費力而不怎麼能獲得成就感的工作，但是把這些日誌結構化是非常有用的，因為到後面可以做統計、呈現、資料關聯，做好這些工作是先決條件。提高對資料的理解和資料的準確性，還要靠自己不斷地在執行中總結經驗，同時也需要依靠外部的資料來源來做一些輔助，有時我們做告警就依賴於威脅情報，結合外部資料可以達到乙個相對準確的效果，我們自己其實也有建自己的情報源，但是僅靠自己的資料不足以做出足夠準確的判斷。

其次是介面設計和互動設計要友好。一方面，操作人員要容易配置，能夠保證資料多層面、多角度的呈現;另一方面是上層決策者的巨集觀感受要直觀，一看就知道安全團隊在做什麼事情，阻攔了多少攻擊事件，也就是讓安全不僅是視覺化的，而且是可量化的，這樣才能直觀體現出安全團隊的價值。

第三是怎樣建立資料模型，因為每天產生那麼多資料，肯定得去建立相應的一些模型，以模型為基準去做資料的分析和呈現。有一些模型可能是簡單的條件判斷，有一些模型可能是通過機器學習實現，隨著資料的增加逐漸成熟，等等。

q：態勢感知系統的效果是什麼?

a：對於一線人員來說，態勢感知打通了多個維度的資料，通過資料視覺化讓我們對威脅態勢有直觀了解，通過外部威脅情報協助我們進行決策，甚至自動阻斷惡意請求，把我們從重複勞動中解放，從而可以聚焦在更高層面的工作。舉個例子：在以前沒有安全威脅情報做參考的時候，事件處置流程是這樣的：發生告警以後有值班人員打**給你，你開啟電腦開始處理應急事件，登入系統後判斷這個ip對我們公司的什麼系統做了一些什麼樣的掃瞄或者攻擊，再去看他的請求引數是什麼樣的，會不會對我們產生威脅。引入了威脅情報之後，我們就可以基於威脅情報先判斷一下這個ip是來幹嘛的，比方說乙個掃瞄ip，在我們系統中觸發了大量404響應，再對比相關的告警內容，就可以初步判定威脅性不大，此外由於我們的系統在上線前都經過了嚴格的安全測試，我們相信類似的掃瞄不會對我們形成威脅，所以這個告警就不用再去太關心了，這樣就極大地降低了我們應急人員的工作壓力。

從上層管理人員的角度來看，就像剛才說的，通過態勢感知系統做到了安全態勢的視覺化和工作成效可量化。

q：接下來準備怎樣對態勢感知系統做公升級?

a：首先是增加資料來源，做安全要在「知己」的路上走得更遠，既然已經盤點了已有的資產資訊，就可以基於這些資產去做一些更深入的工作，比如資產的系統、版本、中介軟體資訊、開發框架資訊等等，這些資訊可以做一些關聯，基於關聯去做精確度更高的、更智慧型的安全威脅的態勢感知;其次是工具化整合化，將態勢感知系統打造成安全團隊日常的工作平台，形成閉環，從而提公升工作效率。此外，我們安全團隊還可以與其他團隊合作，讓態勢感知系統為運維和資料分析提供支援。

原文發布時間為：2017-11-02

證通的態勢感知立足合規，打造適應性安全

態勢感知的相關內容

雲態勢感知需要部署嗎開發安全的雲感知應用程式

乙個深度態勢感知中的計算計案例

證通的態勢感知 立足合規，打造適應性安全

態勢感知的相關內容

雲態勢感知需要部署嗎 開發安全的雲感知應用程式

乙個深度態勢感知中的計算計案例

相關推薦

證通的態勢感知立足合規，打造適應性安全

雲態勢感知需要部署嗎開發安全的雲感知應用程式