敢問銀行資訊保安防護之路在何方？

網際網路的放大效應使公眾的容忍度越來越低，尤其是資訊保安事件的影響，讓銀行面臨的聲譽風險壓力倍增。不容樂觀的是，在資料大集中已經成為潮流的今天，資訊保安風險也在急劇集中，銀行重要客戶的資料一旦被不法分子利用，產生身份冒充、釣魚詐騙等違法事件將極難防範。如何既守住資訊保安底線，又保障業務健康發展，是擺在眾多銀行面前的一道難題。

這也是為什麼在銀行的it基礎設施裡幾乎看到安全產品的「全家福」的原因，各種防火牆、waf、ids、ips、dlp應接不暇。但在這樣的情況下，依然沒能避免資料洩露、釣魚欺詐的事件發生。讓人不禁要問，銀行資訊保安防護之路在何方？

弄清楚這個問題，就要從這些傳統的檢測機制上尋找原因。可以說，傳統的防禦機制都是在犧牲了無數「小白鼠」之後，對這些已知的攻擊特徵做的針對性防護機制，但相信哪個黑客也不會傻到用路人皆知的攻擊手段，冒著被全球追捕的危險去打銀行的主意。

大資料技術的出現能否力挽狂瀾？

但往往事實總是與願違，受限於技術約束，傳統的安全分析大都僅針對樣本資料進行分析，並將分析結果推論到剩餘的資料集合上。而隨著高階威脅和欺詐行為的不斷進化，越來越需要對全量資料，甚至是相關的情境資料進行分析。並且當銀行每天的資料量高達tb級時，siem/soc的瓶頸出現了，龐大的資料量和多樣性迅速成為「駱駝背上的稻草」，並且會產生很多誤報。

大資料開始一度成為熱詞，這也讓銀行業嘗到了甜頭。利用大資料分析不僅可以挖掘客戶的消費習慣做精準營銷，還可以在安全防護能力上更上一層樓。借助大資料安全分析技術，能夠更好地解決天量安全要素資訊的採集、儲存的問題。

不過這似乎與傳統資料分析除了在資料處理能力上，其他差異並不是那麼直觀。畢竟資訊保安十多年來一直在利用網路流量、系統日誌和其它資訊源的分析甄別威脅，檢測惡意活動，而這些傳統方式跟大資料有何不同還是不太清晰，如果大資料安全分析僅是這樣，那麼想在安全領域力挽狂瀾顯然是不夠的。

如何做好大資料安全分析

其實不然，在乙個較為完備的基於大資料安全分析的解決方案中，通常會有乙個大資料安全分析平台作為整個方案的核心部件，承載大資料分析的核心功能，將所有分散的安全要素資訊進行集中、儲存、分析、視覺化，對分析的結果進行分發。

注意，是所有的安全要素，而並非僅僅是安全裝置，無論是終端的、主機的、應用的、網路裝置的、安全裝置的，還是第三方雲上的，通過收集這些全量資料進行統一的儲存、分析和展現，從而發現裡面的異常行為，並進一步找到未知的安全威脅。這種思路常見於美國fireeye、phantom cyber等公司的解決方案，當然也包括中國的hansight。

做大資料分析，資料質量也非常關鍵，如果提供分析的資料本身就有問題或者錯誤，那麼分析結果必然有問題。具體來說，如果it人員僅針對海量日誌進行分析，可能由於攻擊者將關鍵日誌抹除，或者故意摻入假日誌，反而會讓基於日誌的大資料安全分析誤導。這時，it人員很強調對原始網路流量的分析，將這些流量轉換為元資料，然後進行大資料分析，配合日誌分析，效果更佳。

能夠更加智慧型地洞悉資訊也是大資料安全分析的優勢之一。以銀行業為例，黑客通過一些手段偽裝成真實合法的使用者進行資金劃轉，但上一筆記錄是北京，而五分鐘之後的記錄發生在廣州，這對於銀行系統來說，只要是合法使用者的操作，就不會干預。但顯然在五分鐘的時間裡除了超人，沒人能做到從北京直接到廣州。通過使用者異常行為的安全分析引擎，便會將這種違約交易進行阻擋，防患於未然。

對於黑客攻擊網銀系統經常使用的「低頻暴力破解」手法，大資料安全分析也帶來了奇效。所謂低頻暴力破解就是利用手機銀行在後台服務端可以多次密碼試錯的情況下，不停的撞庫進行破解。而利用大資料安全分析便對這些仿製的原始ip查封，加入到黑名單。

不僅如此，大資料安全分析的發展還將改變傳統的網路安全防護架構、安全分析體系，並深刻變革現有的網路安全業務模式。包括siem、日誌分析、欺詐檢測、威脅情報在內的多種服務都在積極擁抱大資料安全分析技術。大資料安全分析已成為安全業務模式變革的催化劑。而也正是如hansight這樣的團隊努力下，讓大資料安全分析開始嶄露頭角，使銀行安全防護的道路逐漸明朗了起來。

原文發布時間為：2023年8月8日

敢問銀行資訊保安防護之路在何方？

3資訊保安防護體系

Linux運維之路安全防護OpenResty

深度應用安全是資訊保安防護的短板

敢問銀行資訊保安防護之路在何方？

3資訊保安防護體系

Linux運維之路 安全防護OpenResty

深度 應用安全是資訊保安防護的短板

相關推薦

Linux運維之路安全防護OpenResty

深度應用安全是資訊保安防護的短板