作為全國性股份制商業(yè)銀行,該銀行一直以“提升卓越客戶體驗(yàn)”為建設(shè)目標(biāo),其運(yùn)維服務(wù)體系、風(fēng)險(xiǎn)控制指標(biāo)、信息化建設(shè)能力在同業(yè)居于領(lǐng)先水平。
隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)規(guī)模和復(fù)雜度的不斷提高,信息安全風(fēng)險(xiǎn)呈指數(shù)級增長,面對復(fù)雜多變的國內(nèi)外金融環(huán)境,該股份制銀行一方面加快業(yè)務(wù)發(fā)展步伐,另一方面加大風(fēng)險(xiǎn)管控力度。無論是從國家對安全態(tài)勢感知的要求,還是銀行自身IT基礎(chǔ)設(shè)施建設(shè),統(tǒng)一安全運(yùn)營中心的需求都大幅度提升。
對于銀行來講,信息安全建設(shè)初期主要的工作是應(yīng)用某些安全產(chǎn)品,部署管控系統(tǒng)并進(jìn)行日常維護(hù)。為了應(yīng)對層出不窮的安全挑戰(zhàn),該銀行在內(nèi)外網(wǎng)部署了防火墻、IDS/IPS、堡壘機(jī)、漏洞掃描等多種安全產(chǎn)品,構(gòu)建起一道道安全防線。
但這些分散的安全防線只能抵御單一的威脅,最終形成一個(gè)個(gè)安全防御孤島。此外,復(fù)雜的IT資源及安全產(chǎn)品,在運(yùn)行過程中不斷產(chǎn)生安全日志和事件。在運(yùn)維人員有限的情況下,每天面對這些數(shù)量巨大、彼此割裂的安全信息,會(huì)造成統(tǒng)一監(jiān)管難度較大,且安全狀況無法得到有效改善。
▼
在新的信息安全形勢下,按照行方的規(guī)劃需求,需建立一個(gè)統(tǒng)一、智能、可視化的安全運(yùn)營平臺。
2016年初,該股份制銀行聯(lián)手華青融天,利用EZAccur下一代安全運(yùn)營平臺,全面掌握行內(nèi)安全運(yùn)行狀態(tài)、持續(xù)識別風(fēng)險(xiǎn)、監(jiān)測應(yīng)對內(nèi)外部威脅,為事件溯源提供整體可視化的“安全大腦”,為行方運(yùn)維人員提供工作平臺,為各級管理人員提供安全決策。
1、精準(zhǔn)對接行方需求,整合“安全孤島”
建立統(tǒng)一的日志采集和分析平臺,打通數(shù)據(jù)隔閡
信息安全作為一個(gè)整體,需要把和安全相關(guān)的產(chǎn)品納入一個(gè)緊密統(tǒng)一的管理平臺中,才能有效地保障網(wǎng)絡(luò)安全。
海量數(shù)據(jù)是該銀行安全管理和審計(jì)面臨的主要挑戰(zhàn)之一。基于行方的安全管理現(xiàn)狀,該銀行采用華青融天EZAccur產(chǎn)品方案,廣泛采集總行數(shù)據(jù)中心和異地?cái)?shù)據(jù)中心的各類設(shè)備的安全日志,并對安全設(shè)備告警和IT基礎(chǔ)架構(gòu)中系統(tǒng)層、網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行統(tǒng)一納管,實(shí)現(xiàn)以日志、事件為驅(qū)動(dòng)的安全運(yùn)營平臺框架建設(shè)。
2、捕捉數(shù)據(jù)風(fēng)險(xiǎn),實(shí)現(xiàn)“主動(dòng)防御”
安全事件告警、定位溯源;規(guī)則聯(lián)動(dòng);關(guān)聯(lián)資產(chǎn)
除解決對數(shù)據(jù)的統(tǒng)一納管等安全問題之外,該銀行還使用EZAccur掌控全行的安全態(tài)勢,實(shí)現(xiàn)對安全事件的告警定位、安全溯源、關(guān)聯(lián)資產(chǎn)、規(guī)則聯(lián)動(dòng)等多種功能,從而優(yōu)化安全運(yùn)營,把控網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),建立以安全運(yùn)營平臺為核心的安全防御體系。
基于場景的安全事件分析和告警
該銀行通過EZAccur平臺,可實(shí)現(xiàn)對多種類型的安全事件分析和告警,通過對日志、安全規(guī)則和威脅情報(bào)進(jìn)行自動(dòng)化關(guān)聯(lián)分析,可有效發(fā)現(xiàn)威脅和異常。
在該銀行的項(xiàng)目中,通過采集相關(guān)的安全審計(jì)日志(如堡壘機(jī)、終端設(shè)備、DLP設(shè)備),使用內(nèi)置的關(guān)聯(lián)規(guī)則及平臺自帶的態(tài)勢感知儀表盤,對內(nèi)部操作行為進(jìn)行審計(jì),有效校驗(yàn)出違背安全規(guī)定的違規(guī)行為,實(shí)現(xiàn)對違規(guī)行為的可視化關(guān)聯(lián)分析展示及實(shí)時(shí)告警。
實(shí)現(xiàn)日志管理及審計(jì)的高效日志檢索及關(guān)聯(lián)要求
針對行方在日常日志管理和審計(jì)工作中,對跨設(shè)備、多關(guān)鍵字檢索和查詢時(shí)效的需求,EZAccur為該銀行的安全事件分析提供了一個(gè)高效的事件搜索功能。
行方可以在短時(shí)間內(nèi)對當(dāng)前告警反向追溯衍生的安全事件,在搜索條件的設(shè)置和性能上滿足行方對事件調(diào)查分析的需求。
告警與內(nèi)部資產(chǎn)及第三方威脅情報(bào)數(shù)據(jù)聯(lián)動(dòng)
安全事件的發(fā)生通常遵循一定的行為路徑,行方通過EZAccur采集全量的安全數(shù)據(jù),在查看告警詳細(xì)信息時(shí),系統(tǒng)會(huì)自動(dòng)關(guān)聯(lián)資產(chǎn)及其脆弱性、相關(guān)威脅情報(bào)數(shù)據(jù)等輔助的安全信息,自動(dòng)從海量安全信息中精準(zhǔn)甄別出威脅攻擊,實(shí)現(xiàn)快速聚焦,提升應(yīng)急響應(yīng)處置效率,讓安全人員可以快速對事件進(jìn)行研判,提升事件的處理效率。
另外,運(yùn)營平臺通過提供高效的安全分析工具,幫助快速實(shí)現(xiàn)安全事件的溯源和過程分析,找到整個(gè)違規(guī)/入侵鏈條上的安全漏洞,定位安全告警的問題根源。
實(shí)現(xiàn)內(nèi)部審計(jì)/合規(guī)檢查的自動(dòng)比對與報(bào)表輸出
行方通過使用EZAccur平臺自帶的合規(guī)檢查功能,自動(dòng)采集或手動(dòng)導(dǎo)入滿足合規(guī)檢查的數(shù)據(jù),定制自定義檢查比對邏輯條件,最后選擇輸出報(bào)表數(shù)據(jù)樣式,即可實(shí)現(xiàn)針對上級單位、監(jiān)管機(jī)構(gòu)和法規(guī)遵循目標(biāo),定期(或立即)輸出標(biāo)準(zhǔn)檢查報(bào)表的需求。
實(shí)現(xiàn)可視化的態(tài)勢感知分析
行方通過豐富的態(tài)勢感知儀表盤幫助理解當(dāng)前行內(nèi)的安全整體情況,并能實(shí)時(shí)、持續(xù)性地監(jiān)控安全事件,擁有全面的安全態(tài)勢感知能力。
安全態(tài)勢感知大屏
可視化儀表盤
3、EZAccur為該銀行鑄就堅(jiān)實(shí)的安全基礎(chǔ)
該銀行通過華青融天EZAccur大數(shù)據(jù)日志分析平臺的建設(shè),可以實(shí)時(shí)收集行內(nèi)整個(gè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等與信息安全相關(guān)的日志信息,利用大數(shù)據(jù)技術(shù)進(jìn)行集中存儲和快速關(guān)聯(lián)分析,提升海量信息的智能分析能力和安全風(fēng)險(xiǎn)的主動(dòng)發(fā)現(xiàn)能力。
行方相關(guān)領(lǐng)導(dǎo)指出:“EZAccur量化安全運(yùn)行指標(biāo),面向行內(nèi)業(yè)務(wù)的主動(dòng)化、智能化的安全管理模式,對目前所面臨的內(nèi)外部攻擊及違規(guī)行為,進(jìn)行實(shí)時(shí)檢測告警、快速定位、準(zhǔn)確溯源,使整體的業(yè)務(wù)運(yùn)行更加穩(wěn)定。”
4 、保障安全運(yùn)行,助力行方再造核心競爭力
該銀行在應(yīng)用華青融天EZAccur的時(shí)間里,進(jìn)一步完善安全管理成熟度,通過提升信息采集和分析挖掘能力,在現(xiàn)有控制的基礎(chǔ)上,實(shí)現(xiàn)更全面、更深度、更智能的安全感知能力,逐步呈現(xiàn)IT風(fēng)險(xiǎn)的可視化。
EZAccur承載著該銀行業(yè)務(wù)發(fā)展和系統(tǒng)安全管理的集中化支撐工作,未來將仍以打造成熟安全事件運(yùn)營為核心,助力行方實(shí)現(xiàn)安全管理工作“可發(fā)現(xiàn)”“可管理”“可運(yùn)維”的建設(shè)目標(biāo),做好安全運(yùn)營的“最后一公里”。
