拳打黑客＋內鬼，安全運營平台能做到嗎

沒有比金融機構更苦逼的行業了。

手裡攥著大把票子，卻無時無刻不被賊惦記著。於是金主爸爸們踏上了瘋狂購買安全產品的道路：防火牆來幾套，身份認證來幾套，殺毒軟體來幾套……總之，他們堅信安全產品買多了，自己就安全了。

而事實，啪啪啪打臉：

滙豐銀行大量秘密銀行賬戶文件被曝光；

社保信息現高危漏洞，數千萬個人隱私泄密；

工行快捷支付被曝漏洞，多位北京地區的工行儲戶遭遇了存款被盜事件；

廣發銀行、農行「蘿蔔章」事件，員工內外勾結詐騙數億；

此時，金融大戶們的反應是這樣的：

安全產品一窩蜂堆積在家門口，卻根本防不住外匪和內賊。金融大佬們哭了，嚶嚶嚶，童話里都是騙錢的，買了這麼多產品卻不能發揮作用？

這時候可能需要一個幫忙整理院子的「管家」，負責優化堆積的安全產品，讓它們發揮本該產生的價值。

當然，要做的還不止這些，「管家」華青融天的安全運營平台負責人易歆告訴雷鋒網。

安全增值服務

花錢買產品誰都會，可買回來之後怎麼用是個問題。

銀行業普遍存在的現象是不論大行小行，安全產品買來了就是買來了，產品及安全策略的優化配置不及時，相應的攻擊手段卻越來越靈活。

「僅僅對安全產品進行梳理是不夠的，而是要真正運維起來。」易歆告訴雷鋒網。

目前銀行面臨的安全問題主要有三個方面：

第一，日益頻繁和複雜的外部攻擊。

第二，日趨嚴格的行業/企業內部合規審計。

第三，嚴格數據安全管理。

每方面都有相應的安全產品，銀行老闆們的需求很直白，買了這麼多款產品總要讓我看到他們是怎麼工作的。也就是需要一個大腦，將這些產品動態輸入進去，並由大腦控制信息進行連動式的防禦機制，實現安全建設的可視化操作。

這就是SOC（Security Operations Center，安全運營中心），S即企業中相關安全事件和對應流程建設；O代表著一種實時動態運營，包括但不限於實時安全事件預警，還需要對事件的響應、處置和回溯分析；C則表示體系化的建設，多領域安全產品和服務「疊加」而成的綜合防線。也就是說，SOC負責確保潛在的安全事件能夠被正確識別、分析、防護、調查取證和報告。

華青融天會根據銀行部署的安全設備、操作系統、網路流量數據獲取事件進行特徵識別、統計分析以及預測，並評估自身的安全加固程度給出相應建議。

「我們的定位是安全增值服務商，與大多數安全廠商的區別是，他們賣產品、實施完成後把實際產品巡檢運維工作交由服務商或合作夥伴進行，且這種運維仍聚焦產品維度，並非以安全事件及整體態勢進行規劃運營。」

儘管SOC的概念足夠完美，但其在國內落地一直不算成功。僅靠日誌分析、終端安全等工具的堆砌，缺乏足夠的知識和人才來運營，難以與IT、業務和監管等部門進行有機的聯動等問題都使得國內一票自建SOC生長不順，處於尷尬位置。

摸著石頭過河

摸索這一平台的過程不容易。

2010年，國內各大金融機構在頻發的網路安全事件下瑟瑟發抖，想要防禦又不知如何砌牆，至於怎麼做SOC更是一片模糊。2010年3月，易歆加入華青融天。彼時華青融天還是一個24人的團隊，主要做招商銀行的集成類項目。而易歆則重點關注EMC存儲、備份以及APM（應用性能管理）領域。

也是那時，機緣巧合下他負責了某銀行項目安全運營工作，才真正進入安全圈，開始了兩三年的摸著石頭過河。

被他們一路摸過來的「石頭」有香港花旗銀行，韓國的大韓銀行，以及台灣的一些銀行案例。而早期的產品實際就是架設在國外某產品之上，將安全事件數據以定製化方式向甲方維度展現。

「那段時間就是自己在磨。」

2013年，銀監部門頒布了一系列監管要求，給一片混沌的銀行行業指出清晰方向，即要對安全事件進行責任制的處理和響應。

有目標才有招式，他們逐漸給銀行開展了各種關聯事件產品的分析、回溯分析、事件調查、安全加固，甚至參與行分內部的一些攻防滲透，以及提供重要防護安全設備的運維，包括IPS、WAF或者漏洞掃描。

事件統計分析

有了這些就能豎起一道無堅可摧的屏障嗎？

當然不可能。

DDoS攻擊時刻發生在互聯網之上，金融行業更是重災區之一。依靠數台抗D產品聯合狙擊防禦就能擋住所有DDoS攻擊嗎？想太多了。

對於具有典型特徵的DDOS攻擊，如果能將每隔一段時間攻擊特徵數據加以分析是不是可以預測隨後的攻擊方向，並提前進行預案型的流量清洗？易歆覺得OK。

於是，從2016年到2017年，華青融天開始在原有產品之上添加了安全態勢感知、情報TI和安全大數據平台等功能，提供真正的安全態勢感知方向，如進行用戶行為分析（主要為內部人員分析），針對外網攻擊態勢以及數據特徵進行攻擊預測和分析等。

「這也是下一代SOC平台，以事件及預測分析驅動，而非被動接受。」

但銀行是否願意投產這樣一套下一代SOC平台？

實際上，銀行遭受有組織的正面攻擊可能性非常小。金融機構普遍默認的規則是：大規模的網路攻擊是由網監、公安局防禦的，單個的黑客攻擊可以被現有的安全防護手段抵擋，而小規模，小團隊有組織的攻擊才是主要防守的。

易歆告訴雷鋒網，在多年運維工作中他曾遇見多起黑客入侵事件，但多數情況是被當作肉雞或者礦機，被當做礦機會出現突如其來網路帶寬占高用，甚至會帶來業務系統、辦公日常應用的用戶體驗極差（延時高、網路丟包嚴重），被當做肉雞則會強制性地在一些特殊的網段、時間點，讓腳本運行某些外聯行為或獲取許可權、敏感數據的嘗試。

不過這種嘗試會被SOC平台輕易監控到，此時再去出具一大票相關報告就顯得拖沓。而易歆團隊分成T1、T2兩組，T1組只要發現存在敏感操作會立即採取調停，調查措施，T2組則負責隨後的具體分析工作。也就是以事件驅動進行運維工作。

除了外部攻擊，來自內部人員的小鐵拳錘你胸口也不少見。

金融行業本身就是在和錢打交道，現在又被互聯網金融「逼得」講究互聯互通，開始業務系統的頻繁迭代、變更、上線。而在業務迭代上線過程中必然會存在某些漏洞，這些漏洞多為業內人員知曉。假如有心術不正之人稍微動動歪腦筋，製作各種殭屍木馬，自己的腳本工具，甚至某些研發人員會專門給系統留後門，後果……自行想像。

世界上最難防的是人心，為此銀行也採取了不少手段力圖阻止這種情況出現。比如採用外包方式，開放某一區域邀請安全公司進行滲透工作，以及模擬應用攻擊，查看自己的業務系統到底能不能扛住攻擊，會不會有特殊漏洞存在。

這只是開胃小菜，部分銀行也會招安一些白帽子不定期利用特殊漏洞或業內已知的後面進行攻防試驗，模擬行內人員的特殊行為。當然，易歆表示他們也會在試運過程參與這種攻防，通常叫做批量式的驗證攻防。

簡單來說，今天你要去二環，但二環今天被管制了，但甲方爸爸就是要求你走，怎麼辦？採取各種方式想盡辦法走。也就是即使這條路堵死了，你還是要用自己的工具和方法去驗證這條路是不是真的堵死了。

即使採取了一系列手段，最後可能還會被攻擊者鑽空子。「畢竟安全加固是一個動態的過程，並沒有唯一的標準性。加之會與產品、網路的互聯互通、安全操作系統及應用的穩定性和可用性產生技術上的衝突，最終帶來的結果就是，安全加固做得不徹底。」易歆說道。

是否有神器可以輔助安全加固？比如AI。

人工智慧

銀行最不缺的是數據。

「如果從銀行過往數年的數據中篩選部分如員工的各種登錄數據，敏感操作數據以及業務系統的防禦數據等遷移到大數據平台之上，並利用大數據的某些特徵及技術特點進行建模，就可以實現自動化判定員工敏感操作行為，同時也會針對外網攻擊事件進行預測。」易歆說道，這也是目前他們在做的。

也就是以員工個人過去一段時間的行為模型為標杆，如果其行為突然出現偏移（做了平時不會做的事），就會被模型識別出來並上報給風險質量合規管理部。

而預測攻擊則是將幾個月數據進行簡單的統比和環比形成預測值，並對隨後可能的攻擊方向做出判斷，哪些業務區域和系統可能受到攻擊，是否要加強對這些業務性安全加固與防禦，總之要形成的是一整套安全的業務視角。

「安全終究要為業務服務，它不是孤立存在的，而我們更願意幫助用戶走好安全的最後一公里。」

但這最後一公里並不好走。

知乎上有一個問題是國內安全管理平台（SOC）未來前景如何？點贊數最高的一條評論是：在各企業對IT信息化越來越依賴的現在，SOC是眾多企業運營的必須部門。但於國內而言，這個被談論許久的概念並沒有很好的落地，響應不及時，規則不靈活，最為關鍵的是成本太高。因此SOC想在國內完美應用，似乎還任重道遠。

雷鋒網了解到，成立11年一直依靠自有項目收入養活自己的華青融天，一邊深入研究安全態勢和運營，一邊即將啟動融資，這個平台確實燒錢，但無疑是能夠走得更穩的手杖。

易歆說，他們願意為此付出。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！