全面實現(xiàn)數字化轉型成為傳統(tǒng)金融業(yè)發(fā)展的必然趨勢，金融業(yè)多年積累起來的海量金融業(yè)務數據將被重新整合利用。可視化、直觀化的數據為決策者及安全管理者提供具有指導作用的智慧，尋求到新的價值增長點，增強業(yè)務創(chuàng)新能力的支撐點。當技術變革沖擊原金融行業(yè)運營模式和生態(tài)，其轉型變革也面臨著嚴峻的挑戰(zhàn)。

　　01

　　不可避免走向復雜化的金融行業(yè)網絡安全

　　陳玉奇指出，正如大家所知道的是現(xiàn)在我們一直在談跟安全相關的技術的能力、數據的能力、產品的能力，最終都需要為運營所服務。但是當討論運營之前，通常會關注現(xiàn)在金融行業(yè)的運營到底屬于什么樣的狀態(tài)？對金融行業(yè)來說由于業(yè)務特性導致其安全意識特別高，希望通過安全的方式，提高安全體系。在這個過程中，目前整個金融行業(yè)的安全方法和模型相對完善，無論是安全成熟度的模型還是等保的模型，這些模型在不同的情況下都有相應的落地。同時也發(fā)現(xiàn)它整體的投入和人員是比較完整。在整個安全的領域里面，我們會發(fā)現(xiàn)很多客戶有安全的意識、有安全的想法，但是在資金的投入、人員的投入上相對是捉襟見肘，金融機構在這塊恰恰是有非常好的制度支撐和投入。

　　當擁有了人力、模型、數據之后，金融行業(yè)單位在邊界的安全、數據的安全、網絡的安全和信息的安全等各個層面上，大量的設備和能力都開始部署。有意識、產品、投入、人員，我們反而會發(fā)現(xiàn)整個金融行業(yè)的安全不可避免地走向復雜化，模型太多了，數據太多了，產品太多了必然會越來越復雜。

　　我們會發(fā)現(xiàn)雖然金融行業(yè)有很多的投入，但是大量的能力依靠第三方，過于依賴第三方之后，涉及建設安全體和業(yè)務之間該如何平衡？伴隨著系統(tǒng)越來越安全的時候，它的可用性一定是降低的。當金融機構需要快速去實現(xiàn)數字化轉型的時候，安全怎么平衡這是值得考慮的問題？

　　由于所處的行業(yè)對業(yè)務的連續(xù)性、業(yè)務的安全性以及對客戶資金的責任，所以必然要求金融機構一定要滿足合規(guī)的要求。合規(guī)和創(chuàng)新的安全在一定范圍內沖突的時候，我相信絕大部分的金融企業(yè)會選擇合規(guī)。而且雖然有人力的投入、資金的投入，但是這些單位在自動化的程度上還是有很多需要進展或者發(fā)展。

　　正如我們前面所提到的金融機構投入了很多的產品之后，事實上會發(fā)現(xiàn)一個問題，不同的技術、不同的產品之間有很多縫隙，什么是縫隙？很簡單，我們隨便找出一個金融企業(yè)、金融機構會發(fā)現(xiàn)它的信息安全發(fā)展到今天為止，已經有了幾年、幾十年，在多年的發(fā)展歷程中投了大量的安全、大量的安全設備，前人的安全解決方案和今人的安全解決方案我們能說百分之百覆蓋嗎？難說。防火墻的安全策略，前人寫的策略和今人寫的策略是百分之百匹配嗎？

　　從調查上來看不是的，我們會發(fā)現(xiàn)中間有很多空隙。前人寫的方案、前人寫的策略，基本上后人是不敢動的，為什么不敢動呢？因為涉及到前面所提到的業(yè)務和安全之間的平衡一定是業(yè)務為先，所以這時候一定會有很多縫隙。但是這些縫隙必然會帶來一些安全的風險。

　　隨著金融行業(yè)的安全重視程度之后，我們會發(fā)現(xiàn)不同的部門之間由于所處的位置不一樣，會有很多的溝通成本，這也會導致從金融企業(yè)本身看到安全運營的運行也有一定的難度。

　　02

　　重新定義的新一代高級網絡攻擊技術及威脅

　　針對金融行業(yè)的領域，正如大家所知道金融行業(yè)成為關鍵基礎設施的一部分，在這個定義之下我們會發(fā)現(xiàn)對它的攻擊、對它的威脅往往是多種方法的綜合利用，可能會通過釣魚郵件、隱蔽隧道、不同安全設備之間的縫隙去進行入侵，攻擊越來越隱秘。

　　我們經常會發(fā)現(xiàn)某個APT組織，對某一個金融機構的入侵甚至達到了幾個月甚至幾年，尤其是現(xiàn)在的國際大背景之下，很多類似這樣的入侵行為是非常隱蔽而且長期的。在分析這些入侵事件的時候，你會發(fā)現(xiàn)很多行為是無特征的，什么叫無特征？這些行為不一定是已知攻擊工具發(fā)起的，實際行為可能是正常的行為，比如說在內網做一個登錄，它登錄到某一個系統(tǒng)中做某一個操作，我們會發(fā)現(xiàn)這個好像是很正常的，對單點的行為是正常的，但是把它拉開到一個長期的過程中你會發(fā)現(xiàn)這臺服務器為什么每30分鐘或者每30秒鐘都要登錄一次呢？很有可能不正常。所以我們會發(fā)現(xiàn)這些正常的行為往往會導致異常的結果出現(xiàn)。

　　今天對于攻擊者來說，攻擊對象發(fā)生了變化，不再是以互聯(lián)網側為主，可能是轉戰(zhàn)專線側，金融城域網、其他內部專線、第三方專線、很多攻擊來自于可信任的第三方，也有可能來自于某些開放的API。開放銀行也好、金融機構的數字化轉型也好，必然會要求我們的金融業(yè)務更加開放，但在開放的過程中不可避免地會開放大量的API，而這些API也成為了新的攻擊的目標、會面臨更多的攻擊的行為。

　　同樣，針對供應鏈的攻擊的案例也在逐年增多，我們會發(fā)現(xiàn)類似于Google、微軟均被攻擊過，同時也造成了一定程度的損害。

　　03

　　新形勢之下，以數據驅動金融行業(yè)安全運營發(fā)展

　　當攻擊的危險快速變化，新形勢之下對安全運營也提出了更高的要求。數據驅動目前已經成為金融行業(yè)很多企業(yè)的首選。但是我們應該如何利用這些數據在安全運營上做得更好？

　　第一點，數據采集一定是要全面的，我們會發(fā)現(xiàn)說某一個點的數據似乎做得很好，互聯(lián)網側的數據做了很多，但是不是互聯(lián)網側的數據就足以支撐我的安全運營和安全分析做得更加優(yōu)秀呢？不見得。所以我們會建議你除了互聯(lián)網側，同時還需要結合生產網甚至測試網等的數據，綜合以上各類數據從多維度進行分析。

　　除了本身的數據之外，我們應該引入第三方的數據的能力，例如，漏洞情報以及其他一些安全設備的不同的數據。

　　當我們把數據全部采集完了之后，進行全流量的分析之后，利用AI進行綜合建模的分析。我們要看到的是那些未知威脅的行為，包括隱蔽隧道、C2回連，還有一些非常隱秘的正常行為導致的異常結果。

　　基于人工智能的未知威脅的分析平臺是需要我們做的，但是不是有這個AI就足夠了？不是的。數據分析是基于AI模型，但是它必然要關聯(lián)到場景，沒有場景的數據分析、AI分析沒有意義。

　　我們舉個例子，比如斗象做安全運營的時候討論做基礎安全應該是什么樣？場景化是什么樣的模型，在場景的分析中會涉及到跟時間相關、跟時序相關的模型，我們會考慮到安全事件有多少問題，協(xié)議事件有多少問題，這些問題都是我們數據的輸入，而數據的輸入必然會通過AI的模型，最后形成對場景的設定。

　　舉幾個實際的例子，一個是特定場景是業(yè)務訪問的異常，大家的第一反應是業(yè)務訪問不了是異常，除了此情況外，在這段時間所有的數據包的回包，從原來的200 OK變成404、503，而且404、503數據變得非常多的時候，我們認為這個數據訪問是異常的，來自于我們對于數據的全面收集以及基于人工智能分析的模型，最后形成了對訪問異常場景的定義。

　　主機通信異常，正常網絡里面的主機和主機之間不一定有關系，當我們基于數據的內容、基于AI的分析，主機和主機之間訪問的頻率變得越來越高，帶寬越來越大，這代表什么呢？代表有可能網絡內部出現(xiàn)了非常多的自動化的橫向移動，這些橫向移動大概率事件可能是勒索病毒、挖礦程序在你的網絡里運行，這才是場景的應用。

　　例如ACL攻擊面收斂，在不同部門之間，金融行業(yè)有非常多的安全的投入、安全的建設，有非常多的安全設備，最后導致設備之間有互相重疊，后來者不會動前面的安全策略。在這個過程中就會導致前面提到的安全縫隙。這個時候需要通過大量的數據分析，判斷這個攻擊面，互相訪問控制的策略是不是允許你調整？需不需要調整？怎么調整，這才是我們把數據分析應用到場景化的最有效使用，我們才能去幫助更好的實現(xiàn)安全運營。

　　當我們注意到一些專線的入侵行為，需要判斷有沒有一些API暴露在外，這些API有沒有被攻擊，我們有沒有可信任的第三方專線比如金融程序網、金融專線，是否存在異常行為。我們會發(fā)現(xiàn)有沒有一些異常的隧道，比如說DNS隧道。DNS域名解析，即為所有網絡訪問最基礎的行為，在這個過程中尤其是金融企業(yè)作為一個封閉的網絡來說有非常多的攻擊者會利用這些隧道的方式來進行數據的傳輸。能不能看到企業(yè)現(xiàn)在網絡里面?zhèn)鬏敂祿欠駷檎鎸嵉腄NS數據請求，是否有人利用這些DNS請求做一些其他數據傳輸？這才是大量數據分析以及利用各種算法分析所關聯(lián)到的模型的價值，這才是我們需要干的事情。

　　既然我們有了數據、有了模型，有了跟數據相關的模型所涉及到的場景的時候，那就會討論我搭建數據分析的閉環(huán)，其意義就在于基線和時序是有關系的。大量的數據存儲下來，這個數據前一秒鐘的行為和后一秒鐘的行為，前一分鐘的行為和后一分鐘的行為之間是不是有關聯(lián)，需要通過數據進行基線的建模，并深度分析。

　　04

　　全流量安全計算分析平臺構建起全面防御

　　除了需要判斷分析是否存在已知威脅之外，對于金融行業(yè)來說，更加應該對未知的威脅，通過安全數據計算，構建起持久的自動監(jiān)控響應機制。

　　持久的自主監(jiān)控響應機制應該具備如下特點：當發(fā)現(xiàn)異常行為時，能夠及時啟動告警、處置、阻斷等行為。我們前面談到的，利用全流量數據進行安全計算，并使用這些模型和算法，應該能夠持久地運行在平臺上，做持久地響應，供客戶自定義去使用，形成客戶自主的能力框架。

　　安全運營需要集成大量的情報和溯源分析，這些數據并不是只有個人的數據及企業(yè)內部的數據，同時需要結合大量第三方的互聯(lián)網數據來進行判斷，能精細化的調查、取證、做更加完善的全面的防御。

　　企業(yè)如果想要構建起全面防御的閉環(huán)時，非常重要的一點就是跟時序有關，跟模型輸出有關，跟數據分析有關，最終要自動化地去做響應，這是我們核心要做的事情。

　　05

　　場景化的案例賦能金融行業(yè)網絡安全運營落地

　　在金融行業(yè)到底怎么樣將這套閉環(huán)體系進行落地呢？我們有一個非常好的案例，這個客戶是中國的銀行卡業(yè)務的核心和樞紐，它的體系非常龐大。我們跟他們研討了很多年，最終發(fā)現(xiàn)客戶自主能力+廠商能力結合的方式是比較合適的。他們首先要把整個基礎架構集中化，基礎設施云化，要實現(xiàn)海量的數據的存儲，因為每一個數據的存儲會涉及到每一個用卡人的每一分錢的安全。

　　在這個過程中，我們斗象與客戶探討的是，幫助他建立一套全新的、面向未來的、具備客戶自主能力的安全運營體系。

　　作為中國最為領先金融機構之一，客戶的預期和目標并不止步于：可以應對攻防實戰(zhàn)、可以進行特征威脅檢測、可以實時監(jiān)測預警……傳統(tǒng)的安全思路不能滿足頂級用戶的要求?？蛻舾酉Ｍ軌蛲ㄟ^大數據、人工智能技術，通過數據計算、智能模型、分析框架，包括有能力連接全國所有的分支機構，形成穩(wěn)定的網絡數據的接入，再通過以數據計算分析為驅動的方式，去形成常態(tài)化的安全運營體系，從而構建縱深防護能力。從2018年-2020年一直到現(xiàn)在，包括到未來，我們幫助他們做面向未來一體化的安全數據計算平臺和安全運營平臺。

　　目前斗象全流量安全數據計算分析平臺幫助用戶每日進行60-80G穩(wěn)定的數據采集，每日近百億條網絡協(xié)議日志的計算，每天通過多維的模型運算和基線訓練，幫助用戶實現(xiàn)了IOC攻擊信標的可視化，以及針對未知威脅的防御監(jiān)控基線。

　　除此之外，既然有穩(wěn)定的收集的這么多數據，這么強大的算力，能不能為這個客戶帶來除了安全之外有更多的其他數據分析價值？可以。我們開發(fā)API的接口，滿足它對業(yè)務挖掘的需求，包括有沒有人在互聯(lián)網薅羊毛，有沒有人用假卡，有沒有人用POS機薅羊毛等等，這些是通過開放的API的接口去進行的更進一步在數據分析、安全分析在金融業(yè)務安全領域的運用。

　　經過長時間的運行，平臺整個數據量達到PB級了，我們依然可以實現(xiàn)秒級的查詢，支撐到3千多億條的數據量，并且整個體系經歷和保障了多次實戰(zhàn)攻防演練的錘煉。這是我們在金融領域已經幫助客戶做的事情。

　　斗象科技是國內領先的安全數據智能與安全運營的提供商。

　　斗象旗下包括三大塊業(yè)務，第一塊是FreeBuf，所有在信息安全領域的無論是從業(yè)者、愛好者、專家都知道的，中國最具影響力的網絡安全垂直門戶，集中了所有跟網絡信息安全的技術、案例、場景。

　　第二我們做漏洞盒子，中國最大的安全眾測與第三方漏洞平臺，我們甲方的安全需求跟我們大量的白帽子之間進行關聯(lián)，在這個平臺上將這些白帽子聚力于企業(yè)級的漏洞挖掘和安全服務，這是中國最大的白帽子的集合。

　　第三是斗象的智能安全，數據智能安全體系主要側重于兩件大事情，第一件大事情就是漏洞管理、漏洞情報的解決方案，有數據、有業(yè)務、有系統(tǒng)就一定有漏洞，有漏洞一定產生情報，這些漏洞和情報怎么去管，能不能形成閉環(huán)的運營體系。第二件事情是全流量的安全計算分析，我們希望金融企業(yè)在現(xiàn)在運營的體系里面去做更多的數據收集，這個數據包括自己的數據、第三方的數據、漏洞的情報、威脅的情報，這些數據都收集起來以后通過數據科學、算法模型，最終應用到不同的場景里面。

更多信息可以來這里獲取==>>電子技術應用-AET<<