沒有比金融機構(gòu)更苦逼的行業(yè)了。

手里攥著大把票子，卻無時無刻不被賊惦記著。于是金主爸爸們踏上了瘋狂購買安全產(chǎn)品的道路：防火墻來幾套，身份認(rèn)證來幾套，殺毒軟件來幾套……總之，他們堅信安全產(chǎn)品買多了，自己就安全了。

而事實，啪啪啪打臉：

匯豐銀行大量秘密銀行賬戶文件被曝光；

社保信息現(xiàn)高危漏洞，數(shù)千萬個人隱私泄密；

工行快捷支付被曝漏洞，多位北京地區(qū)的工行儲戶遭遇了存款被盜事件；

廣發(fā)銀行、農(nóng)行“蘿卜章”事件，員工內(nèi)外勾結(jié)詐騙數(shù)億；

此時，金融大戶們的反應(yīng)是這樣的：

安全產(chǎn)品一窩蜂堆積在家門口，卻根本防不住外匪和內(nèi)賊。金融大佬們哭了，嚶嚶嚶，童話里都是騙錢的，買了這么多產(chǎn)品卻不能發(fā)揮作用？

這時候可能需要一個幫忙整理院子的“管家”，負(fù)責(zé)優(yōu)化堆積的安全產(chǎn)品，讓它們發(fā)揮本該產(chǎn)生的價值。

當(dāng)然，要做的還不止這些，“管家”華青融天的安全運營平臺負(fù)責(zé)人易歆告訴雷鋒網(wǎng)。

安全增值服務(wù)

花錢買產(chǎn)品誰都會，可買回來之后怎么用是個問題。

銀行業(yè)普遍存在的現(xiàn)象是不論大行小行，安全產(chǎn)品買來了就是買來了，產(chǎn)品及安全策略的優(yōu)化配置不及時，相應(yīng)的攻擊手段卻越來越靈活。

“僅僅對安全產(chǎn)品進行梳理是不夠的，而是要真正運維起來?！币嘴Ц嬖V雷鋒網(wǎng)。

目前銀行面臨的安全問題主要有三個方面：

第一，日益頻繁和復(fù)雜的外部攻擊。

第二，日趨嚴(yán)格的行業(yè)/企業(yè)內(nèi)部合規(guī)審計。

第三，嚴(yán)格數(shù)據(jù)安全管理。

每方面都有相應(yīng)的安全產(chǎn)品，銀行老板們的需求很直白，買了這么多款產(chǎn)品總要讓我看到他們是怎么工作的。也就是需要一個大腦，將這些產(chǎn)品動態(tài)輸入進去，并由大腦控制信息進行連動式的防御機制，實現(xiàn)安全建設(shè)的可視化操作。

這就是SOC（Security Operations Center，安全運營中心），S即企業(yè)中相關(guān)安全事件和對應(yīng)流程建設(shè)；O代表著一種實時動態(tài)運營，包括但不限于實時安全事件預(yù)警，還需要對事件的響應(yīng)、處置和回溯分析；C則表示體系化的建設(shè)，多領(lǐng)域安全產(chǎn)品和服務(wù)“疊加”而成的綜合防線。也就是說，SOC負(fù)責(zé)確保潛在的安全事件能夠被正確識別、分析、防護、調(diào)查取證和報告。

華青融天會根據(jù)銀行部署的安全設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)流量數(shù)據(jù)獲取事件進行特征識別、統(tǒng)計分析以及預(yù)測，并評估自身的安全加固程度給出相應(yīng)建議。

“我們的定位是安全增值服務(wù)商，與大多數(shù)安全廠商的區(qū)別是，他們賣產(chǎn)品、實施完成后把實際產(chǎn)品巡檢運維工作交由服務(wù)商或合作伙伴進行，且這種運維仍聚焦產(chǎn)品維度，并非以安全事件及整體態(tài)勢進行規(guī)劃運營。”

盡管SOC的概念足夠完美，但其在國內(nèi)落地一直不算成功。僅靠日志分析、終端安全等工具的堆砌，缺乏足夠的知識和人才來運營，難以與IT、業(yè)務(wù)和監(jiān)管等部門進行有機的聯(lián)動等問題都使得國內(nèi)一票自建SOC生長不順，處于尷尬位置。

摸著石頭過河

摸索這一平臺的過程不容易。

2010年，國內(nèi)各大金融機構(gòu)在頻發(fā)的網(wǎng)絡(luò)安全事件下瑟瑟發(fā)抖，想要防御又不知如何砌墻，至于怎么做SOC更是一片模糊。2010年3月，易歆加入華青融天。彼時華青融天還是一個24人的團隊，主要做招商銀行的集成類項目。而易歆則重點關(guān)注EMC存儲、備份以及APM（應(yīng)用性能管理）領(lǐng)域。

也是那時，機緣巧合下他負(fù)責(zé)了某銀行項目安全運營工作，才真正進入安全圈，開始了兩三年的摸著石頭過河。

被他們一路摸過來的“石頭”有香港花旗銀行，韓國的大韓銀行，以及臺灣的一些銀行案例。而早期的產(chǎn)品實際就是架設(shè)在國外某產(chǎn)品之上，將安全事件數(shù)據(jù)以定制化方式向甲方維度展現(xiàn)。

“那段時間就是自己在磨?！?/p>

2013年，銀監(jiān)部門頒布了一系列監(jiān)管要求，給一片混沌的銀行行業(yè)指出清晰方向，即要對安全事件進行責(zé)任制的處理和響應(yīng)。

有目標(biāo)才有招式，他們逐漸給銀行開展了各種關(guān)聯(lián)事件產(chǎn)品的分析、回溯分析、事件調(diào)查、安全加固，甚至參與行分內(nèi)部的一些攻防滲透，以及提供重要防護安全設(shè)備的運維，包括IPS、WAF或者漏洞掃描。

事件統(tǒng)計分析

有了這些就能豎起一道無堅可摧的屏障嗎？

當(dāng)然不可能。

DDoS攻擊時刻發(fā)生在互聯(lián)網(wǎng)之上，金融行業(yè)更是重災(zāi)區(qū)之一。依靠數(shù)臺抗D產(chǎn)品聯(lián)合狙擊防御就能擋住所有DDoS攻擊嗎？想太多了。

對于具有典型特征的DDOS攻擊，如果能將每隔一段時間攻擊特征數(shù)據(jù)加以分析是不是可以預(yù)測隨后的攻擊方向，并提前進行預(yù)案型的流量清洗？易歆覺得OK。

于是，從2016年到2017年，華青融天開始在原有產(chǎn)品之上添加了安全態(tài)勢感知、情報TI和安全大數(shù)據(jù)平臺等功能，提供真正的安全態(tài)勢感知方向，如進行用戶行為分析（主要為內(nèi)部人員分析），針對外網(wǎng)攻擊態(tài)勢以及數(shù)據(jù)特征進行攻擊預(yù)測和分析等。

“這也是下一代SOC平臺，以事件及預(yù)測分析驅(qū)動，而非被動接受?！?/p>

但銀行是否愿意投產(chǎn)這樣一套下一代SOC平臺？

實際上，銀行遭受有組織的正面攻擊可能性非常小。金融機構(gòu)普遍默認(rèn)的規(guī)則是：大規(guī)模的網(wǎng)絡(luò)攻擊是由網(wǎng)監(jiān)、公安局防御的，單個的黑客攻擊可以被現(xiàn)有的安全防護手段抵擋，而小規(guī)模，小團隊有組織的攻擊才是主要防守的。

易歆告訴雷鋒網(wǎng)，在多年運維工作中他曾遇見多起黑客入侵事件，但多數(shù)情況是被當(dāng)作肉雞或者礦機，被當(dāng)做礦機會出現(xiàn)突如其來網(wǎng)絡(luò)帶寬占高用，甚至?xí)順I(yè)務(wù)系統(tǒng)、辦公日常應(yīng)用的用戶體驗極差（延時高、網(wǎng)絡(luò)丟包嚴(yán)重），被當(dāng)做肉雞則會強制性地在一些特殊的網(wǎng)段、時間點，讓腳本運行某些外聯(lián)行為或獲取權(quán)限、敏感數(shù)據(jù)的嘗試。

不過這種嘗試會被SOC平臺輕易監(jiān)控到，此時再去出具一大票相關(guān)報告就顯得拖沓。而易歆團隊分成T1、T2兩組，T1組只要發(fā)現(xiàn)存在敏感操作會立即采取調(diào)停，調(diào)查措施，T2組則負(fù)責(zé)隨后的具體分析工作。也就是以事件驅(qū)動進行運維工作。

除了外部攻擊，來自內(nèi)部人員的小鐵拳錘你胸口也不少見。

金融行業(yè)本身就是在和錢打交道，現(xiàn)在又被互聯(lián)網(wǎng)金融“逼得”講究互聯(lián)互通，開始業(yè)務(wù)系統(tǒng)的頻繁迭代、變更、上線。而在業(yè)務(wù)迭代上線過程中必然會存在某些漏洞，這些漏洞多為業(yè)內(nèi)人員知曉。假如有心術(shù)不正之人稍微動動歪腦筋，制作各種僵尸木馬，自己的腳本工具，甚至某些研發(fā)人員會專門給系統(tǒng)留后門，后果……自行想象。

世界上最難防的是人心，為此銀行也采取了不少手段力圖阻止這種情況出現(xiàn)。比如采用外包方式，開放某一區(qū)域邀請安全公司進行滲透工作，以及模擬應(yīng)用攻擊，查看自己的業(yè)務(wù)系統(tǒng)到底能不能扛住攻擊，會不會有特殊漏洞存在。

這只是開胃小菜，部分銀行也會招安一些白帽子不定期利用特殊漏洞或業(yè)內(nèi)已知的后面進行攻防試驗，模擬行內(nèi)人員的特殊行為。當(dāng)然，易歆表示他們也會在試運過程參與這種攻防，通常叫做批量式的驗證攻防。

簡單來說，今天你要去二環(huán)，但二環(huán)今天被管制了，但甲方爸爸就是要求你走，怎么辦？采取各種方式想盡辦法走。也就是即使這條路堵死了，你還是要用自己的工具和方法去驗證這條路是不是真的堵死了。

即使采取了一系列手段，最后可能還會被攻擊者鉆空子?！爱吘拱踩庸淌且粋€動態(tài)的過程，并沒有唯一的標(biāo)準(zhǔn)性。加之會與產(chǎn)品、網(wǎng)絡(luò)的互聯(lián)互通、安全操作系統(tǒng)及應(yīng)用的穩(wěn)定性和可用性產(chǎn)生技術(shù)上的沖突，最終帶來的結(jié)果就是，安全加固做得不徹底?！币嘴дf道。

是否有神器可以輔助安全加固？比如AI。

人工智能

銀行最不缺的是數(shù)據(jù)。

“如果從銀行過往數(shù)年的數(shù)據(jù)中篩選部分如員工的各種登錄數(shù)據(jù)，敏感操作數(shù)據(jù)以及業(yè)務(wù)系統(tǒng)的防御數(shù)據(jù)等遷移到大數(shù)據(jù)平臺之上，并利用大數(shù)據(jù)的某些特征及技術(shù)特點進行建模，就可以實現(xiàn)自動化判定員工敏感操作行為，同時也會針對外網(wǎng)攻擊事件進行預(yù)測?！币嘴дf道，這也是目前他們在做的。

也就是以員工個人過去一段時間的行為模型為標(biāo)桿，如果其行為突然出現(xiàn)偏移（做了平時不會做的事），就會被模型識別出來并上報給風(fēng)險質(zhì)量合規(guī)管理部。

而預(yù)測攻擊則是將幾個月數(shù)據(jù)進行簡單的統(tǒng)比和環(huán)比形成預(yù)測值，并對隨后可能的攻擊方向做出判斷，哪些業(yè)務(wù)區(qū)域和系統(tǒng)可能受到攻擊，是否要加強對這些業(yè)務(wù)性安全加固與防御，總之要形成的是一整套安全的業(yè)務(wù)視角。

“安全終究要為業(yè)務(wù)服務(wù)，它不是孤立存在的，而我們更愿意幫助用戶走好安全的最后一公里?！?/p>

但這最后一公里并不好走。

知乎上有一個問題是國內(nèi)安全管理平臺（SOC）未來前景如何？點贊數(shù)最高的一條評論是：在各企業(yè)對IT信息化越來越依賴的現(xiàn)在，SOC是眾多企業(yè)運營的必須部門。但于國內(nèi)而言，這個被談?wù)撛S久的概念并沒有很好的落地，響應(yīng)不及時，規(guī)則不靈活，最為關(guān)鍵的是成本太高。因此SOC想在國內(nèi)完美應(yīng)用，似乎還任重道遠(yuǎn)。

雷鋒網(wǎng)了解到，成立11年一直依靠自有項目收入養(yǎng)活自己的華青融天，一邊深入研究安全態(tài)勢和運營，一邊即將啟動融資，這個平臺確實燒錢，但無疑是能夠走得更穩(wěn)的手杖。

易歆說，他們愿意為此付出。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。