快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

BLOG

敢问银行信息安全防护之路在何方?

导语:在数据大集中、信息安全风险也在急剧集中的今天,银行的IT基础设施里几乎看到安全产品的“全家福”,各种防火墙、WAF、IDS、IPS、DLP应接不暇。但在这样的情况下,依然没能避免数据泄露、钓鱼欺诈的事件发生。让人不禁要问,银行信息安全防护之路在何方?


互联网的放大效应使公众的容忍度越来越低,尤其是信息安全事件的影响,让银行面临的声誉风险压力倍增。不容乐观的是,在数据大集中已经成为潮流的今天,信息安全风险也在急剧集中,银行重要客户的数据一旦被不法分子利用,产生身份冒充、钓鱼诈骗等违法事件将极难防范。如何既守住信息安全底线,又保障业务健康发展,是摆在众多银行面前的一道难题。

这也是为什么在银行的IT基础设施里几乎看到安全产品的“全家福”的原因,各种防火墙、WAF、IDS、IPS、DLP应接不暇。但在这样的情况下,依然没能避免数据泄露、钓鱼欺诈的事件发生。让人不禁要问,银行信息安全防护之路在何方?

弄清楚这个问题,就要从这些传统的检测机制上寻找原因。可以说,传统的防御机制都是在牺牲了无数“小白鼠”之后,对这些已知的攻击特征做的针对性防护机制,但相信哪个黑客也不会傻到用路人皆知的攻击手段,冒着被全球追捕的危险去打银行的主意。

大数据技术的出现能否力挽狂澜?

在攻击者与防御者一直处于道高一尺魔高一丈的状态下,SIEM/SOC的产品出现了,其建立在早期的日志管理之上,更多的关注日志采集后的分析、审计并发现问题,将日志分析的功效发挥出来。这给安全防护工作带来了新的思路,毕竟攻击者在每个环节下都会雁过留痕,通过数据分析,如果真的能把隐匿在数据海洋中的攻击者或者潜在攻击者“揪”出来,那么攻击方在暗处,防守方在明处的不利局面将被彻底扭转。

但事实总是与愿违,受限于技术约束,传统的安全分析大都仅针对样本数据进行分析,并将分析结果推论到剩余的数据集合上。而随着高级威胁和欺诈行为的不断进化,越来越需要对全量数据,甚至是相关的情境数据进行分析。并且当银行每天的数据量高达TB级时,SIEM/SOC的瓶颈出现了,庞大的数据量和多样性迅速成为“骆驼背上的稻草”,并且会产生很多误报。

大数据开始成为热词,这也让银行业尝到了甜头。利用大数据分析不仅可以挖掘客户的消费习惯做精准营销,还可以在安全防护能力上更上一层楼。借助大数据安全分析技术,能够更好地解决天量安全要素信息的采集、存储的问题。

不过这似乎与传统数据分析除了在数据处理能力上,其他差异并不是那么直观。毕竟信息安全十多年来一直在利用网络流量、系统日志和其它信息源的分析甄别威胁,检测恶意活动,而这些传统方式跟大数据有何不同还是不太清晰,如果大数据安全分析仅是这样,那么想在安全领域力挽狂澜显然是不够的。

如何做好大数据安全分析

其实不然,在一个较为完备的基于大数据安全分析的解决方案中,通常会有一个大数据安全分析平台作为整个方案的核心部件,承载大数据分析的核心功能,将所有分散的安全要素信息进行集中、存储、分析、可视化,对分析的结果进行分发。

注意,是所有的安全要素,而并非仅仅是安全设备,无论是终端的、主机的、应用的、网络设备的、安全设备的,还是第三方云上的,通过收集这些全量数据进行统一的存储、分析和展现,从而发现里面的异常行为,并进一步找到未知的安全威胁。

这种思路常见于美国FireEye、Phantom Cyber等公司的解决方案,也包括中国的HanSight。

做大数据分析,数据质量也非常关键,如果提供分析的数据本身就有问题或者错误,那么分析结果必然有问题。具体来说,如果IT人员仅针对海量日志进行分析,可能由于攻击者将关键日志抹除,或者故意掺入假日志,反而会让基于日志的大数据安全分析误导。这时,IT人员很强调对原始网络流量的分析,将这些流量转换为元数据,然后进行大数据分析,配合日志分析,效果更佳。

能够更加智能地洞悉信息也是大数据安全分析的优势之一。以银行业为例,黑客通过一些手段伪装成真实合法的用户进行资金划转,但上一笔记录是北京,而五分钟之后的记录发生在广州,这对于银行系统来说,只要是合法用户的操作,就不会干预。但显然在五分钟的时间里除了超人,没人能做到从北京直接到广州。通过用户异常行为的安全分析引擎,便会将这种违约交易进行阻挡,防患于未然。

对于黑客攻击网银系统经常使用的“低频暴力破解”手法,大数据安全分析也带来了奇效。所谓低频暴力破解就是利用手机银行在后台服务端可以多次密码试错的情况下,不停的撞库进行破解。而利用大数据安全分析便对这些仿制的原始IP查封,加入到黑名单。

不仅如此,大数据安全分析的发展还将改变传统的网络安全防护架构、安全分析体系,并深刻变革现有的网络安全业务模式。包括SIEM、日志分析、欺诈检测、威胁情报在内的多种服务都在积极拥抱大数据安全分析技术。大数据安全分析已成为安全业务模式变革的催化剂,也正如HanSight这样的团队努力下,让大数据安全分析开始崭露头角,使银行安全防护的道路逐渐明朗了起来。

我们的做法

以某银行为例,该银行对于信息化的建设一直走在前端,在这几年先后部署了某国外的安全信息与事件管理系统(SIEM),收集每天500G以上的网银日志和分析数十亿计条日志事件;同时也部署了Web应用防火墙(WAF),来共同保障网银系统的安全。

但是,从实际的运用效果来看,运维人员发现:现阶段安全信息与事件管理系统基于传统关系型数据库,无法存储和处理每天所产生的海量日志信息,更无法进行有效的检索和分析;基于规则的Web应用防火墙在大数据安全方面也显得力不从心。

鉴于此,某银行总行的运维人员就急需一套基于海量数据存储和处理技术的安全信息和事件管理平台,以达到统一的安全信息事件收集和分析以及安全合规的目的。

因此瀚思为该银行提供了基于大数据技术、机器学习和算法分析为基础的瀚思下一代大数据安全分析平台(HanSight Enterprise)。在实际交付中,该平台实现了对旧有安全信息与事件管理系统的替换,顺利完成每天海量日志信息的收集和存储;同时,还可以根据关键字段进行实时全文检索,方便运维人员快速定位安全威胁。

HanSight Enterprise提供安全智能分析功能,引入机器学习与算法分析技术,创建智能分析引擎规则,实现可疑的字符串来应对SQL注入和跨站脚本攻击等原有传统安全设备无法发现的异常行为。

同时,系统将安全分析的风险预警通过多种报表方式展现出来,高目标的实现了异常行为的监控和安全信息审计,当收集的这些日志出现来自外部的非法入侵等的异常行为特征时,立即告警,通知管理员及时处理,将未知的安全威胁和可能造成的损失降低到最小。

当瀚思下一代大数据安全分析平台在该银行运行了一段时间后,运维人员惊喜的发现,该系统带来的收益完全超出了预期:

HanSight瀚思为该银行部署架构图

原来数十亿计的日志事件,每天新增500GB到1TB左右的数据,用关系数据库根本无法存储和全文检索询等一系列问题,现得以顺利解决。

现阶段,该银行数据保存不但可扩展到3年以上,而且相同数据都有2份左右的副本, 一项关键字查询任务,在秒级就可以完成 。

原来诸如Web应用防火墙等传统安全设备无法发现的HTTP等应用层攻击,现在可以主动检测出来,主动规避了可能带来的安全风险。

鉴于以上两点,该银行和瀚思扩大了合作范围:将信息源的类型放开,将其它的主机、服务器和网络设备等的IT设备日志信息统一用瀚思下一代大数据安全平台进行收集,统一进行安全分析和处理,全面提升了该行在新环境下的信息安全保障水平。

瀚思原创技术博文,如需转载,请联系marketing_ops@hansight.com