瀚思科技多家银行客户荣获金融科技创新突出贡献奖

2018年12月23日 作者: 瀚思科技

2018年12月20日,由《金融电子化》杂志社举办的“2018中国金融科技年会暨金融科技及服务优秀奖颁奖典礼”在京成功举办。

会上,中国金融电子化公司总经理、《金融电子化》杂志社社长张永福宣读了“关于表彰2018金融业科技及服务优秀创新奖评选活动的通知”。2018年,在一行两会监管部门的指导下,在银行、保险和证券等金融机构,以及信息产业界的大力支持下,从629个报选项目中共评选出“2018年度金融科技及服务优秀创新奖”209个,涵盖科技创新、产品创新、渠道创新、服务创新等领域。这些成绩的取得是各级机构和企业一年来辛勤耕耘的结果,它见证了获奖单位在金融科技实践、探索和应用中取得的研究成果。

其中,齐鲁银行的“基于大数据的网络安全态势感知系统”、西安银行的“未知威胁感知系统”荣获2018年度金融行业科技创新突出贡献奖——运维创新贡献奖,宁夏银行的“基于安全态势感知平台实现漏洞情报与资产脆弱性自动化关联分析的研究与实践”荣获2018年度金融科技研究创新突出贡献奖。

齐鲁银行——“基于大数据的网络安全态势感知系统”

齐鲁银行为增强网络安全运维能力,提高科技服务水平,高效灵活的应对各种网络安全威胁,启动了基于大数据的网络安全态势感知系统的建设。

创新点:

1. 构建旁路部署的分布式架构态势感知系统

态势感知平台采用大数据分布式存储架构和旁路模式部署。对日志、流量及上下文信息进行集中采集、存储,利用网络流量分析引擎以及智能关联分析引擎对业务安全进行快速有效地检测与分析,实现安全威胁实时检测、预警、分析、溯源取证,建立符合齐鲁银行需求的全网态势感知能力,让网络安全可知、可见、可控。

2. 大数据安全关联分析引擎助推安全防护立体化

态势感知系统引入长周期历史建模分析方法和机器学习算法,从海量数据中发现隐藏的、未知的安全事件,深度挖掘安全隐患,综合分析安全告警,将告警之间的时序关系、因果关系进行关联分析,还原攻击链,进而重构攻击场景。

3. 大数据态势感知系统引领网络安全运维理念升级

态势感知系统不仅仅是一套技术,一个平台,更是一个全新的网络安全运维理念、网络安全防护体系,有效将系统、人员、制度和流程结合,借助大数据技术实现由“单点独立防护”到“立体协同防御”的战略转变,完成由“被动安全防御”到“主动智能运维”的理念升级。

西安银行——“未知威胁感知系统”

创新背景:

随着业务的不断扩展,大量的业务系统持续的产生着海量的数据。数据在不同的系统、端点间流动,使得未知威胁的发现与处置复杂度不断提升,传统的安全分析手段无法胜任。因此,西安银行从2018年开始启动未知威胁感知系统的建设,从时间(年、月、周、日)/空间(内外网、物理位置、IP)角度进行全面的未知威胁分析与监控。

创新点:

1.大数据架构支撑海量多源异构数据集中管理

通过大数据技术建设未知威胁感知系统,采用分布式采集、存储、分析架构完成安全设备、主机、应用、网络设备、流量、情报等数据源的数据接入,并将收集的信息进行标准化和丰富化处理,从而为平台的智能分析提供高质量的数据。

2.自动化数据源、数据质量监控

通过资产自动化核查手段,严密监控资产变化,确保所有信息化资产均纳入未知威胁监测体系。通过数据源的智能监控模块对数据质量进行二次验证。一旦数据源出现问题平台将自动重传数据并发出告警。

3.场景化多引擎智能分析体系

引入规则分析引擎、流量检测分析引擎、机器学习引擎、威胁情报分析引擎对海量数据根据不同场景进行综合分析。通过梳理,西安银行将安全威胁分为11类共计470多种威胁场景,通过不同的分析引擎进行组合、联动分析,形成了长周期、多源异构数据的多引擎智能分析体系。

4.内外部用户异常行为智能分析模型

西安银行通过研发神经网络用户行为分析模型来处理用户登录、访问序列、操作内容等元数据。在互联网异常访问威胁的分析中,安全团队通过DBSCAN/T-SNE聚类算法进行相同行为的聚类,发现来自互联网异常的访问;通过XGBoots/RFC/SVM算法进行分类并构建训练有监督模型;最后通过多算法投票来标识别具体的异常行为。

在内部用户异常访问威胁的分析过程中,使用用户行为智能分析模型根据时间/空间/角色三大维度提取用户操作各种特征分布完成用户行为画像(用户行为基线),提供了实时、准实时的内部用户异常行为告警能力。

5.引入威胁情报提升互联网威胁感知能力

集成了来自互联网的第三方威胁情报数据,与西安银行互联网金融区流量数据、资产脆弱性数据进行实时碰撞,实现高可靠告警,确保安全团队快速使用针对性手段进行处置。

为了保障情报质量,西安银行采用国内首创的情报管理机制,实现了多源情报整合,对多源异构情报源参照STIX2标准处理,输出可机读的可信威胁情报,从而实现实时未知威胁检测,同时利用智能算法,对检测结果进行持续评估,动态调整各情报源的权重和可信度。

创新成效:

目前,西安银行未知威胁感知系统采集了互联网金融区超过260台设备的安全数据,覆盖安全设备、网络设备、主机、中间件等。管理资产350+台,覆盖了西安银行的重要业务系统,包括微信银行、web银行、网银等。平台每日采集日志量超过1.3亿条,流量数据超过300G,每天更新的威胁情报数据超过2000+。已建立安全分析模型超过470+条,包含数据安全、网络安全、主机安全、服务安全、违规行为、恶意代码等11个大类,35个小类。

自2018年8月份未知威胁感知系统上线运营以来,在外部攻击、内部违规行为以及APT攻击等各方面成效显著,已累计发现疑似攻击行为20万次,经平台分析统计,处置已确认攻击事件19万余次,屏蔽恶意IP 40多个,无攻击成功事件。通过不断的建模、优化、加固调整,每日的安全事件不断降低,从每天几百条降低到每天几十条。实现了网络安全从被动防护到主动防御的转变。

此外,来自内、外部的高质量数据为未知威胁感知系统以及安全分析团队提供了稳定的数据支撑能力并输出告警到展示大屏,使得我们能够准确的判断安全形势。运维人员通过大屏能够直观的看到需要重点关注及处置的安全事件,降低了运维人员的工作量,提升了事件处置的效率。

通过未知威胁感知系统的建设,西安银行依靠数据驱动安全运营工作的展开,真正实现了安全管理可知、可见、可控。

宁夏银行——“基于安全态势感知平台实现漏洞情报与资产脆弱性自动化关联分析的研究与实践”


宁夏银行基于现有安全态势感知平台,立足安全现状,研究并建设了资产威胁和漏洞管理系统来实现资产全生命周期管理、威胁情报关联的预警与响应、安全威胁的统一态势呈现和漏洞闭环管理等。

创新点:

1.信息资产全生命周期管理

通过建设资产管理平台,实现了对宁夏银行信息资产的自动化监控、梳理,建立资产信息库,并可实时了解信息资产的变化,包括对新增、变更、上线、下线等的全生命周期管理。

2.安全漏洞全生命周期管理

基于宁夏银行现有的安全态势感知平台,建设了威胁与漏洞管理平台,能够全方位检测信息系统存在的漏洞,并对漏洞进行状态跟踪(新增、待修复、已忽略、再次发现、已修复),通过对安全漏洞全生命周期的过程监控,可以快速发现问题,并对安全加固过程全程跟踪,形成安全漏洞的闭环管理。

3.漏洞情报与资产脆弱性自动化关联分析

在宁夏银行安全态势感知平台的基础上,引入IOC威胁情报的同时,也接入了漏洞威胁情报,落地威胁与漏洞管理平台。通过关联分析引擎,实时将漏洞情报信息与资产信息进行关联碰撞,自动化发现信息系统存在的安全漏洞,通过对漏洞进行风险评级、利用热度分析,结合信息资产重要性(CIA属性等)、加固程度、漏洞POC情况等,关联分析得到优先级最高需要进行处理的漏洞及资产,并产生告警。

4.安全风险处置闭环

以漏洞处置为驱动,关联分析产生告警后,通过工单系统,联动整合宁夏银行安全人员、运维人员、开发人员、业务人员和外部安全人员、产品厂商、运维服务商等技术资源,对安全告警进行一系列处置,如漏洞威胁分析、应对方案制定、漏洞整改验证、知识库归集、安全基线更新等内容,通过动态流程实现漏洞的闭环处理。提高了漏洞处置的时效,保证了漏洞处置的有效性。

宁夏银行通过对业内安全漏洞的特点及最佳实践进行研究,基于现有态势感知平台完成了漏洞情报与资产脆弱性自动化关联分析的实践落地,实现了漏洞威胁的动态管理,形成了一套完整的漏洞处置标准流程。