本文选自《交易技术前沿》总第四十五期文章(2021年6月)

吴佳伟,王玥,李鹏,胡晓明,龚威,倪文亮

兴业证券股份有限公司,上海 200135

E-mail :wujiawei@xyzq.com.cn

当前网络安全形势日趋严峻,攻击手段呈多样化,行业各机构时刻遭受着大量的外部攻击;同时国家、行业相关网络安全管理要求越来越完善和精细化,给行业机构日常安全运营工作带来巨大挑战和压力。作为为公众提供服务的互联网系统,其直接面对大量外部威胁,一旦失陷将成为入侵内部网络环境的跳板,可能给企业带来巨大的安全风险和超乎想象的经济、名誉损失,因此互联网系统的安全性应得到优先保障。本文定义自动化安全运营,解析自动化安全运营优势,结合兴业证券互联网系统自动化安全运营实践经验,介绍了适用于证券行业的基于自动化技术互联网系统常态化安全运营具体实践,将被动救火方式的应急响应转变为主动提前预防的风险管理,有效提升了互联网系统安全运营水平,有力保障了互联网系统安全。

一、自动化安全运营

(一)自动化安全运营定义

自动化安全运营可分两部分来定义:

安全运营:用一句话概括是有计划、有组织、成体系化地实施网络安全工作。制定适合公司特性的安全工作规划、组织匹配安全规划的有力资源并形成体系化的安全方案。一方面持续加强安全建设,修补安全短板,使应有的安全能力不缺失;另一方面不断优化已有的安全设施,包括安全技术设施、安全控制策略和安全运营平台等,使安全设施越来越高效、合理及符合预期目标进行运转。

自动化:采用安全自动化技术,将重复的、可标准化的信息安全工作自动运转起来,让人从重复繁杂的工作中释放出来,从事更有价值的工作,比如去设计更实用更合理的安全架构、安全体系等。

因此,基于自动化技术的安全运营使安全运营更高效地开展,使人、技术和流程更好地关联起来,人利用技术去监测信息资产以及信息资产中存在的安全风险,再利用标准化流程去分析和响应发现的安全风险,并持续优化整个过程,达到人、技术、流程一体化。

(二)自动化安全运营意义

之所以要实施自动化安全运营,能够有效缓解证券行业安全专业人员稀缺、安全工作零散、效率低、规模化管理难、落地成效差等痛点问题,使日常安全运营工作更具有成效:

1、有章法

自动化安全运营使日常安全工作成体系化,更有条理性。首先让安全人员能分清轻重缓急,对安全风险设置不同优先级,使优先级高的安全风险得到及时处置;其次形成闭环管理,制定闭环的标准流程,对安全风险从检测、预警、分析到响应形成有效的闭环管理机制,持续优化提升安全防御能力。

2、提效率

安全运营过程采用自动化手段,相比人工方式大幅提升了安全风险检测和响应效率,例如,通过自动调度引擎定时调用安全检测引擎实施安全检测,发现安全漏洞后再通过自动调度引擎对接CMDB和工单系统进行后续响应,从风险的检测、定位责任人、到告知责任人整个过程时间大幅缩短。

3、成规模

安全运营专业人才普遍稀缺,人工运营方式难以实现有效的规模化管理。人工的方式对100台或1000台设备进行安全管理存在可行性,但是面对上万台设备就不现实了。自动化安全运营使人工操作变少,自动化任务变多,可有效实现安全规模化管理。

4、同参与

安全运营若由安全团队独自完成,通常在落地环节非常难,效果达不到预期。自动化安全运营将安全措施或安全工具嵌入到研发运维流程中并自动化完成,驱动研发人员、运维人员甚至业务人员一起参与运营,让安全性成为系统或产品的一种天然属性,整个过程也间接提高了人员信息安全意识水平。

二、互联网系统自动化安全运营具体实践

互联网系统特点是面向外部不确定对象提供服务,时刻可能遭受外部大量的多样化攻击威胁,因此在时间、资源有限的情况下互联网系统应得到优先保障。兴业证券从互联网信息资产管理、风险检测、风险处置3个方面形成了自动化的闭环安全运营。图1是互联网系统自动化安全运营架构,建立互联网信息资产库,对互联网信息资产进行统一管理;针对库中的信息资产实施体系化的安全检测,发现系统存在的安全风险;当发现安全风险后,自动对接CMDB、ITSM工单、安全运营集中管理平台等系统进行处置,形成安全风险的闭环处置。

图1:互联网信息资产自动化安全运营架构

(一)互联网信息资产集团化管理

当前兴业证券针对互联网信息资产已实现了集团化安全管理,建立了集团互联网信息资产库,直接纳管包含10个子公司在内的整个集团互联网信息资产,并实时对集团互联网信息资产使用情况进行安全监控,如图2所示。

图2:互联网信息资产使用情况实时监控

1、构建集团统一互联网信息资产库

兴业证券采用管理与技术相结合的方式构建了整个集团统一的互联网信息资产库,资产库包含了IP、端口、协议、状态、服务、产品类型、版本、位置、所属系统、责任人等内容。首先与防火墙进行自动对接,自动获取防火墙NAT映射表并动态更新互联网信息资产库;其次通过管理手段要求各子公司定期反馈互联网信息资产情况,作为互联网信息资产库的线下补充;最后借助外部安全供应商信息资产核查技术全面发现互联网信息资产和敏感信息。通过多种方式相结合的动态信息资产管理,既能掌握最新互联网信息资产情况,又能把存在互联网中隐蔽的信息资产或敏感信息挖掘出来。

2、自动安全监控互联网系统使用情况

互联网系统的变化涉及到网络攻击暴露面,未及时掌握变化情况极大可能被外部攻击利用。兴业证券对互联网系统使用情况实施实时自动监控,如图2所示,自动监测开放端口、关闭端口、不稳定端口和新增端口,端口定义见表1。针对不稳定端口和新增端口自动调度安全检测引擎进行安全测试及风险整改,保障其安全性。互联网系统自动安全监控不仅能实时掌握互联网系统使用变化情况,也可有效控制私自映射外网的违规行为,如:研发、运维人员为了测试方便私自把测试环境映射到互联网,则可被及时发现并给予通告。

表1:端口定义

(二)互联网系统安全风险检测

在互联网系统使用情况得到有效、清晰、动态的监控后,需要高效体系化的安全风险检测机制开展安全评估和发现安全风险。兴业证券建立了互联网系统自动化安全风险检测体系,由自动化调度引擎按计划任务调度多种检测工具实施安全检测,形成了多层次、全范围、高强度的自动化安全检测机制,如图3所示。

图3:互联网信息资产自动化安全检测机制

1、多层次

自动化安全风险检测体系设置了天、周、月、年不同检测周期,每种检测周期实施不同的检测手段,满足合规要求的同时可及时发现安全风险。如图4所示,以天周期中网站可用性监控为例,对网站平稳度异常、挂马、黑链、篡改等安全风险进行实时监控,一旦发现异常在分钟级内告知到相关责任人进行处置响应。

图4:网站可用性实时监控

2、全范围

自动化安全风险检测体系的运行是基于集团互联网信息资产库,覆盖了包含子公司在内整个兴业证券集团互联网信息资产,涉及服务器、Web应用系统、终端程序和移动APP等多种信息资产,实现了安全规模化统一管理。

3、高强度

自动化安全风险检测体系每种检测周期均采用了多种检测手段,其中漏洞检测、基线核查、攻击监测等多种手段均自动化完成,实现了高频高强度的安全检测力度,同时也呈现了异构的安全检测形态,不同检测手段间相互取长补短,大幅提升了安全风险的检测效果。

(三)互联网系统安全风险处置

完成互联网信息资产管理、安全风险检测后,应对安全检测后发现的安全风险及时进行处置响应。在处置过程中,需快速定位系统责任人,及时告知责任人进行风险整改、跟踪整改过程及复核整改结果。兴业证券通过自动化调度引擎与CMDB、ITSM、邮箱系统、安全运营集中管理平台等系统进行自动对接,根据IP地址调用CMDB API接口定位系统责任人,再根据责任人信息调用ITMS工单系统API接口创建工单发布整改任务,同时通过邮箱系统进行邮件告知。安全风险的生命周期管理信息同步至安全运营集中管理平台,进行统一集中可视化管理。

图5:示例:定期例行漏洞扫描闭环管理流程

如图5所示,以定期例行漏洞自动化扫描闭环管理流程为例,通过调度引擎将安全扫描引擎、ITSM工单系统、安全运营集中管理平台(态势感知平台)有机结合成一体,形成了安全风险自动化检测、确认、定位、整改、复核的闭环处置流程。

三、总结与展望

互联网系统自动化安全运营是基于自动化技术从互联网信息资产管理、安全风险检测和安全风险处置三个方面对互联网系统开展闭环的自动化安全运营,如图6所示。信息资产管理具备了集团全范围覆盖、多方式动态补充和高效率自动监控等能力,安全风险检测方式成体系化、检测手段呈组合拳、检测效率靠自动化,安全风险处置中自动对接周边系统、自动定位责任人、可视化集中管理安全风险,形成了一个牢固的闭环互联网系统自动化安全运营铁三角。当前兴业证券在互联网系统自动化安全运营过程中基于整个集团互联网信息资产建立了近20个自动化安全运营流程,将高危风险响应时间从天降低至分钟级别,提升了互联网系统标准化安全管理水平和安全运营效率,实现了互联网信息资产安全规模化管理。

图6:互联网系统自动化安全运营铁三角

兴业证券将继续研究和完善互联网系统自动化安全运营体系,加强安全基础设施建设和安全风险的集中统一管理,强化集团化安全管理服务,探索更加领先的安全检测方式,进一步提升安全风险检测能力,构建更多可落地的自动化安全运营流程以进一步提升安全运营效率,实施常态化安全攻防实战演习持续提升互联网系统安全运营水平。

声明:本文来自上交所技术服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。