文/中国邮政储蓄银行运营数据中心特荣夫李尚泽
中国邮政储蓄银行数据管理部李少波张信保
目标与定位
全场景网络安全大数据平台旨在满足邮储银行复杂的安全场景需求,通过统一采集、处理、存储全网安全数据,并内置多维关联分析规则,为上层安全应用提供坚实支撑。该平台采用分层规划、逐层支撑的设计思路,构建了“1平台+1应用+2支撑”的安全能力体系,即一套全场景网络安全大数据平台作为底层技术支撑,一套上层扩展应用体系作为业务支撑,同时兼容混合云、私有云等多环境部署。
全场景网络安全大数据平台作为邮储银行安全运营体系的核心,具备以下特点:一是合纵连横,实现整网安全数据统一纳管、整网安全能力集中协同,提升应对高级威胁能力;二是知识引领,引入漏洞信息、情报信息和攻防知识图谱,形成自有攻防知识库,提高安全运营效率;三是数据驱动,采集各类安全数据,提高网络信息安全攻击检测、风险感知、情报分析能力;四是协同共享,强化大数据协同共享和事件协同处置机制,实现安全风险全生命周期管理;五是开放扩展,简化大数据应用开发场景,提供全场景网络安全大数据业务支撑环境,面向各类安全应用提供便捷、高效、易用的服务。
建设与实践
全场景安全大数据平台采用分布式架构,支持灵活扩展与多副本冗余,确保数据安全与高可用性。平台内部包含数据接入、安全引擎、数据资源、系统管理四个子系统,分别承载数据接入、安全分析、数据整合与系统管理功能。全场景安全大数据平台作为邮储银行安全运营的基础支撑平台,平台实现全网安全数据的统筹、分析、应用与赋能。数据接入涵盖云端能力设施与基础安全设施,基于风险暴露、安全事件监测、安全审计与合规性及资源利用等因素,规划数据源接入优先级,逐步实现全局安全数据采集。数据应用方面,平台对数据进行规范化处理、关联聚合分析后,衍生多维度安全能力,支撑多样化安全运营应用快速搭建。数据赋能方面,平台安全运营结果数据不仅用于上层应用搭建,还赋能于已建设的基础安全设施,辅助风险响应处置与安全能力运营迭代。
1.关联分析场景建设
建设全场景网络安全大数据平台,关键在于关联分析引擎的构建与应用。该引擎通过初步关联分析安全告警数据,输出更为准确的安全告警,有效降噪并提升告警质量。面对海量异构的原始安全数据,关联分析引擎默认其为“不可信”,并基于安全专家经验制定规则,自动进行二次分析,确保数据“更为可信”。
关联分析引擎提供流式分析和检索分析两种模式,分别支撑不同的关联分析模型运行。流式分析涵盖单一判定、复合关联、统计关联、时序关联、非时序关联、互斥关联及自定义关联模型;检索分析则包括聚合分析、同比分析、基线分析模型。这些模型共同作用于各类打点数据、告警的深度关联,关联维度广泛,如终端IP、DNS请求、TCP/UDP会话信息及文件样本等。
关联分析引擎包含丰富的多场景关联分析规则,覆盖违规行为、恶意程序、网络攻击、数据泄露等十多大类场景。通过多维数据关联分析,如基于IP地址、时间维度、用户行为、安全漏洞及特定文件的关联分析,结合广泛采集的安全数据,为上层应用提供坚实的支撑。
2.事件聚合场景建设
建设全场景网络安全大数据平台,关键在于提升安全事件还原与分析能力。平台通过设计事件聚合引擎,对原始安全数据进行攻击链聚合分析,实现跨设备、跨攻击阶段、跨攻击链的告警聚合,将告警转化为具体安全事件,并以图形化方式展示事件发展过程。
事件聚合引擎依托关联分析引擎输出的高可信度告警,自动化开展上下文拓线分析,聚合相关告警行为,为安全团队提供完整的安全事件还原能力。数据源可信度评估是基础,通过多重分析引擎及关联分析模型评价数据源质量,确保攻击链聚合模型以精准入口线索发起安全事件聚合溯源任务。
平台采用场景化聚合指标,根据不同安全场景需求灵活调整聚合维度,提高威胁溯源分析模型的自动化、准确性和高效性。多维关联提高告警有效性,通过关联分析模型有效关联多种设备、多个安全告警和多个阶段,应对深入攻击行为。
为实现告警收敛,平台采用自动交叉验证技术,突破传统单级告警聚合限制,通过多级收敛技术从海量信息中屏蔽无用信息,生成高置信有效告警。攻击链聚合模型以有效告警为数据源进行数据分析建模,模拟安全分析人员日常分析过程,实现多源数据自动交叉验证,降低告警数量,提高威胁溯源分析效率。
3.实体分析场景建设
建设全场景网络安全大数据平台,关键在于实体分析引擎的构建与应用。该引擎通过对实体的静态信息和动态行为进行数据统计及挖掘,形成多维实体建模画像,为复杂安全检测与事件溯源提供数据基础。
平台引入实体分析引擎,从IP、域名、账号、主机信息、样本Hash五个维度以实体为节点构建分析模型,快速整合关联实体风险属性及复杂关系,形成实时更新的实体风险关系图谱,提升分析效率。同时,采用实时流分析与图关联等先进手段,保证画像的精确与实时性,平衡处理性能和计算成本。
实体画像技术从多维度描绘检测对象,包括画像设计、画像生产、分析拓线三个阶段。画像设计将实体画像、关系、行为以图的形式组织存储,分析拓线则利用自研图分析引擎进行关联,加速计算过程,保证实时性。
基于实体分析引擎平台能够沉淀有助于安全分析的数据,如内网主机信息、主机行为、访问关系及外部IP攻击行为等,基于实体画像和关系网络自动化分析溯源,串联威胁完整行为并还原攻击路径。此外,实体分析引擎还能自动构建威胁分值雷达图,多维度刻画实体威胁状况,支持统计不同等级告警日志分布及趋势,实现资产、攻击者等信息的汇聚、归类及可视化分析。
4.资漏分析场景建设
全场景网络安全大数据平台的建设与实践,重点在于资漏分析引擎的构建。该引擎将内部资产信息、脆弱性情报与监测到的威胁告警进行关联评估,全面呈现网络内各类资产的安全状况。
资漏分析引擎能够实时侦测资产可能遭受的已知或未知威胁,并追踪风险点的修复情况。通过接口服务,该引擎与外部资产测绘、漏洞扫描器等基础设施对接,获取资产及漏洞数据,实现系统本地资产库、漏洞库的更新。同时,引擎还订阅系统采集的各类安全数据,保证资产及漏洞分析的时效性。
漏洞匹配分析组件将实时与定期获取的资产数据与本地漏洞库进行匹配,从资产漏洞维度展开分析。资产匹配分析组件则以资产为中心,将资产基础信息、攻击信息等数据进行匹配关联,并对资产进行安全风险评分。此外,平台还提供漏洞服务、资产服务及资产提取服务等支撑服务,确保资漏分析引擎的高效运行。
最终,资漏分析引擎将资产和漏洞分析结果进行综合,形成风险资产,为安全决策人员提供全面的安全状况了解。这一建设与实践不仅提升了网络安全防护能力,还为网络安全管理提供了有力的数据支撑。
5.平台高可用建设
邮储银行已在多地建多个数据中心,为保障全景网络安全大数据平台运行连续性和数据治理全面性,平台统一规划多数据中心灾备高可用能力。各数据中心的安全管理区部署平台,平台包含数据采集、存储、安全引擎等组件;生产、测试、办公区设数据采集节点,就近采集安全数据。各数据中心以“单中心内高可用”模式部署,并级联注册及数据同步,实现统一监控,确保业务连续和数据同步,为用户提供灵活的全局安全运营能力。
建设成果
在2024年实战演习中,邮储银行采用全场景网络安全大数据平台作为防守队的安全运营核心,成功保障了演习流程的顺利进行,并有效处置了所有安全事件,确保了核心靶标系统的安全无虞。
规划阶段:平台聚焦于安全设备告警、流量及设备日志的集中分析,结合防守队伍的实际需求,建立了高效的事件处理流程,显著提升了威胁监测、分析及响应的效率。
备战阶段:平台通过告警降噪分析,结合业务特征梳理白名单规则,实现了73%的降噪率,极大提高了安全运营的工作效率。
迎战阶段:平台以安全事件为核心,优先研判重点事件,通过调整告警等级,确保攻击成功、等级严重及重点告警得到优先处理,再次提升了防守队的工作效率。
实战阶段:平台日均处理告警日志215G、流量日志42T。通过持续的告警降噪、规则优化等工作,降噪率高达95%。同时,利用情报及时补充0day规则,有效弥补了安全设备威胁特征库升级的不足。期间,平台还梳理了IP情报和0day检测规则,并基于威胁图谱、仪表盘等能力开展威胁狩猎。
总结阶段:平台提供了丰富的仪表盘并支持自定义,辅助防守队开展每日及整体复盘活动,输出单日总结报告,结合安全运营实战形成了防护技战法报告。
(此文刊发于《金融电子化》2024年12月上半月刊)
