苏州银行信息科技部副总经理 蔡亚新

  没有网络安全就没有国家安全。我国高度重视网络安全工作，已将网络安全上升至国家战略层面。近年来，网络安全法、数据安全法等法律法规陆续出台，各类监管要求持续提高，常态化风险防控成为金融业务开展的必要条件。

  随着信息化建设的飞速发展，云计算、大数据、生物识别、人工智能等技术与金融业务深度融合，在推动银行业务创新、服务效率提升的同时，也使网络安全风险的形态、路径和边界发生了巨大变化，最终使中小银行网络安全的管理难度持续提升。

  作为苏州本土唯一一家法人城商行，苏州银行历来高度重视网络安全工作，积极贯彻国家网络安全战略，探索建立自动化网络安全运营体系，切实践行网络安全和数据安全管理要求。

  一、苏州银行自动化网络安全运营体系建设背景

  近年来，苏州银行持续从安全管理、终端安全、网络安全、数据安全等方面优化信息安全建设路线，在各层级建立了较完善的信息安全防护框架，构建了具备抗DDOS攻击防护、网络入侵监测防护、Web应用防护、主机安全防护、攻击诱捕溯源等能力的多纵深立体化安全技术防护体系，可有效识别并拦截绝大部分互联网恶意攻击行为。但伴随网络攻击工具、攻击手法的不断升级，特种木马、0day漏洞、水坑攻击、钓鱼攻击、APT攻击等新型攻击手段层出不穷，通过安全设备和杀毒软件进行防护和事后处理的模式已无法完全满足安全运营的需求。

  在传统安全运营中，受限于人才储备不足、技术能力有限等客观因素，中小银行安全团队在识别隐蔽复杂攻击的及时性和有效性上存在不足，无法有效满足7×24小时的预警要求,同时事件监测、响应与遏制均由人工操作，工作效率也成为安全事件处理的瓶颈。

  基于当前的网络安全痛点，结合2022年原银保监会下发的《关于银行业保险业数字化转型的指导意见》有关“强化网络安全防护”的整体要求，苏州银行建立了基于安全编排自动化与响应(SOAR)的网络安全运营平台，旨在全面提升网络安全事件的分析研判和预防处置水平。

  二、苏州银行自动化网络安全运营探索与实践

  1.SOAR成为安全运营新趋势

  SOAR的目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中，实现事件响应、安全自动化、场景管理的融合，支持进行多种类设备协调和威胁处置决策。Gartner分别在2020年和2022年发表《SOAR市场应用指南》报告，详细分析了SOAR的市场发展情况并给出相关建议，评估SOAR如何提升政企组织的安全运营能力。

  SOAR凭借自身特点和优势，正在成为中小银行关注的焦点。分析机构Forrester认为，SOAR是一种将跨安全和业务生态系统的第三方工具集成在一起的自动化技术，可实现对安全事件的分诊、协调，并采取基于剧本的协同行动。SOAR的目标是让安全运营更快、减少出错几率，并且更加高效。SOAR在网络安全运营领域具有以下三大优势：

  一是通过流程优化，释放人力资源。银行机构通过流程化的方式将解决方案自动生成事件，应用SOAR进行智能分析，将事件中重复、常规的部分交由机器完成，从而缩短安全人员在数据收集上消耗的时间，使其集中更多精力投入到调查和响应事件中去。

  二是加强人机融合，增强安防能力。银行机构将人工智能技术引入自动化编排中，可使人员、流程、技术无缝融合，实现剧本与流程的整合以及安全技术与安全人员的整合，从而大大缩短响应时间，增强企业的网络攻防实战能力。

  三是智能化编排，满足合规要求。银行机构通过丰富的模型编排算法优化与场景设置，可对安全事件做出高效的发掘和应对，同时使数据保护满足多场景应用，大大提升安全入侵检测处置能力，满足法律法规要求。

  2.苏州银行自动化网络安全运营建设

  在安全运营流程方面，苏州银行已经建立起有效应对数字化转型的网络安全运营体系，并完整覆盖威胁管理的检测、研判、溯源和响应四个阶段;基于SOAR建立了自动化安全响应分析运营平台，实现了实时数据的关联分析及历史数据的关联检索，可帮助安全运营团队实现自动闭环研判和溯源，从整体上提升了网络安全运营效率，为数字化转型战略的顺利实施提供了可靠的保障。

  在自动化安全分析方面，苏州银行已经实现自动化安全响应分析运营平台与统一日志平台、一体化运维管理平台、处置平台的安全联动，将网络攻击链和ATT&CK安全攻防模型相结合，自主设计基于时间序列、行为、签名和统计分析的威胁分析框架与知识模型，有效覆盖网络攻击、信息泄露、违规操作、业务风险等信息安全领域，并引入可视化工具辅助人工分析，深度挖掘APT等高级持续攻击风险事件;同时，利用精确日志数据字段内容、多标签告警抑制及基于时间序列、资产关联和异常行为标签的相似度关联告警分析策略，有效压缩安全告警数量，聚焦安全运营分析处置。

  在自动化安全响应方面，苏州银行构建基于SOAR的剧本引擎，建立反入侵知识库和资产库，通过自动化安全处置操作，有效缩短平均检测和响应时间，使入侵检测时间从小时级压缩至分钟级，实现了对海量告警事件的研判分析和主动防御，以及流程重塑能力、风险控制能力和运营效率的提升。

  3.苏州银行自动化网络安全创新实践

  (1)攻击路径可视溯源

  在日常安全运营工作中，面对庞大的系统和业务，网络拓扑往往会比较复杂。安全设备告警中的受害资产IP一般为虚拟IP，在对受害资产采取进一步应急响应措施时，安全专家需要花费大量时间根据虚拟IP层层查找定位真实IP，这无疑大大降低了安全事件的平均修复时效。

  为解决这一问题，苏州银行建立了虚拟IP地址管理模块，通过进行攻击路径可视化管理，可自动分析出网络拓扑结构，同时通过溯源引擎关联资产、网络、告警、情报四大因素，支持对完整的攻击事件进行回溯，使安全人员可以清楚地看到攻击者通过何种方式侵入内网，如何横向移动，形成完整的攻击路径拓扑视图(如图1所示)。

图1 攻击路径拓扑视图

  (2)全面攻击者画像概览

  在日常安全运营中，对IP告警的分析和处置是最常见的场景，但单纯分析IP地址本身无法确定是定向攻击还是随机扫描，是初始攻击还是攻击后利用。攻击者攻击手法的多样性使银行机构无法有效追踪攻击者、排查攻击者的意图、明确攻击者的范围。

  为此，苏州银行构建了关联分析引擎、溯源引擎，并结合第三方威胁情报最大化收集攻击者信息，通过大数据进行筛选和挖掘，分析攻击者来源、攻击手段、攻击特征与攻击目标，并运用自动化取证技术辨别攻击者是否采用跳板，利用溯源引擎还原真实攻击路径、历史活动轨迹和活跃程度、攻击包详情等细节，将IP信誉情报全面升级为攻击者画像，从而在发现恶意IP发起攻击时，可有针对性地排查内容安全隐患，并在真实攻击发生前消除安全隐患。当前，溯源引擎可日均分析攻击者画像300余条。

  (3)从实战出发进行调查取证和自动化处置

  苏州银行针对扫描攻击、漏洞利用等实际安全事件场景，通过使用流程编辑器自动进行剧本处置，实现跨分析平台、运维管理系统、网络设备等多异构平台流程的编辑和资源编排，并将其贯穿于安全分析、封堵处置、事件报告全生命周期，有效提升人工跨专业设备的分析效率。安全事件分析模块将安全专家事件分析、调查取证工作场景划分为攻击检测剧本、误报监测剧本、研判辅助剧本、溯源分析剧本、处置响应剧本五类剧本引擎(如图2所示)。

图2 安全事件分析模块

  苏州银行利用剧本技术固化安全专家经验，结合外部威胁情报、大数据分析和SOAR等技术，实现安全运营的自动化取证、自动化威胁研判、自动化误报分析、自动化溯源及自动化联动处置，提升安全事件分析研判时效150余倍、安全事件处置时效50余倍，构建了可知、可见、可控、可持续提升的安全事件运营能力框架。

  三、苏州银行网络安全工作展望

  金融行业网络安全是国家安全的重要组成部分，切实做好网络安全工作既是企业之急，也是企业之责。未来，苏州银行将继续围绕发展、安全“两手抓”的战略要求，坚持安全赋能业务，以积极的心态做好常态化网络安全保障建设，提供更加优质、高效和安全的金融服务。

  1.提升网络安全智能防护能力

  苏州银行将持续加强安全大数据积累，建立内外部网络安全态势统一视图，同时将大数据、人工智能、零信任等技术运用到网络安全防护体系中，不断提升自动化和智能化水平，有效应对复杂、严峻的网络安全挑战。

  2.增强数据安全闭环管理能力

  苏州银行将深入贯彻落实个人信息保护法、《金融数据安全数据生命周期安全规范》等法律法规，在相关业务流程和日常管理领域进一步优化数据安全工作机制，探索使用多方安全计算、联邦学习等技术，持续增强数据安全使用的闭环管理能力。

  3.打造安全管控齐防共治能力

  苏州银行将强化供应链管理，防范供应链和生态圈安全风险;做好新技术应用的风险评估，规范新技术使用场景，加强科技创新的风险监测与处置;加强与人民银行、国家金融监督管理总局、公安部、网信办等部门的沟通联动，建立科学有效的全链条网络安全联防联控机制，构建健康稳定的网络安全长治生态。