ThreatBook較真之作第二期，看看作為金融科技企業的證通股份有限公司(以下簡稱 “證通”) 如何理解網絡安全?

“別人家的安全”是安全威脅情報(微信ID：ThreatBook)近期推出的一檔專欄。

合規、管理、構建、應急……安全問題千千萬，層出不窮。我們沒辦法給出這些問題的標準答案，但我們可以用Case Study的形式，讓你看看——“別人家的安全”。

本期受訪者資料：黃凱，8年安全從業經驗，目前就職于證通股份有限公司，安全技術負責人，職責包括信息安全技術體系管理、安全監控系統運營、安全技術調研。

[[208367]]

證通資深安全工程師 黃凱

Q：作為金融科技企業的證通股份有限公司(以下簡稱 “證通”) 如何理解網絡安全?

A：證通股份有限公司成立于2015年，是由國內多家證券機構、互聯網企業和金融服務機構以市場化方式共同發起成立的金融綜合服務企業，證通的團隊來自銀行、證券、互聯網企業以及業內領軍科技公司，其中核心科技人員占員工總數一半以上。實力雄厚的股東背景及團隊優勢，讓證通有責任更有義務在面向金融行業的IT創新輸出上有所作為。因此證通上至管理層、下至基層員工，大家對安全都非常重視，對新技術也保持著積極學習與探索的狀態。證通安全架構是在滿足合規要求基礎上，結合新思想和新技術的“創新工場”。一方面是為了自身的安全能力的提升，畢竟網絡安全發展到現在，單純防御性的措施已經不如之前那么有效了;另一方面，我們也希望通過我們的技術革新，建立起成熟的與時俱進的安全體系架構，更好地為股東單位及行業機構服務。

現在證通安全團隊的職責已覆蓋安全合規、安全開發生命周期、安全運維、安全監控、安全技術調研等方面，是一支綜合能力很強的團隊。

Q：證通的整個安全體系是如何構建的?

A：證通的安全體系已經覆蓋了安全技術管控、安全運營管控、安全策略制定等各個方面。以具體場景為例，我們有三張網：生產網、測試網和辦公網。我們以生產網為重，對其管控力度也是三張網里最強的，生產網的安全設備部署與測試網、辦公網隔離，并且從建設之初便著手全量的安全日志收集，實現第一時間的安全事件告警和響應。對測試網，我們配置了網絡安全設備和日志收集系統;對辦公網，我們配置了齊全的安全管控和檢測手段，并定期對證通全體員工進行安全培訓，重點防止敏感數據泄漏。

Q：適應性安全是安全圈現在很火爆的理念，態勢感知系統是這個理念比較典型的實踐品，證通啟動態勢感知項目的大致情況如何?

A：態勢感知在2016年上半年的時候就已經是非常成型的概念了，我們也非常認可這個理念并自建了一套態勢感知系統以滿足自身安全需求。目前已經完成了一期建設，包括安全測試模塊、自動阻斷模塊、蜜罐模塊、智能漏洞驗證模塊等。做態勢感知，首先要知道自己有什么資產，有什么風險，再結合外部的數據去防護。之所以強調外部數據是因為企業光靠自己收集的數據通常是不夠的，而且數據分析成本很高，必須要有獲得外部情報數據的途徑。比如我們看到一個IP來掃描，我們怎么判斷他大致是一個什么樣的人，他到底是惡意地來掃描，準備進行攻擊，還是說他只是一個“廣撒網”的掃描，威脅情報可以讓我們心里有底。

Q：那您覺得態勢感知項目本身需要具備什么條件才能夠有效?

A：態勢感知項目要成功，我覺得主要有以下幾個條件。第一是數據源要豐富，對數據的理解要足夠充分，得知道現有的數據源到底是哪個系統產生的什么日志，從而進行解析和分析。日志解析和分析工作對人員的技術能力以及對數據理解的要求很高，對于正則表達式需要非常熟悉，還需要理解網絡層、系統層、應用層、中間件、開發框架等多方面的數據，與相關團隊的溝通成本也很高，是一個非常費時費力而不怎么能獲得成就感的工作，但是把這些日志結構化是非常有用的，因為到后面可以做統計、呈現、數據關聯，做好這些工作是先決條件。提高對數據的理解和數據的準確性，還要靠自己不斷地在運行中總結經驗，同時也需要依靠外部的數據源來做一些輔助，有時我們做告警就依賴于威脅情報，結合外部數據可以達到一個相對準確的效果，我們自己其實也有建自己的情報源，但是僅靠自己的數據不足以做出足夠準確的判斷。

其次是界面設計和交互設計要友好。一方面，操作人員要容易配置，能夠保證數據多層面、多角度的呈現;另一方面是上層決策者的宏觀感受要直觀，一看就知道安全團隊在做什么事情，阻攔了多少攻擊事件，也就是讓安全不僅是可視化的，而且是可量化的，這樣才能直觀體現出安全團隊的價值。

第三是怎樣建立數據模型，因為每天產生那么多數據，肯定得去建立相應的一些模型，以模型為基準去做數據的分析和呈現。有一些模型可能是簡單的條件判斷，有一些模型可能是通過機器學習實現，隨著數據的增加逐漸成熟，等等。

Q：態勢感知系統的效果是什么?

A：對于一線人員來說，態勢感知打通了多個維度的數據，通過數據可視化讓我們對威脅態勢有直觀了解，通過外部威脅情報協助我們進行決策，甚至自動阻斷惡意請求，把我們從重復勞動中解放，從而可以聚焦在更高層面的工作。舉個例子：在以前沒有安全威脅情報做參考的時候，事件處置流程是這樣的：發生告警以后有值班人員打電話給你，你打開電腦開始處理應急事件，登錄系統后判斷這個IP對我們公司的什么系統做了一些什么樣的掃描或者攻擊，再去看他的請求參數是什么樣的，會不會對我們產生威脅。引入了威脅情報之后，我們就可以基于威脅情報先判斷一下這個IP是來干嘛的，比方說一個掃描IP，在我們系統中觸發了大量404響應，再對比相關的告警內容，就可以初步判定威脅性不大，此外由于我們的系統在上線前都經過了嚴格的安全測試，我們相信類似的掃描不會對我們形成威脅，所以這個告警就不用再去太關心了，這樣就極大地降低了我們應急人員的工作壓力。

從上層管理人員的角度來看，就像剛才說的，通過態勢感知系統做到了安全態勢的可視化和工作成效可量化。

Q：接下來準備怎樣對態勢感知系統做升級?

A：首先是增加數據源，做安全要在“知己”的路上走得更遠，既然已經盤點了已有的資產信息，就可以基于這些資產去做一些更深入的工作，比如資產的系統、版本、中間件信息、開發框架信息等等，這些信息可以做一些關聯，基于關聯去做精確度更高的、更智能的安全威脅的態勢感知;其次是工具化集成化，將態勢感知系統打造成安全團隊日常的工作平臺，形成閉環，從而提升工作效率。此外，我們安全團隊還可以與其他團隊合作，讓態勢感知系統為運維和數據分析提供支持。

當前微步在線的威脅情報跟我們的SIEM系統結合得比較深，我們的生產網、辦公網、測試網都有接入，在不同維度數據的整合方面還有很多工作要做。外部數據，包括威脅情報在內，也是需要逐漸完善，我們也想和微步在線進行更深入的合作，并樂意將我們的經驗和技術與行業分享。