2018年8月3日，由中国互联网协会互联网金融工作委员会、金融科技创新联盟主办，由金融科技创新联盟金融网络安全专业委员会主任单位国泰君安证券股份有限公司承办的金融科技创新论坛（第八期）暨金融网络安全专业委员会第一次工作会议在上海国泰君安证券股份有限公司总部成功举办。

 

本次会议以“金融网络安全技术与挑战”为主题，国泰君安证券信息安全专家陈凯晖就《证券行业网络安全态势感知技术探索》作主题演讲。

 

以下为陈凯晖发言实录：

 

各位领导，各位专家，大家下午好！

 

今天我从背景、建设思路、关注点等三个方面简单介绍一下我们申请有关网络安全态势感知课题的情况，以及对网络安全态势感知建设的思考和一些探索。

 

前面很多的专家提到，整个网络安全面临的局势是非常的严峻，企业、行业面临的攻击越来越趋于利益驱动、有针对性、专业化和有组织化。课题的背景，从国家层面来说，2015年7月1号颁布实施的《中华人民共和国国家安全法》，其第25条明确，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。2017年6月1号颁布实施的《中华人民共和国网络安全法》，第31条明确提出了国家要对关键信息基础设施实行重点保护，还有就是最关键的，2016年4月19日习总在北京召开的网络安全和信息化工作座谈会上的重要讲话。

 

从行业的层面看，金融领域是属于国家的关键信息基础设施之一，关系到国计民生的重要行业，证券期货业务作为金融业的重要组成部分，市场规模已经达到了40余万亿元，证券经营机构已达131家，A股上市公司数超过3500家，目前在行业中有90%以上的证券交易业务是通过互联网开展的，对于网络安全依赖性非常高。
 

行业的年度信息安全风险评估报告揭示了行业面临的几大信息安全问题与风险，其中有信息系统、终端被恶意控制，如证券幽灵、勒索病毒等；关键基础设施遭受攻击，如DDoS、数据泄露等；重要业务系统长期潜在的攻击威胁，针对性攻击甚至APT攻击等；新技术应用可能带来的新攻击面、新风险，如云计算、大数据、移动互联网等。

 

列举一下行业近几年遭受的攻击，2016年证券幽灵案件，黑客利用木马，远程控制了多个基金公司及证券公司内网终端，搜索盗取敏感信息；2017年出现针对期货公司客户的批量探测密码事件；2017年5月12号出现利用永恒之蓝漏洞传播的勒索病毒，大面积感染国内能源、服务机构，这个事件发生在周末，没有对证券行业造成比较大的损失，但带来巨大的威胁。利用系统漏洞各类勒索病毒还在不断地传播、爆发，最近又出现了利用漏洞传播挖矿病毒的趋势。

 

2017年6月14号国内数家大型证券公司、基金公司收到比特币勒索邮件，并伴随15分钟左右的大流量的DDoS攻击，个别公司随后遭受了一周以上的60G流量攻击，严重危及业务安全。
 

还有近期发现的一些网络安全事件，比方说社交网站、招聘网站、公共邮件系统出现大批量的密码泄露之后，行业也受到了不少连带的撞库攻击。

 

正是因为面对这样日益严峻的形势，国家层面起了一个课题，各个行业各自建设关键信息基础设施的网络安全态势感知系统，证券行业也在其中。整体的系统建设规划中，有安全态势感知平台、仿真平台、应急指挥平台，还包括行业内部、行业之间的安全信息或威胁情报共享平台及机制。

 

不同于其他参与行业，证券没有覆盖行业的集团总公司架构，考虑选取有代表性的经营机构开展行业试点，以点带面示范推广。相对核心机构，经营机构用户的基数大、覆盖面广，在互联网上的应用也比较多。

 

整个方案的决思路是，从证券行业的角度出发，我们希望建设四个方面的内容，包括能力建设、标准规范、体制策略、合作机制，以点带面，试点示范推广。
 

能力建设主要包括：网络安全攻防对抗能力、网络安全监测预警能力、网络安全纵深防御能力、网安全应急处置与指挥能力。标准规范主要包括总体技术规范、行业监管、国家接口规范，行业机构间及跨行业的接口规范。体制策略主要就是安全的监测与预警，应急处置与指挥调度、情报共享与利用还有攻防演练与培训，合作机制包括证券交易所、期货公司、基金公司等机构间合作机制，国内优秀安全厂商及科研机构，跨行业安全专家小组等。

 

总体的建设目标，从大的方向来讲，第一个先要建立行业安全态势感知的标准体系，形式上可以灵活，技术白皮书、最佳实践或者推荐指南都可以；其次要建立安全风险态势的大数据分析和可视化展示平台；还有建立行业内、行业间、监管的空间情报共享，建立行之有效的应急指挥平台、体系。

 

从项目建设的方面看，仿真平台不管是作为技能培训、攻防演练平台，还是红蓝对抗的靶场，事件还原回溯跟踪、漏洞验证的实验室，都有相应成熟的产品技术，而应急指挥在不同的行业也有不少案例，要结合行业的特点来延申、落地。个人感觉难点主要在态势感知平台整体建设和安全信息共享上。

以下提到的点会比较散、杂，很难说是一个清晰的、科学的、合理的分类。主要是我们在做态势感知推进的时候想到的，或者关注的重点，想解决的痛点。我们归纳了几个关键字，分别是架构，资源，还有基础数据、情报、共享、覆盖面、机器学习与AI，最后一个安全可视化。

 

架构：已经有很多厂商依托SIEM、SOC、NGSOC提供了称作“态势感知”的产品，但总的来说，一还不是完全意义上的态势感知的平台，二与自身产品绑定太紧。我们希望基于开放的、松耦合的、动态可变的架构来搭建这样的平台，主要参考ASA和SOAPA两个概念。

 

这是G 自适应安全架构（ASA），前面有专家提到了，是基于四个领域，12个的安全措施来做分析预测，预防、检测，以及修正。

 

ESG出提的安全运作与分析平台架构（SOAPA），基于安全信息和事件管理系统（SIEM）的，它是一个开放的平台，动态变化的平台架构，整合了安全资产的管理，还有事故响应平台（IRP），也有基于网络流量的分析，还有恶意代码沙箱等等。

 

资源：利用现有资源，从我们公司的情况来看，一是已经建立了一个安全信息与事件的管理SIEM平台，收集了网络设备、安全设备、恶意代码防护系统的事件数据，还有人员离职、门禁系统及部分关键应用的登录事件及日志，一共收集了3个物理区域 8个安全域 ，合计21类，将近2900台的设备跟主机日志，我们基于这些数据源，开发了跨设备、跨产品的事件关联规则、定义了查询、报表、实现了预警、简单的外部IP、域名信誉判断，攻击事件发现等，实现了基础架构的安全监控，挖掘了一些安全的场景，具备了态势感知的一些基础功能；二是建立了一体化运维管理平台，利用大数据技术要收集、分析业务相关日志，实现基础监控和业务监控相结合的多维度监控 、基于大数据及复杂规则与策略的日志实时分析，主要是做业务性能的监控和分析。积累了大数据的技术、应用平台和经验。

 

基础数据：把基础数据提出来是因为我们发现在没有做好基础数据的收集、清洗和整理的情况下去看后面的事情是没有基础的，而其中流量采集是基础数据非常重要的一个环节。流量采集第一步是基础设施建设，建立一个在业务网、带外管理网之外的第三张网-流量采集网，实现关键区域的全流量，其他所有区域的流量全覆盖做netflow、ipfix等通讯摘要。流量数据主要被用于IDS、WAF、网络行为异常的分析，此外网络性能分析、资产发现、数据安全、云端的东西向也需要采集流量，在一些特殊情况下，流量可以弥补web服务器或应用不记录日志或日志要素不全的问题。
 

第二个是DNS，为什么把它单独拿出来，DNS安全本身也包含流量据采集的部分，但除了要做采集之外还涉及网络拓扑、架构上的调整。通过合理规划、集中管理DNS的架构、策略，可以阻断恶意域名、恶意DNS利用，可以收集DNS数据，分析挖掘，进而发现DNS隧道、DGA、C&C通讯以及数据泄露等风险。在市场上有几家公司利用DNS作为安全情报很重要的来源。

 

资产的发现与管理，主要是结合CMDB，通过被动侦听、主动扫描还有agent的采集做多方面的关联和验证，分为内部和互联网资产，包括IP、区域、所属系统、开放端口、应用、组件、服务器、数据库等属性。

 

举个例子，在做互联网资产的时候，利用nmap端口扫描，然后FW上IP映射关系，互联网接入区流量信息，然后nessus扫描结果，再做内部确认。

 

漏洞，做漏洞持续管理，把它跟资产以及补丁流程、事件流程做结合。

 

终端保护，除了传统的防病毒产品外，EDR提供端点检测与响应，开源的有osquery， 免费的有微软的sysmon， HIDS 开源的有OSSec 等。

 

对攻击方进行欺骗的技术近两年又重新提起来了，蜜罐、蜜网、蜜罐文件、蜜罐数据库，蜜罐除了提供入侵的预警之外，新的蜜罐技术还提供了对于入侵技术的收集分析。

 

沙盒，将未知代码放入虚拟环境运行，发现未知威胁和APT。
 

覆盖，其实除了解决数据来源之外，另外就是拓展边界，网站、VPN、包括wifi是常见的边界。对行业来说，一个大型的证券公司通常有数百家的分支机构，我们把感知的探针覆盖到分支机构，一是提供更多数据源，二是延申企业安全的边界。客户端，我们有大量的PC用户，有800多万移动终端，2000多万用户，基础的可以与威胁情报碰撞，做客户IP的沦陷判断，进阶的可以APP埋点，对行为模式、运行环境等多方面去的采集与分析。

 

威胁情报，有战术、战略，如何应用落地，如何生产，有很多专家研究过，不展开说，今天我们只谈威胁情报的标准，从国外威胁情报的发展上来说，比如美国，911之后通过政治推动、技术成熟、产品落地、企业认可的方式发展了一系列关于威胁情报的标准。

 

17年5月国家信安标委组织起草了《网络安全威胁信息表达模型》，现已进入征求意见阶段。标准从对象、方法、事件三方面建立描述体系，用8个核心组件（呈现表象、陷落指标、安全事件、战役活动、威胁源头、突破目标、攻击战术、处置动作）共同构建了威胁模型。用json 描述给出了威胁信息的表达模型、描述及传输方式，提出了威胁信息共享的方式，点对点、订阅、辐射。

 

在美国联邦政府标准NIST 800-150 Draft中提出了一些共享过程中需要注意的隐私问题，包括信息的敏感性，需要遵从谅解备忘录MOUs、保密协议NDAs或其他协议框架，同时需要遵从PII、SOX、PCI DSS、HIPPA、FISMA、GLBA等法律法规。要对交换信息进行标识，约定其使用范围。

 

US-CERT开发了Traffic Light Protocol （交通灯协议，简称TLP），也称红绿灯协议，以红黄绿白四色区分，其中红色是最严格的，仅限于参加本次活动会议的人分享，甚至不能在参与人所在的企业内部分享。黄色是只能在产生组织的内部共享，绿色表示该项目可以在外部共享，白色则可被广泛共享。
 

在行业现有的环境下，如何探索一些可行的共享机制，就算有威胁情报的标准出来了，怎么去共享，其实还是存在很多的问题，比如大家更偏向于做消费者，不愿意去做生产者，更不愿自曝其短。共享是采用社区方式、会员制、积分制，自愿还是强制，如何保护隐私，如何处理机密信息、如何控制范围。    

 

行业内讨论过,大家认为有一些短期比较可行的威胁情报共享内容，比如行业开发商的安全情报，包括它的软件漏洞，针对它的攻击事件，协议滥用等等。

 

另外一个就是行业常用的开源组件如Struts2、Apache等，可以通过行业预警漏洞信息，对经常出现漏洞的组件，可以列入观察名单或黑名单。

 

构建行业的pDNS，可以提供行业层面的部分感知能力，挖掘、分析DNS的大数据，帮助我们识别恶意站点并对抗钓鱼及恶意软件。

 

还有比较简单的就是一些攻击事件可以只提供工具源IP、协议、端口以及涉及应用等要素，去除敏感信息但不影响情报价值。

 

机器学习和人工智能前面有专家提到了，我们大致说一下目前人工智能、机器学习可能用来解决的问题：发现流量的异常、端口的异常和用户行为的异常，识别DGA，以及通过web日志，网页是否与其他网页有关联性，它的来源IP、时间、访问频率等发现WEBShell；还有把二进制代码转换成二维的图形,利用机器学习识别恶意代码，现在已经做到很好识别率和很低的误判率。

 

安全运营充满无数单调的任务，通过AI实现自动化可以提高事件分析、响应的效率，减轻人员的负担。

 

可视化，我们希望安全的可视化不是飞来飞去的地图炮，而是基于资产、基于应用，基于拓扑的事件感知和展示。基于流量、日志、时间序列、资产重要性、漏洞等去展示攻击路径。基于防火墙策略、ACL、路由、资产以及漏洞去展示点跟点之间、区域跟区域之间复杂的策略路径等等。
 

立足基础，充分利用现有资源，以开放、动态、可变的架构，结合威胁情报、ML、AI、自动化等新技术，循序渐进，以上是我们对证券态势感知的一点思考和探索，不足与片面之处请多指正。

 

谢谢大家。