免费正能量不良网站推荐,电商网站的二级菜单怎么做,手机网站 设置,wordpress调用视频播放器随着商业银行业务的发展#xff0c;主机规模持续增长#xff0c;给安全团队运营工作带来极大挑战#xff0c;传统的运营手段已经无法适应业务规模的快速发展#xff0c;主要体现在主机资产数量多、类型复杂#xff0c;安全团队难以对全量资产进行及时有效的梳理、管理主机规模持续增长给安全团队运营工作带来极大挑战传统的运营手段已经无法适应业务规模的快速发展主要体现在主机资产数量多、类型复杂安全团队难以对全量资产进行及时有效的梳理、管理对主机的安全能力要求不同且主机安全能力不连续缺乏有效的统筹安全运营导致权限分散、安全运营困难。 某银行通过建设主机安全运营体系、实施主机安全运营标准、引入主机安全运营指标、围绕主机安全运营指标体系设计运营流程等一系列运营工作助力某银行数字化转型推动数字经济稳健发展。 一、某银行主机安全运营工作面临的挑战 某银行主机安全运营工作主要面临以下四方面的挑战。 1.主机资产难梳理、暴露面不明
由于前期对数据中心主机资产的动态梳理缺乏有效手段某银行对主机应用构成缺乏全面清晰的了解对主机暴露面缺乏有效评估部分主机资产的漏洞可能未及时得到修复所以主机存在被入侵和渗透的风险。 2.主机风险难以动态评估及形成闭环
随着业务的发展某银行各类主机资产不断增加资产的增加导致其脆弱性提升、风险暴露面增加出现服务器弱密码、可执行漏洞、不安全系统配置等高危风险安全团队运营工作在优先级评价、漏洞缓解、复查验证等环节面临巨大压力。 3.主机安全事件复杂、难处置
安全团队主机安全事件处置能力有待提升例如无法有效分析主机层面入侵告警事件、无法有效还原攻击链路及内网溯源等。同时各团队之间应急协作机制不够完备事件调查周期长、响应处置效率低等问题突出。 4.主机安全运营效果不明显
在进行主机安全运营体系建设实践前期无法直观清晰地展示安全建设与安全运营的成果。原始的主机层数据专业性强、异构问题突出信息系统之间的数据流动存在瓶颈问题导致安全体系化运营价值难以体现。同时各类安全产品未能高效联动导致安全能力未能有效发挥。 二、某银行主机安全运营体系建设思路 为应对主机安全面临的一系列挑战某银行积极参考同业安全优秀实践以“业安融合”理念为基础构筑主机安全运营能力打造了某银行主机安全运营体系如图1所示实现了安全管理标准化、安全赋能常态化、安全运营自动化、安全服务流程化。某银行主机安全运营体系建设思路如下。 图1 某银行主机安全运营体系逻辑架构 1.部署主机安全平台打通安全能力和数据通道
当前某银行主机安全平台已覆盖总行、分行的生产办公、开发测试等环境的主机通过系统镜像模板安装、定期差量对比推送等方式确保各类主机全覆盖部署。 在数据采集上主机安全平台采用轻量化AgentAgent探针可自动适配各类信创操作系统及非信创操作系统环境运行稳定、消耗低能够持续收集主机进程、端口、账号、应用配置等信息并实时监控主机进程、网络连接等行为。 在数据处理上主机安全平台采用业内主流大数据技术ETL(Extract-Transform-Load)ETL主要用于构建数据管道Data Pipeline。ETL采用“KafkaFlinklogstashMongoDBES”的技术架构承载的功能主要包括数据源接入、数据校验与清洗过滤、数据的映射与转换、数据分流与合流、数据聚合计算以及最终的数据持久化存储。 除此之外主机安全平台还具备主机资产数据每日清点、安全风险扫描检测、威胁行为实时监测等主机安全能力覆盖安全建设“最后一公里”。 2.指标和流程并举全面推进主机资产风险盘点和治理工作
通过调研安全团队设计了三级运营指标覆盖了资产运营、风险运营、威胁运营、主机基线运营四大运营领域。然后围绕三级运营指标体系梳理了安全监测流程、风险管理流程、策略配置流程、资产管理流程、基线管理流程五大工作流程以确保安全运营效果可量化、安全管理可落地、日常运营工作可持续。 3.对接内部其他安全信息系统将主机安全运营常态化
安全团队将主机资产指纹与行内现有CMDB和资产与漏洞管理平台进行API对接完善行内资产台账有效实现了资产及业务对象风险的自动化梳理按照不同的主机运营场景通过自动化响应编排技术将设备动作和人员操作固定为标准流程使运营工作常态化、运营结果可控、运营知识持续沉淀以减少现有行内安全人员日常重复工作量通过标准Syslog接口将主机告警数据发往大数据态势感知平台提升主机威胁情报收集、管理能力并在出现威胁告警时联动现有安全产品形成联防联控体系。 4.通过安全运营工具及外部专家赋能提高安全运营质量
主机安全平台是整个行内主机安全运营工作的中枢可集中展示各类安全运营指标、展现各项运营工作成果为安全管理工作提供决策建议同时依托外部专家赋能通过“专家工具流程”等方式提高安全团队运营工作的质量及运营能力。 三、某银行主机安全关键运营工作经验分享 某银行通过构建主机安全运营体系明确了安全运营工作思路厘定了管理制度梳理了运营流程明确了部门协作方式完成了安全赋能工作。在具体实践中某银行主要开展了五大关键运营工作保障了主机安全运营体系的有效落地。 1.设计运营指标实现运营工作可量化
某银行主机安全运营指标包含4项一级指标运营项、10项二级指标、35项三级指标如图2所示。通过三级指标设置可对整体运营工作进行评分并直观展示每一阶段安全运营工作的成果并为运营工作提供改进方向。 图2 某银行主机安全运营指标 2.核查主机资产做到心中有数
安全团队通过专业的主机资产测绘工具、结合人工梳理的方式对数据中心资产进行全面梳理充分识别和掌握核心、重要资产组件和服务级别的指纹信息并持续监控主机资产的变更情况。资产运营流程如图3所示。 图3 资产运营流程 3.进行主机动态脆弱性排查做好查漏补缺
安全团队使用主机脆弱性扫描工具对数据中心的资产进行系统和应用层漏洞的全量扫描和基线核查对发现的漏洞和不合规项进行自动验证建立脆弱性跟踪管理流程并持续提供修复指导直至形成整改闭环如图4所示。 图4 主机动态脆弱性排查 4.定期进行基线核查做好环境评估
主机基线核查可重点检查多余服务、多余账号、口令策略、访问范围与权限禁止存在默认口令和弱口令等配置情况并对业务系统风险进行及时评估。基础环境评估包括网络安全、数据库安全、主机安全、中间件安全、应用安全、安全管理等评估。 5.进行全面实时告警监测实现事件快速处置
安全团队通过对主机安全行为日志进行全面采集结合安全特征、威胁情报、行为模型学习等持续对主机异常操作行为、Web攻击、漏洞利用及病毒攻击等进行实时监测并向安全运营服务平台回传相关告警日志自动触发威胁响应处置流程如图5所示。 图5 主机实时告警监测与处置 四、某银行主机安全运营体系建设成效与未来展望 主机安全运营体系已在某银行落地了近一年时间实现了行内多个主机资产数据字段的整合对全行主机、应用及站点、应用账号等十几类主机安全资产进行全局采集建立了对单一应用系统的安全运营指标评分以及自动风险预警机制。 在运营支撑层面某银行实现日均万条原始告警数据的自动清洗、聚合、建模匹配以及资产关联噪声过滤收敛达到90%同时依托专业的安全服务人员赋能建立了一系列的行为告警模型、自定义高危风险场景、加白优化规则提高了主机安全的精准检测能力。此外通过自动化编排技术某银行针对多个安全场景建立了编排剧本重点提高主机安全事件的自动化处置能力在当前安全运营人力不足的情况下将MTTD、MTTR指标降低至小时级实现了运营工作的降本增效。 在日常安全运营管理层面安全团队通过运营指标、运营流程以及运营工具消除了不同团队间的安全信息差有效提高了安全运营能力推动了安全运营的数据化、智能化和规范化降低了安全运营工作落地成本探索出一条银行数字化安全运营的特色之路。 未来银行将围绕主机安全运营体系持续构建高级APT威胁检测能力提升安全实战化能力进一步加强运营流程自动化。同时为适应行内IT基础架构不断变化以及云化业务转型银行将构建主机安全运营体系的云原生安全运营能力从而为数字化转型保驾护航。
