各行各业数字化转型进程不断推进,数据现在已经不仅是IT领域企业关注的焦点。新技术的发展带来了越来越庞大的数据量,数据也被当做企业重要资产看待。银行作为保有大量客户数据及资金的金融机构,信息安全方面一直是银行最关注的话题之一,在银行数字化转型的过程中,如何保障云安全对于银行来说是重中之重。
近期,《新金融世界》记者就银行在态势感知如何应用落地、如何可持续化的推进态势感知及银行安全领域需要注意哪些问题等问题,采访了某银行信息科技部门的相关负责人。
打破传统,建立新态势感知
态势感知对于银行业安全运维人员已不是一个新鲜的名词,早在2015年前后,金融领域里很多机构和供应商就已开始尝试进行安全数据分析和数据加工,逐步建立了安全运营中心,在此基础上进行与态势感知相关的实践。
银行领域传统的态势感知,从互联网入口方式看,在银行的入口处,最外面有负载均衡设备,有IPS、IDS相关设备,还有网页防篡改等设备,这些设备通过架构和配置连接,能起到数据安全防护的作用。该负责人表示,随着银行业务的发展,以及对安全要求的提升,目前,态势感知在银行的应用已经不仅局限于互联网区,在非互联网区也有所应用,例如银行与外部合作单位对接的外联区域,以及银企直联的区域,都或多或少的涉及到态势感知。
在信息技术高速发展的背景下,设备数量越来越多,相关配置也越来越复杂,经常会出现一些漏洞或者补丁,数量达到一定级别后,传统的信息安全管理技术体系已经不能满足金融机构对于信息安全的要求。对此,该负责人表示,大数据将革新网络安全。
银行信息安全风险管控主要有三大主题,分别是:外部防(APT)攻击、内部防数据泄露及保持业务连续性,这三大主题都可以通过安全态势感知实现。
据了解,该银行利用大数据技术进行日志收集,将收集的数据输入智能分析平台,利用威胁检测模型进行实时行为分析,利用攻击链追溯进行关联分析,并与外部威胁情报叠加,最终通过建立模型,实现数据分析可视化,让安全运维人员能够在特定场景中看见安全告警,从而有效、及时地处理安全事件。
该银行基于最新版ELK+Spark的框架进行开发和设计。对于为何使用此种框架,该负责人表示:“之所以使用ELK+Spark的框架,主要是因为ELK本身比较适用于处理数据流,以及可以实现实时呈现数据。用Spark框架的方式主要是因为,该体系内要进行大量计算,需要第一时间拉出数据,并能够将拉出的数据通过提前设定好的规则或机器学习模型呈现出来。”
态势感知场景分析是重点
银行在运用态势感知的时候最重要的是进行场景分析,如果场景不清晰,就很难在场景中做好数据处理,所以对场景的分析就等同于软件的开发需求。
在场景分析层面,银行场景要尽量具备中小银行普适性,并对场景分层。具体可分为:基础场景。通过简单规则匹配实现,使用于人机交互等基本场景;复杂场景。从中小银行实际应用出发,通过复杂关联分析实现应用场景;深度分析。从中小银行实际需求出发,通过数据挖掘、机器学习等手段,实现未知威胁检测等分析场景。
其中基础场景涵盖了终端、服务器、网络、应用、用户等基础信息的收集和整理;复杂场景涵盖了溯源分析、关联分析、Web检测、数据监视、非法入侵等分析与识别;深度分析场景则主要有DDos检测、未知威胁检测、异常攻击等比较复杂的场景,还会运用到一些新技术,去解决该场景下出现的问题。
数据是安全运维的核心
随着大数据、云计算等技术的发展,数据已经不仅是业务层面的核心竞争力,在银行等金融机构安全运维方面,数据也成为了银行整体业务能否持续稳定发展的重要抓手。
在银行安全运维领域,数据主要分为两块,一块是日志数据,另一块是流量数据。日志主要是通过Syslog进行采集,流量数据主要是通过相关流量采集设备进行采集。谈到数据采集关键所在,该负责人表示,首先是日志采集的通道需要稳定,金融机构要使用一些比较稳定的技术;其次数据采集通道要面向所有规格的数据;再次,无论是硬件采集器还是软件采集器,要能够实现对日志的压缩和排重功能。该负责人表示,采集需要有一个持续不断、稳定的系统,能持续提供数据到后续的日志加工处理系统中。
当数据进入日志加工处理系统后,因为安全日志涉及的设备和外部事件数量多,日志量庞大。如果不对数据进行适度匹配和加工的话,就相当于收集了一堆没有价值的数据。据该负责人介绍,该银行首先将数据上有维度缺失的进行补齐,通过不同渠道拥有的记录网络传输以及准确性筛选,筛选掉重复的数据后,进行统一标准格式。统一格式后,日志和事件还需要利用大数据分布式存储技术,实现数据的保密性和可靠性,利用大数据实时架构,保障数据实现可实时检索。最终,在数据理解和分析之前形成相应的标准格式,将数据以一个标准格式输入,基于该标准格式还有相关的事件流,对事件流进行分析,才能进一步实现挖掘数据的价值。
将数据标准化加工后,在一般场景中,通过规则引擎将数据依次呈现出标准方式,通过制定大量规则,检测场景能否满足需求。在复杂场景中,以机器学习的方式预测样本和趋势,并匹配到复杂场景中。
据该负责人介绍,该银行目前在机器学习方面,主要使用的模型是LDA模型,该模型可以实现利用日志分析进行关联分析,该负责人介绍:“某一个日志在前一台设备,通过日志分析能够判断出该日志的好坏,如果这个日志在后一台设备也出现了,我们可以将后一台设备的日志和前一台设备的日志关联起来,再进行一次判断,以此类推,如果该日志在几台设备中都出现了,就可以通过机器学习的方式认定这个流量或者日志在系统中是正常访问请求,还是异常攻击”。
据了解,该银行目前已经打造出一个态势感知的原型产品,并且将该产品顺利接入了人民银行的态势感知产品中。该负责人表示:“对接以后,人民银行返给我们的相关信息,也可以和我们之前获取的第三方情报信息再进行匹配,反过来作用于我们自身的系统,达到更好的效果。”
随着近几年进一步实践,该银行将未来信息安全管理的核心定义为,安全行为的数据分析。据了解,目前该银行信息科技部门也在朝着数据分析方向转型,该负责人表示,不仅是信息安全管理,整个运维管理,都应该朝着数据分析方向转型。同时,他认为,在银行运维及安全风险管控方面的自动化和智能化,都基于数据,银行需要建立一个中央级别,高质量的数据库,为其他系统提供基础数据和汇总数据。
银行在运维角度的数据处理和收集质量的提升刻不容缓,该负责人表示,在未来,银行对于运维和安全风险管控方面数据的重视程度,不应该低于业务部门在营销和运营的过程中使用的生产和业务数据,数据将重新定义安全。
