苏州银行：自动化安全响应分析平台|信息安全|网络安全|自动化|苏州银行|运维

来源：2022第三届中小金融机构数智化转型优秀案例评选

获奖单位：苏州银行

荣获奖项：信息安全创新优秀案例奖

一、项目方案

苏州银行近年来持续从安全管理、终端安全、网络安全、数据安全等各方面优化信息安全建设路线，在各层级建立较完善的信息安全防护框架和技术体系。当前苏州银行处于数字化转型阶段，云计算、大数据、人工智能、移动通信等一系列技术先后取得重大突破，并逐步应用到各种金融业务场景中。数字化转型推动业务模式创新、提升服务效率的同时带来的数据化、开放化、智能化、融合化等特点，使风险的形态、路径和安全边界发生了变化，带来新的网络安全挑战。

基于实际网络安全需求和苏州银行信息科技三年规划，苏州银行建立应对数字化转型的网络安全运营体系，完整覆盖威胁管理的检测、研判、溯源和响应4个阶段。苏州银行建立安全创新实验室，研究、设计如何解决并提升网络安全运营工作中遇到的实际问题，通过自动或半自动的取证手段，对于与告警相关联的证据线索进行自动化分析、研判、响应，并将其工具化、平台化，基于SOAR技术建立自动化安全响应分析平台，实时数据的关联分析、对历史数据的关联检索，帮助安全运营自动闭环了研判和溯源这两大环节，从整体上提升网络安全运营效率，为数字化转型战略的顺利实施提供可靠的安全保障。

1.项目架构

自动化安全响应分析平台基于微服务架构，采用了前后端分离设计和业界成熟的VUE框架进行前台设计，确保平台的可用性、稳定性及良好的用户体验；基于大数据技术搭建，具备大数据采集、处理、存储和分析等基础能力，并具备一定开放性，支撑特定和个性化安全响应分析需求。技术架构分为数据采集、数据处理、数据存储、分析计算和可视化等共5层，各层之间无耦合，均通过标准化接口调用。重视对数据采集、处理，数据驱动、数据资产、数据交付。

2.项目实施建设

（1）基础系统平台能力建设

平台需要具备高冗余高性能的集群架构，安全的系统组件和底层配置，灵活的权限管理能力、详细的审计管理能力，多样化的报表定制能力、可视化定制能力。

（2）数据采集能力建设

平台具备完善的日志收集及范式化处理的能力，满足各类SIEM/SOC平台、安全设备、网络设备、操作系统和中间件的日志收集及处理。平台需内置威胁情报中心，实现安全威胁情报的获取，管理和使用。

（3）自动化应急响应能力建设

平台基于SOAR实现基于安全告警的自动/半自动取证、自动分析研判，针对安全事件的分析研判结果，可以联动现有工单平台，自动生成对应的告警工单，或者通过邮件等方式提醒通知运维人员进行处置。并实现安全设备的联动处置，自动下发处理指令给防火墙、EDR等设备进行安全封禁。

二、项目创新点

1.面向业务安全管理

建设业务建模工具，反映业务支撑系统的资产构成，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度分析业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

2.全面的数据采集

通过多种方式来收集设备和业务系统的日志、证据线索数据，例如 Syslog、SNMP、FTP、NETBIOS、ODBC/JDBC、WMI、Shell、PowerShell等。

3.从实战出发的调查取证和自动化处置

支持利用SOAR引擎提供的剧本能力实现自动化取证能力，并提供取证工具可线上或线下辅助安全运营人员完成取证工作，并通过系统系统的分析研判工作台完成证据链梳理，线索拓线、溯源分析，提升安全运营人员分析研判效率，并借助SOAR剧本引擎实现自动处置实现快速止损。将应急响应中告警分析研判周期由天级压缩至分钟级，将告警的响应处置周期由小时级压缩至秒级。全面提升安全运营的分析研判和处置响应效率。

4.全面的漏洞管理

平台漏洞扫描模块支持与其他安全厂商漏洞设备集成，实现实时高效联动，内置配置核查功能从技术和管理两个维度进行全面的资产和漏洞管控。

5.全面的威胁情报管理

系统支持通过API或人工方式维护外部威胁情报，并且支持通过内部的安全事件利用系统提供的调查取证、事件复盘功能生成内部威胁情报，并支持威胁情报的共享。系统支持基于威胁情报的预警分析、漏洞快速筛查、溯源分析等功能。

三、项目技术实现特点

1.大数据的安全分析挖掘

从可视化分析、数据挖掘算法、预测性分析等方面，对杂乱无章的数据，进行萃取、提炼和分析的过程。

（1）可视化分析

可视化分析，指借助图形化手段，清晰并有效传达与沟通信息的分析手段。主要应用于海量数据关联分析，即借助可视化数据分析平台，对分散异构数据进行关联分析，并做出完整分析图表的过程。具有简单明了、清晰直观、易于接受的特点。

（2）数据挖掘算法

数据挖掘算法，即通过创建数据挖掘模型，而对数据进行试探和计算的，数据分析手段。它是大数据分析的理论核心。

数据挖掘算法多种多样，且不同算法因基于不同的数据类型和格式，会呈现出不同的数据特点。但一般来讲，创建模型的过程却是相似的，即首先分析用户提供的数据，然后针对特定类型的模式和趋势进行查找，并用分析结果定义创建挖掘模型的最佳参数，并将这些参数应用于整个数据集，以提取可行模式和详细统计信息。

（3）预测性分析

预测性分析，是大数据分析最重要的应用领域之一，通过结合多种高级分析功能（特别统计分析、预测建模、数据挖掘、文本分析、实体分析、优化、实时评分、机器学习等），达到预测不确定事件的目的。预测类算法分为分析预测、回归预测和时序预测。数据挖掘的主流方法是神经网络方法，它是模拟生物的神经结构，是多层次、多因素的算法；它的特点是可以大规模并行处理、分布式处理，并拥有自学习能力。

分析结构化和非结构化数据中的趋势、模式和关系，并运用这些指标来预测将来事件，为采取措施提供依据。

2.基于攻击链分析的端到端威胁监测

将网络攻击链和ATT&CK安全攻防模型相结合，自主设计基于时间序列、行为、签名和统计分析的一种威胁分析框架和知识模型，能够有效覆盖网络攻击、信息泄露、违规操作、业务风险等信息安全领域风险，并通过可视化辅助人工分析深度挖掘APT等高级持续攻击风险事件。同时，利用精确日志数据字段内容、多标签告警抑制压缩及基于时间序列、资产关联和异常行为标签的相似度关联告警压缩的策略，有效压缩安全告警数量，聚焦安全运营分析处置。

3.基于资产动态等级的威胁风险评级

基于资产和攻击链威胁分级的双维度关联策略，实现安全威胁风险的动态和实时评级，有效解决了传统的安全告警静态定级、海量告警单一响应策略的痛点。通过对IT基础资产、告警日志、漏洞等资产脆弱性数据进行实时采集，再按照不同权重，对这些风险事件进行指标级计算，动态且量化的评估资产的安全状态。将资产安全指标与基于攻击链威胁等级的告警规则实时关联，最终实现了对于风险的分级、纵深管控。

4.基于流程编排的自适应响应处置

针对扫描攻击、漏洞利用场景实践通过流程编辑器实现跨分析平台、运维管理系统、网络设备等多异构平台间流程的编辑和资源编排，贯穿安全分析、封堵处置、事件报告全生命周期，有效提升人工跨专业设备的分析效率。通过自动化安全处置操作，缩短平均检测和响应时间，做到以分钟级为单位的全过程交付，实现对海量告警事件“可分析、主动防御”的转变，以及“流程重塑、风险控制、运营效率”三提升。

四、项目过程管理

1.基础建设和整合阶段

此阶段对自动化安全响应分析平台的研究方向进行深入讨论和设计，并结合苏州银行网络安全运营需求，整合网络安全防御体系的安全产品及平台，在网络安全运营的初始阶段发挥功效。在此阶段安全运营专家基于苏州银行网络安全运营需求，结合现有的安全产品及平台，梳理对应的网络安全应急响应剧本库。

2.完善与优化阶段

此阶段联合实验室结合日常安全运营工作中遇到的问题，完成应急响应剧本库、解决方案库、应急措施库的建设，并结合试运行的自动化安全响应分析平台不断的完善和优化其功能。

3.融合提升阶段

此阶段联合实验室将自动化安全响应分析平台推广到苏州银行集团子公司及其他企业单位使用，协助其安全运营团队在日常的应急响应工作中积累专家经验、提升工作效率。

五、运营情况

自动化安全响应分析平台核心价值是发现安全问题、验证问题、分析问题、响应处置、解决问题并迭代优化，持续降低安全风险。

当前已在苏州银行进行覆盖推广，联动统一日志平台和一体化运维管理平台，通过提供入侵事件检测与响应能力，构建基于SOAR的剧本引擎，建立反入侵知识库和资产库，使入侵检测时间从小时级压缩至分钟级，入侵检测处置效率提升一倍，有效提升安全运营能力。

六、项目成效

自动化安全响应分析平台是以安全为目标导向，统筹规划人（运营团队建设、人员能力提升等）、工具技术（安全基础设施建设、大数据集中分析、安全编排自动化与响应等）、运营管理（检测、预警、响应、恢复和反制，以及配套的运营流程和管理制度等），用于解决安全问题，实现最终安全目标的复杂安全保障体系。

1.建设专业的监测平台和中心

集监测、分析、响应、处置于一体，通过深度定制化安全监测平台，定期对信息安全进行综合安全评估和加固建议，形成从安全监测、安全分析、应急处置、整改加固的全流程安全处置闭环流程。目前已积累有效威胁情报2,098,552条，精细行业情报484,695条，实现每日处理近万条安全日志告警数据并自动化安全分析联动处置高危IP地址20余个；

2.培育强大的安全支撑团队

整合4级安全运营团队，包含基础安全监测分析人员、专业安全分析师、专项安全研究员、行业技术专家，实现分层级解决不同维度不同难度的安全问题，交付全程无忧的安全运营服务。安全运营平台能推动不同部门和职能的协作，目前已实现安全事件处置工单流程的正常运转。

3.实现安全能力私有化

有效进行安全运营团队、支撑平台、安全运营输出物（各类流程、各类资料等）等资源的积累，实现自有安全能力培育提升。

七、经验总结

自动化安全响应分析平台的建设可以切实提高中小银行信息安全的主动防御和动态防护能力。通过结合网络安全、应用安全、数据安全相关的设备与平台，采集告警数据、流量数据、日志数据及底层基础数据，基于SOAR剧本技术实现固化专家经验、避免人员能力断层、缩短应急响应时间、标准化安全运营流程，整体提升对网络安全告警事件的分析研判和处置响应效率，并结合告警事件数据进行攻击溯源、提升对潜在威胁的预警等能力。通过建立可度量的安全运营指标体系并结合ATT&CK威胁框架，持续提升中小银行网络安全运营能力。

更多金融科技案例和金融数据智能优秀解决方案，请登录数字金融创新知识服务平台-金科创新社官网案例库、选型库查看。