數(shù)字化轉(zhuǎn)型已成為證券行業(yè)未來發(fā)展的全新戰(zhàn)略高地，依托人工智能、大數(shù)據(jù)等數(shù)字技術，券商不斷豐富產(chǎn)品業(yè)態(tài)、提升交易效率、完善風險管理。但同時，隨著業(yè)務數(shù)字化轉(zhuǎn)型的提速，信息系統(tǒng)建設任務明顯增加，上線變更操作較為頻繁，行業(yè)網(wǎng)絡和信息安全管理能力面臨更大挑戰(zhàn)。

近年來，證券公司信息安全風險事件頻發(fā)，勒索軟件、軟件供應鏈攻擊、APT攻擊、釣魚郵件等網(wǎng)絡攻擊手段呈逐年攀升態(tài)勢。

在監(jiān)管層面，國家已經(jīng)出臺十幾部相關政策法規(guī)。今年以來，繼中國證監(jiān)會發(fā)布《證券期貨業(yè)網(wǎng)絡和信息安全管理辦法》后，中證協(xié)印發(fā)了《證券公司網(wǎng)絡和信息安全三年提升計劃(2023—2025)》，證券行業(yè)信息安全迎來“強監(jiān)管”時代，加強券商網(wǎng)絡與信息系統(tǒng)的安全穩(wěn)定運行保障體系建設迫在眉睫。

本篇案例中的客戶企業(yè)為國內(nèi)TOP5證券公司，自成立迄今已有近20年歷史，經(jīng)營范圍涵蓋證券承銷與保薦、證券經(jīng)紀、證券自營、證券資產(chǎn)管理等各類金融業(yè)務。企業(yè)長期以來一直注重數(shù)字化建設，持續(xù)加大科技資金投入和人才隊伍建設，憑借在金融科技和數(shù)字化轉(zhuǎn)型領域的創(chuàng)新實踐屢屢獲獎。同時在網(wǎng)絡安全建設上，企業(yè)隨著攻防態(tài)勢的變化、技術趨勢的變化持續(xù)升級安全防護手段。

數(shù)字化轉(zhuǎn)型，“身份安全”要先行

企業(yè)信息化體系當中涌現(xiàn)了大量的集權(quán)系統(tǒng)，其中終端集中管理和身份認證系統(tǒng)儲存了大量的憑據(jù)，具有高權(quán)限與資源節(jié)點，成為入侵者眼中圍繞著身份開展攻擊的完美目標。

近年來，隨著入侵者的攻擊方式演變，集權(quán)系統(tǒng)面臨的安全風險也愈發(fā)嚴重。在企業(yè)組織的一次內(nèi)部攻防演練中，攻擊方正是利用了集權(quán)系統(tǒng)的安全弱點成功攻陷了防守靶標。鑒于集權(quán)系統(tǒng)的重要性以及其自身架構(gòu)的復雜性，需要從多方面考慮構(gòu)建集權(quán)系統(tǒng)統(tǒng)一安全防護平臺，有效幫助企業(yè)進行統(tǒng)一防護、統(tǒng)一管理、統(tǒng)一運維、統(tǒng)一監(jiān)控。

1.賬戶需要專業(yè)的自動化梳理手段：企業(yè)集權(quán)系統(tǒng)中接入了2000余用戶，其中包含了部分僵尸賬戶，該問題是導致集權(quán)系統(tǒng)安全威脅的主要因素。按照等保要求，企業(yè)應該對長期不使用的僵尸賬號進行禁用和刪除。

2.信息系統(tǒng)需要嚴格的安全基線控制：安全基線是信息系統(tǒng)最基本的安全要求，鑒于集權(quán)系統(tǒng)中存在大量的用戶和設備配置、證書模板、組策略、通信協(xié)議等，需采取相應的措施制定并檢測當前安全基線。

3.需要改進傳統(tǒng)的入侵檢測方法：針對集權(quán)系統(tǒng)的入侵攻擊具備難檢測、持續(xù)時間長、隱蔽性高、攻擊目標明確、危害大等特征，傳統(tǒng)的入侵檢測手段及規(guī)則無法適應此類入侵攻擊場景。

4.需要及時、有效的自動化阻斷措施：集權(quán)系統(tǒng)一旦發(fā)生入侵攻擊事件，往往會對企業(yè)造成極其嚴重的影響。因此，能夠采取及時、有效、自動化阻斷措施至關重要。

“三步走”落地ITDR，打造“全面一體”集權(quán)系統(tǒng)防護體系

經(jīng)過分析，網(wǎng)星安全決定結(jié)合ITDR（身份威脅檢測和響應）技術，對企業(yè)集權(quán)系統(tǒng)進行安全加固管理，建設思路分三步走：

第一步，從安全架構(gòu)、運營體系、資產(chǎn)風險等多方面入手，對現(xiàn)有的安全體系開展全方位安全風險評估工作；

第二步，對于風險進行持續(xù)監(jiān)控和閉環(huán)管理，同時建立完善的應急響應處置體系及管理流程，提高應急響應效率和質(zhì)量；

第三步，由資深安全專家?guī)ш?，以現(xiàn)場服務+遠程支持的方式，持續(xù)提供安全運營支撐。

在此基礎上，網(wǎng)星安全構(gòu)建了集權(quán)系統(tǒng)統(tǒng)一安全防護平臺，由應用接入、資產(chǎn)管理、威脅管理中心、自身安全性、數(shù)據(jù)外發(fā)五個部分組成。

1.應用接入：負責實現(xiàn)集權(quán)系統(tǒng)的接入，支持包括AD域、vCenter、Kubernetes、堡壘機、IAM等集權(quán)系統(tǒng)。

2.資產(chǎn)管理：負責實現(xiàn)集權(quán)系統(tǒng)中資產(chǎn)管理、用戶、用戶組的自動化梳理，實現(xiàn)集權(quán)系統(tǒng)的資產(chǎn)“看得見”。

3.威脅管理中心：負責實現(xiàn)威脅的全生命周期管理，主要功能模塊包括主動威脅檢測、實時威脅監(jiān)測、威脅阻斷等。主動威脅監(jiān)測包括基線合規(guī)檢查、脆弱性檢查、弱口令檢查；實時威脅監(jiān)測包括威脅事件檢測、身份欺騙誘捕；威脅阻斷負責實現(xiàn)威脅發(fā)生時的及時阻斷。

4.自身安全性：負責實現(xiàn)平臺的自身安全性，包括平臺登錄身份管理、傳感器過載保護。

5.數(shù)據(jù)外發(fā)：負責實現(xiàn)平臺的日志外發(fā)、告警外發(fā)，外發(fā)方式包括Email、即時通訊工具、SOC。

守好安全合規(guī)生命線，高效驅(qū)動業(yè)務價值

部署集權(quán)系統(tǒng)統(tǒng)一安全防護平臺后，客戶在不改變員工工作習慣的情況下，能夠統(tǒng)一納管企業(yè)的集權(quán)系統(tǒng)，解決配置錯誤、資產(chǎn)與賬號摸不清、漏洞不清晰、威脅看不見等問題。同時，通過建設完整、標準、可持續(xù)化的集權(quán)系統(tǒng)管理規(guī)范體系，保障集權(quán)系統(tǒng)層級滿足安全合規(guī)要求。

具體而言，網(wǎng)星安全給客戶帶來以下幾方面的價值：

1.權(quán)限管理更規(guī)范

根據(jù)公司、事業(yè)部、項目部等組織層級，以及不同管理崗位、不同業(yè)務范疇等實現(xiàn)對職責、用戶的業(yè)務功能權(quán)限、數(shù)據(jù)權(quán)限的定義和管理。

2.威脅識別更規(guī)范

提供更全面的網(wǎng)絡安全威脅識別和管理能力，包括資產(chǎn)管理、漏洞掃描、安全分析和報告等，幫助企業(yè)實時發(fā)現(xiàn)和解決安全漏洞和威脅，優(yōu)化脆弱配置和發(fā)掘易受攻擊的賬戶。

3.監(jiān)測預防更實時

能夠?qū)崟r監(jiān)控網(wǎng)絡和系統(tǒng)，有效的以身份為視角發(fā)掘網(wǎng)絡安全風險與異常行為，結(jié)合蜜罐技術捕獲入侵者。用戶可以在入侵發(fā)生之前及時采取措施，從而避免黑客攻擊造成的安全事件和損失。

4.響應處置更智能

提供了自動化響應的能力，在發(fā)現(xiàn)高危風險后可執(zhí)行自動處置，及時阻斷安全風險，縮短處置時間，降低運維壓力。