摘要：随着云计算、物联网、移动互联网、人工智能、大数据、区块链等技术的飞速发展，加之近年来黑客攻击、勒索软件、数据泄露等网络安全事件频发，网络攻击手段的不断演变和升级，给金融机构和广大客户带来了巨大损失，传统的被动防御方式已经难以应对日益复杂的网络安全威胁。在数字化

文 / 中国光大银行金融科技部 祝建华 王艺 杨天枭 王晓宇 赵静

随着云计算、物联网、移动互联网、人工智能、大数据、区块链等技术的飞速发展，加之近年来黑客攻击、勒索软件、数据泄露等网络安全事件频发，网络攻击手段的不断演变和升级，给金融机构和广大客户带来了巨大损失，传统的被动防御方式已经难以应对日益复杂的网络安全威胁。在数字化时代，信息安全运营与态势感知平台（以下简称安全大脑）的建设对于主动防御至关重要，能够改变传统防御体系被动应对的不利局面，能更早的发现威胁、更快的响应事件、从而达到降本增效的目标。

1.大数据技术是关键支撑或以大数据技术为基础。安全大脑拥有数据采集和处理的能力，大部分还带有探针如网络探针、服务器探针等用于获取网络流量数据和资产数据等，导致安全大脑需要处理的数据量非常庞大，因此应用大数据组件（如Hadoop生态技术）是构建强大技术底座支撑的首要条件，Hadoop生态能支持PB级数据，在系统稳定的前提下，才能发挥主动防御作用，保障安全运营。如可选择Flume、Logstash等作为多源数据采集工具，Flink作为流式数据处理，HDFS分布式文件系统存储和备份数据，Clickhouse、Doris、Presto等用于可视化威胁展示和分析，Elasticsearch、Opensearch等用于日志检索工具。值得注意的是，在安全大脑中存储和应用的数据基本都是经过标准化后的数据，一般需要经过数据清洗、元数据管理、打标、关联、富化、归一化等过程，以便于使用数据，同时也存在部分机器学习训练的数据为原始数据。

2.人工智能是创新先锋或以人工智能为智能引擎。随着人工智能、GPT大模型的兴起，人工智能技术在安全攻防领域的应用越来越广泛。人工智能技术一方面使得网络攻击变得更加容易，另一方面也在攻击决策、漏洞分析、威胁预测和识别等方面提升安全运营能力，人工智能技术的发展使得提前感知安全态势，抢占防御先机成为可能，日后也必将成为现实。例如，Sec-Palm2和Security Coplilot，可自动化提供安全事件的总结摘要，威胁背景以及威胁的具体建议处置威胁，大幅提升安全团队的工作效率。另外，使用GANs生成模拟数据可增强训练集，提高模型的泛化能力，同时也可模拟攻击场景以测试防御系统的有效性；NLP技术可以用于理解和分析文本数据，如政策文件、用户协议、用户请求内容等，以识别潜在的安全风险和合规性问题；用卷积神经网络（CNN）和循环神经网络（RNN）可用于识别复杂的网络攻击，提高入侵检测系统的准确性。

3.云计算是灵活的基石或以云技术为灵活平台。随着云计算的发展，应用系统上云已经成为一种普遍现象，但如何在安全领域应用“云计算”是一个谈论较少的话题。将安全设备如交换机、防火墙、IDS、IPS、WAF等安全设备资源组成安全资源池，可在一定程度上实现“安全云计算”。以防火墙配置策略为例，在传统网络中，各网络区域或子网之间使用防火墙进行隔离，如果两个隔离的网络区域之间需要访问，需要先申请工单，审批完成后在防火墙上配置允许的安全策略，甚至更改交换机配置，从而实现网络区域之间的通信。而在安全大脑中，可灵活调用安全资源池中的能力，抽取源目IP等策略配置信息，在工单审批完成后通过下发引流策略可更改交换机配置将两台服务器之间的流量引入到防火墙，同时再次调用安全资源池中的防火墙配置策略更新访问控制列表，从而在工单审批完成后自动完成实施工作，同时也可集中管理网络安全策略。在安全大脑安全运营中，对接入的各类数据，结合AI、大数据多维分析技术及人工研判，在发现存在安全事件时，也可第一时间通过安全资源池下发策略进行阻断隔离，而在同一个网络区域之间的东西向流量，可使用虚拟交换机或虚拟防火墙的ACL或UCL进行阻断。

1.威胁情报强化核心能力。威胁情报是安全大脑的重要组成部分，其在主动防御建设方面发挥着重要的作用。威胁情报可以帮助安全运营者了解攻击者的战术、技术和程序，从而制定更有效的安全措施来防御已知和未知的威胁。威胁情报可以主动搜索网络中可能存在的威胁，而不必等IDS或IPS等设备触发告警；威胁情报可以帮助安全运营者了解其安全架构或系统中的漏洞，从而采取预防措施，减少被攻击的风险；威胁情报还可以跟踪攻击者的行为模式，识别和追踪攻击者团伙；总体来说，威胁情报可以帮助安全运营者更快的识别和响应安全事件，缩短平均检测时间（MTTD）和平均响应时间（MTTR）。

2.智能化告警降噪引擎。目前各金融机构都会部署各种IDS设备，但IDS设备交叉部署过多一方面会导致产生海量的安全告警，这是由于IDS基本都是采取的是“宁可错杀，也不放过”的策略；另一方面各种IDS安全设备也不可避免的存在一些各自的检测死角，如隐蔽隧道攻击、加密流量攻击、改变攻击代码绕过检测、重放攻击和中间人攻击等。针对以上情况，一般可采取部署多样化的IDS设备，结合其他类型的安全设备，使用安全大脑补充检测能力三种解决措施。但第一种和第三种措施都会增加安全告警的数量，因此如何实现对海量告警的降噪成为一个亟需解决的问题。海量告警产生的根本原因主要为各个企业的系统在正常业务流量交互过程中由于一些自定义的因素不可避免地触发了IDS设备的检测规则，如因采购的产品开发不规范触发SQL注入、Web攻击、命令执行等攻击，这种不规范未必都存在安全风险，有些为内部使用系统，风险范围可接受，有些甚至只是规范问题，这部分的告警高达80%～90%，如果都进行改造则成本太高。将因内部可接受的风险产生的告警作为白样本，选取五元组、资产信息、Payload等特征参与训练，使用随机森林构造决策树形成分类模型，可过滤掉大部分的IDS告警，最后使用聚类算法，根据五元组、告警名称等自定义规则对告警进行合并，甚至可关联上下文、聚合源目IP等方式进一步压缩告警形成事件。在日常安全运营过程中，可根据实际情况随时添加新的样本。该模型同样适用于DNS域名检测、加密流量检测等场景。

在万物互联的趋势下，传统的网络边界越来越模糊，同时由于漏洞曝光的滞后性，传统的基于已知样本特征的防御对于0day漏洞的利用或改变的恶意软件无法有效检测，加之内网横向防御手段不足。使用蜜罐和威胁诱捕技术可以在一定程度上掌握主动。一个完整的攻击过程一般包括信息收集、扫描、验证方案、实施入侵、窃取数据或投放病毒等阶段。基于以上攻击过程，蜜罐是通过模拟易受攻击的系统或服务来吸引攻击者的注意，比如主动暴露高危端口或漏洞，以便在信息收集和扫描阶段欺骗攻击者，从而监控和跟踪入侵行为，识别攻击者的攻击手法，达到主动防御的目的。而威胁诱捕技术相较蜜罐更为主动，在识别到扫描或恶意行为时，主动将恶意流量牵引至威胁诱捕器搭建的虚拟环境，从而达到和蜜罐同样的目的，实现主动防御。

1.安全资源可编排。将各种安全资源的能力抽象化，如防火墙配置策略需要源目ip和目的端口、交换机的VLAN分配等，将这种安全能力编排化形成安全资源池，基于安全资源池可快速实施各类安全资源的调度，如网络访问关系的开通和阻断、重保等演练场景防御级别的切换、将流量牵引到IDS或IPS设备等等。一方面可统一管理安全策略，另一方面能提升安全运营的效率。

2.提升安全设备的检测能力。面向实际安全运营过程中发生的各种安全事件，逐一确认纵深防御的各个阶段的防御效果，验证各个安全设备的有效性，如一个攻击是否应该被防火墙、WAF、IPS等拦截，是否能被IDS等设备检测出来，如果有检测告警，各个设备是否能抛出告警，根据真实攻击，反向核验安全资源池的有效性，从而不断提升安全设备的检测能力，增强防御水平。

3.培养安全开发意识。根据应用系统的级别，明确应用系统保护规则，即需要由哪些安全设备保护，详细展示每个系统已配备的防护措施，从而发现遗漏或仍需建设的安全能力，并将应用系统触发的安全告警进行统计分析，构建开发安全知识库，涵盖不规范和可接受的威胁告警，从而提升开发者的安全开发意识，减少后续开发项目建设过程中产生的威胁告警数。

总的来说，安全大脑的主动防御建设是一个富有挑战且极其复杂的领域，不仅需要整合和分析海量的数据，具备高度的智能来预测和响应不断演变的威胁，同时也需要协同共享，甚至需要各类安全设备厂商的支持。同时，随着攻击手段的不断进化，安全大脑还需要不断的自我学习和适应，以保持其防御能力的有效性。此外，安全大脑的实施还需要跨学科、跨领域的合作，以及对法律法规的深入理解和遵守。因此，尽管安全的大脑的主动防御建设具有其独特的困难性，但它对于提升我们的整体安全防护能力，构建更加安全的网络环境至关重要。随着技术的不断进步和协作的深化，我们有信心克服这些挑战，实现更加智能、更加主动的安全防御体系。

来源：金融电子化