证通股份有限公司的态势感知项目：立足合规，打造适应性安全| 别人家的安全

证通资深安全工程师 黄凯

ThreatBook较真之作第二期，看看作为金融科技企业的证通股份有限公司（以下简称 “证通”） 如何理解网络安全？

“别人家的安全”是安全威胁情报（微信ID：ThreatBook）近期推出的一档专栏。

合规、管理、构建、应急……安全问题千千万，层出不穷。我们没办法给出这些问题的标准答案，但我们可以用Case Study的形式，让你看看——“别人家的安全”。

------

本期受访者资料：黄凯，8年安全从业经验，目前就职于证通股份有限公司，安全技术负责人，职责包括信息安全技术体系管理、安全监控系统运营、安全技术调研。

Q：作为金融科技企业的证通股份有限公司（以下简称 “证通”） 如何理解网络安全？

A：证通股份有限公司成立于2015年，是由国内多家证券机构、互联网企业和金融服务机构以市场化方式共同发起成立的金融综合服务企业，证通的团队来自银行、证券、互联网企业以及业内领军科技公司，其中核心科技人员占员工总数一半以上。实力雄厚的股东背景及团队优势，让证通有责任更有义务在面向金融行业的IT创新输出上有所作为。因此证通上至管理层、下至基层员工，大家对安全都非常重视，对新技术也保持着积极学习与探索的状态。证通安全架构是在满足合规要求基础上，结合新思想和新技术的“创新工场”。一方面是为了自身的安全能力的提升，毕竟网络安全发展到现在，单纯防御性的措施已经不如之前那么有效了；另一方面，我们也希望通过我们的技术革新，建立起成熟的与时俱进的安全体系架构，更好地为股东单位及行业机构服务。

现在证通安全团队的职责已覆盖安全合规、安全开发生命周期、安全运维、安全监控、安全技术调研等方面，是一支综合能力很强的团队。

Q：证通的整个安全体系是如何构建的？

A：证通的安全体系已经覆盖了安全技术管控、安全运营管控、安全策略制定等各个方面。以具体场景为例，我们有三张网：生产网、测试网和办公网。我们以生产网为重，对其管控力度也是三张网里最强的，生产网的安全设备部署与测试网、办公网隔离，并且从建设之初便着手全量的安全日志收集，实现第一时间的安全事件告警和响应。对测试网，我们配置了网络安全设备和日志收集系统；对办公网，我们配置了齐全的安全管控和检测手段，并定期对证通全体员工进行安全培训，重点防止敏感数据泄漏。

Q：适应性安全是安全圈现在很火爆的理念，态势感知系统是这个理念比较典型的实践品，证通启动态势感知项目的大致情况如何？

A：态势感知在2016年上半年的时候就已经是非常成型的概念了，我们也非常认可这个理念并自建了一套态势感知系统以满足自身安全需求。目前已经完成了一期建设，包括安全测试模块、自动阻断模块、蜜罐模块、智能漏洞验证模块等。做态势感知，首先要知道自己有什么资产，有什么风险，再结合外部的数据去防护。之所以强调外部数据是因为企业光靠自己收集的数据通常是不够的，而且数据分析成本很高，必须要有获得外部情报数据的途径。比如我们看到一个IP来扫描，我们怎么判断他大致是一个什么样的人，他到底是恶意地来扫描，准备进行攻击，还是说他只是一个“广撒网”的扫描，威胁情报可以让我们心里有底。

Q：那您觉得态势感知项目本身需要具备什么条件才能够有效？

A：态势感知项目要成功，我觉得主要有以下几个条件。第一是数据源要丰富，对数据的理解要足够充分，得知道现有的数据源到底是哪个系统产生的什么日志，从而进行解析和分析。日志解析和分析工作对人员的技术能力以及对数据理解的要求很高，对于正则表达式需要非常熟悉，还需要理解网络层、系统层、应用层、中间件、开发框架等多方面的数据，与相关团队的沟通成本也很高，是一个非常费时费力而不怎么能获得成就感的工作，但是把这些日志结构化是非常有用的，因为到后面可以做统计、呈现、数据关联，做好这些工作是先决条件。提高对数据的理解和数据的准确性，还要靠自己不断地在运行中总结经验，同时也需要依靠外部的数据源来做一些辅助，有时我们做告警就依赖于威胁情报，结合外部数据可以达到一个相对准确的效果，我们自己其实也有建自己的情报源，但是仅靠自己的数据不足以做出足够准确的判断。

其次是界面设计和交互设计要友好。一方面，操作人员要容易配置，能够保证数据多层面、多角度的呈现；另一方面是上层决策者的宏观感受要直观，一看就知道安全团队在做什么事情，阻拦了多少攻击事件，也就是让安全不仅是可视化的，而且是可量化的，这样才能直观体现出安全团队的价值。

第三是怎样建立数据模型，因为每天产生那么多数据，肯定得去建立相应的一些模型，以模型为基准去做数据的分析和呈现。有一些模型可能是简单的条件判断，有一些模型可能是通过机器学习实现，随着数据的增加逐渐成熟，等等。

Q：态势感知系统的效果是什么？

A：对于一线人员来说，态势感知打通了多个维度的数据，通过数据可视化让我们对威胁态势有直观了解，通过外部威胁情报协助我们进行决策，甚至自动阻断恶意请求，把我们从重复劳动中解放，从而可以聚焦在更高层面的工作。举个例子：在以前没有安全威胁情报做参考的时候，事件处置流程是这样的：发生告警以后有值班人员打电话给你，你打开电脑开始处理应急事件，登录系统后判断这个IP对我们公司的什么系统做了一些什么样的扫描或者攻击，再去看他的请求参数是什么样的，会不会对我们产生威胁。引入了威胁情报之后，我们就可以基于威胁情报先判断一下这个IP是来干嘛的，比方说一个扫描IP，在我们系统中触发了大量404响应，再对比相关的告警内容，就可以初步判定威胁性不大，此外由于我们的系统在上线前都经过了严格的安全测试，我们相信类似的扫描不会对我们形成威胁，所以这个告警就不用再去太关心了，这样就极大地降低了我们应急人员的工作压力。

从上层管理人员的角度来看，就像刚才说的，通过态势感知系统做到了安全态势的可视化和工作成效可量化。

Q：接下来准备怎样对态势感知系统做升级？

A：首先是增加数据源，做安全要在“知己”的路上走得更远，既然已经盘点了已有的资产信息，就可以基于这些资产去做一些更深入的工作，比如资产的系统、版本、中间件信息、开发框架信息等等，这些信息可以做一些关联，基于关联去做精确度更高的、更智能的安全威胁的态势感知；其次是工具化集成化，将态势感知系统打造成安全团队日常的工作平台，形成闭环，从而提升工作效率。此外，我们安全团队还可以与其他团队合作，让态势感知系统为运维和数据分析提供支持。

当前微步在线的威胁情报跟我们的SIEM系统结合得比较深，我们的生产网、办公网、测试网都有接入，在不同维度数据的整合方面还有很多工作要做。外部数据，包括威胁情报在内，也是需要逐渐完善，我们也想和微步在线进行更深入的合作，并乐意将我们的经验和技术与行业分享。