绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

实用、高效——绿盟科技助力恒泰证券安全运营平台建设

2021-05-14

随着企业信息化的不断发展,企业数据资产日趋增多、系统的关联性和复杂度不断增强,信息安全防护工作面临前所未有的困难和挑战。

为了更好监控和保障信息系统安全稳定运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,恒泰证券通过部署绿盟智能安全运营平台,建立了一个全数据、集中管理的安全运营管理平台,做到事前预警、事中监控、事后分析,全面提升公司信息安全管理与防护水平。

一、绿盟智能安全运营平台

绿盟智能安全运营平台以大数据框架为基础,结合威胁情报系统,通过对攻防场景的机器学习、威胁建模、场景关联分析、异常行为分析以及安全编排自动化、可视化呈现等技术,助力建设和完善安全态势全面监控、安全威胁实时预警、资产及漏洞全生命周期管理、安全事故紧急响应的能力,并为安全运营提供可靠的信息数据支撑,协助运维人员快速发现和分析安全问题,且能通过运维手段实现安全闭环管理。

二、企业面临的痛点

恒泰证券希望通过建立一套由资产管理、威胁情报以及日志、流量分析系统为支撑的态势感知平台,将各单点防护设备(WAF、IPS、流量探针UTS)进行整合,实现公司信息系统整体的安全态势感知,及时发现并阻止正在进行或将要出现的来自内外部的信息安全问题,并在事件挖掘、调查时提供分析途径。

通过部署绿盟智能安全运营平台建设,利用大数据采集、分析技术,收集各种安全设备(IPS、WAF、UTS等)的数据,并将各类安全数据进行关联分析,再利用可视化技术,将各种攻击行为进行可视化展示,实现对系统安全的整体展示、态势感知、攻击事件溯源及对潜在威胁的预警功能。

三、立体安全威胁防御体系

3.1 管理层面

恒泰证券公司领导高度重视信息安全,建立健全信息安全防御体系。设立IT战略发展和治理委员会,承担公司信息安全工作领导小组工作。另设立信息安全联络联动机制,由公司系统运行总部信息安全部牵头,在各部门、各子公司设立信息安全联络专员,用于及时通报信息安全预警和事件。

3.2 技术层面

目前分别在呼和浩特机房和深圳机房部署UTS流量探针,收集全网流量信息,并上传至安全运营平台,对攻击进行分析、溯源、展示、研判、处置。

基于区域/资产的数据降噪措施

主要措施

• 结合用户业务进行事件规则调优,将误报量降低。

• 区域进行展示,快速将风险定位至内网有问题的区域。

• 重新定义事件标准,对高危事件进行外发;专注于高保真安全事件。

• 结合资产重要性及用途对关键事件进行二次筛选,发现真实攻击的事件。

• 集合内网区域边界的设备进行再筛选,可以发现突破边界的攻击。

通过上述措施,每日真正的高危告警数量可以收敛到5-6条,极大提高了运维效率。

业务系统及规则降噪调优

A、通过运维工作台发现攻击事件;

B、通过攻击详情展开查看流量上下文信息;

C、联系相关业务部门进行确认识别。

 按区域进行重点监控展示

A、将区域与设备进行绑定,以便生成每个区域的告警。

B、基于现网区域拓扑进行大屏展示,对网内所有区域安全情况进行展示。通过比对,可以快速了解某区域存在安全问题。

  大屏展示

事件级别定义与重点告警展示

A、自定义中高危及需要关注的事件级别

内部映射,将特别重大/重大映射为高;较大/一般映射为中;轻度与未知映射为低;同时在高中、低基础上,筛选出不同级别中用户需要关注的。

B、重点展示与告警

对中高危事件重点展示并进行邮件告警。

中高危展示

基于资产特性与告警进行整合筛选

A、定义重要资产类别

重要资产定义:如可以SSH登录,或者可获取高权限的资产。

B、基于资产视角的威胁定位

• 资产管理、威胁情报、事件分析结合提高了我们的分析处置、响应处置速度。

• 终端、服务器、应用的标识可快速定位到受害主机负责人、团队及其联系方式。

•  因此可快速定位是从哪个区域发起的攻击及攻击影响范围(因接入所有安全设备事件可集中搜索)。

基于内网区域边界设备进行筛选出实锤事件

基于内网安全设备IP,重点监控及快速查看突破内网进来的攻击,根据其监测设备告警特征对外网安全设备进行规则防护完善与自定义添加新规则,这些告警都是需要深入关注的。

四、实战案例

日常安全运营中,攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产、内网流量、日志等进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,能够做到积极主动且有预见性,更好地控制后果。

 

五、成果展示

智能安全运营平台的建设为恒泰证券信息安全取得了如下成果:

1、建立纵深化安全防御体系

通过智能安全运营整体解决方案的建设,实现对网络安全的分析研判、跟踪和分析,全面掌握网络安全态势、威胁、风险和隐患;实现实时监测漏洞、网络攻击情况;及时通报预警重大网络安全威胁;实时分析研判、准确安全监测、及时应急处置。经过多重纵深安全防护体系建设,能够实现安全区域边界、安全网络通信和安全计算环境三重防护,并建立安全管理中心,通过技术手段实现集中管理,系统管理、审计管理、安全管理。融合事前监测预警、事中实时防御、事后检测响应的全过程安全防护能力。满足《中华人民共和国网络安全法》以及证券行业相关主管部门对于信息系统安全防护建设要求的有关规定。

2、安全态势可视化展示

分区域直观展示当前面临的各种网络攻击,实现重点安全监控指标的展现,在出现高威胁攻击时可通过实时攻击地图进行展示,同时结合历史数据分析,展示数据中心安全态势及发展趋势,为运维处置人员作出预警及处置研判的决策依据。

3、攻击路径可视化提供决策支撑

利用攻击链模型和机器学习算法,结合威胁情报,及时通报预警重大网络安全威胁;提前感知攻击者的下一步攻击计划,提供决策数据,指导进行安全防御体系的敏捷调整、持续运营,使安全防御体系变得更有智慧。

4、安全防护/运维效果量化分析

利用平台资产管理能力,定义资产的安全价值。结合资产安全价值、资产威胁情况从资产视角及时发现重点攻击。

5、建立7*24小时全天候多方式安全监控告警体系

通过平台告警推送接口与恒泰证券信息技术中心集中告警平台的对接,提高安全告警的时效性,实现7*24小时的安全监控告警。告警信息通过企业微信、短信、邮件以及声音等多种方式向安全管理相关人员推送。其次,通过不断的对系统过滤规则调优提高每条告警的有效性,降低误报,为安全事件处置人员提供更具价值信息,有效提高事件处置效率。

六、规划展望

随着黑色产业链的萌生和壮大,日益频繁的APT等网络攻击,正在导致政企行业机密情报被窃取、工业系统被破坏、金融系统遭受经济损失,2014年曝光的专门针对我国海事部门的“海莲花”APT攻击事件、2015年乌克兰“电力门事件”、2016年沙特阿拉伯Shamoon2.0的攻击,2017年全球范围爆发的永恒之蓝漏洞攻击等,众多有针对性的安全事件,将未知威胁防御话题提到了空前的高度。恒泰证券将在全流量三期中通过绿盟智能安全运营平台与终端检测与响应系统对接,以端点检测与响应技术为核心,通过可信特征管理、综合行为检测、基线横向分析和安全沙箱等方式对用户的行为进行分析,有效发现已知和未知的威胁,提升防护精准度,降低企业终端安全风险。

<<上一篇

RSA创新沙盒盘点 | Cape Privacy——基于加密机器学习的多方数据协作与隐私保护方案

>>下一篇

珠海,我们来啦 |《数据安全与红蓝对抗》即将开课

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号