|
日前,人民银行科技司发文要求地方性银行业机构和非银行支付机构接入人行金融行业网络安全态势感知与信息共享平台。微步在线深度参与了人行的威胁情报共享和标准等相关工作,已帮助多地十余家银行客户完成接入,在此,我们将以这篇文章分享微步在线在该项目时积累的理论和实施经验。
(一)该平台对行业有何帮助? 所有银行和非银行支付机构将自身网络安全告警数据以规定格式上传到平台,人行以此进行信息提取和情报生产,最终再通过平台将高可信威胁情报统一分发给各金融机构,从而构建金融行业安全事件和威胁情报生产分发的自循环体系,帮助金融机构做到联防联控。 简单来说,安全告警数据和情报要在各金融机构中经历三个阶段:数据上传、情报下发、情报和其他安全设备联动。这意味着,该平台能够做到的不仅是安全告警数据的上传和下发,参与人行数据共享最大的价值和挑战都在于情报的持续运营和应用。 由于人行威胁信息共享平台的推进,可以预见到全国金融行业将跑步进入多源情报时代,因此,人行情报和用户原有情报如何统一管理合理应用、情报数据如何更好的辅助业务和安全分析等问题,都需要通过接入该平台得到进一步解决。 (二)金融机构自主推进 VS 通过微步TIP上报,有何区别? 金融机构自主推进该项目,要将所有需要上报的安全设备告警日志导出、汇总、按人行要求进行标准化处理(json格式与kafka对接)、将组织机构代码/世界各国和地区名称代码/行政区划代码/各类告警类型转换为《标准》中规范的名称、安排人员和时间开发对接系统、对接联调测试、最终实现上报,有一定开发工作量。此外,人行将生产的情报下发,和情报的运营和应用,都需要相应的软件开发和应用场景开发。 微步在线旗下本地威胁情报管理平台(TIP)可为金融机构提供一站式、自动化的人行态势感知和威胁信息共享平台接入模块,使用微步TIP接入,用户只需将安全设备告警日志以任何形式(一般为syslog)汇聚到TIP,TIP上报模块将对各类日志进行自动化接收、标准化处理,并对接到人行kafka,整个过程无须额外开发,开箱即用。微步在线同时已完成下发情报的开发工作,如后续人行下发情报,也可通过微步TIP直接对接。微步在线TIP客户使用上传功能无需额外费用。 (三)用户如何接入微步TIP平台? 用户可以通过配置安全设备将告警直接发送至TIP完成日志收集、规范化和与人行平台的对接过程。 微步TIP目前支持金融行业常见的防火墙、WAF、IDS、IPS、抗D、杀毒、APT等安全产品或设备告警日志格式解析,还可以通过界面快速识别新的格式。需要注意,目前人行仅要求上报7类安全事件,不限制安全设备或者态势感知平台品牌,例如病毒感染数据可以来源于任何一种防病毒软件,可直接从防病毒软件获取数据或防病毒软件日志接入态势感知后再输出后上报。 (四)微步TIP的部分细节优势 自动去重:人行并非要求所有七类告警都无差别上传,实际上建议做一定的去重,微步TIP会对一定时间范围内的重复告警进行自动去重; 自动规范分类:由于各种安全设备的告警描述信息不一致,例如SQL注入攻击可能被描述为“SQL注射”、“ASP注入”、“脚本注入”,微步TIP内置上千种安全设备告警描述特征字符,支持自动将各类描述转化成人行规范分类; 支持手动上报:为便于灵活操作,微步TIP提供手动上报页面,支持用户通过内置表格人工填写七种类型告警字段数据,手动触发上报功能; 支持多方共享:微步TIP支持将告警数据多方向发送给人行和其他指定地址,用于备份存档便于后续三方系统进一步分析。 (五)微步在线的成功案例 微步在线作为威胁情报领军企业,积累了丰富的威胁情报使用场景和经验。国内前十大银行中的八家,使用了微步威胁情报。 微步TIP作为多源情报管理平台具有5年历史,是国内首款威胁情报平台,产品成熟稳定。依托丰富的金融行业威胁情报管理、生产和分发经验,微步在线TIP产品已经帮助数十家前期接入的金融机构成功完成快速的“无痛”对接,案例数量领先。 |
- 关注天气:
