此篇文章发布距今已超过515天,您需要注意文章的内容或图片是否可用!
当员工数达到8万以上,普通终端、金融机具、瘦终端、外网终端、外围设备等各类终端数量达到三十万以上时,终端的复杂性会成指数上升,极易产生因单个终端安全管控软件失效、检测规则更新不及时或操作系统配置基线失效等原因而造成黑客入侵、终端本地被控等情况,极易引发数据泄露等安全风险,进而以终端作为攻击第一落脚点,打破已建成的纵深防御安全体系。同时安全人员和桌面运维人员本身人员不足,在进行异常/不安全终端设备定位时,无法快速有效的定位或掌握终端信息,更无法快速现场进行处置。基于以上痛点,探索并实践以终端资产画像的精准化构建、终端异常行为的自动化识别、终端安全态势的全景式监测、终端安全预警的高效化响应四步技战法,使得每一层都能在前一层控制失效或漏洞被利用时实现精准“补位”,从而达到终端智能化管控的效果。
终端安全作为行内安全建设的最后一道防线,为快速有效的实现基于终端的安全合规风险监测和分析,化被动为主动,深入发现内部的安全管控问题,持续有效地对终端风险提供实时告警和快速响应手段。以科技创新为核心驱动力,以问题为导向,依靠自身科技力量自主研发了终端安全数字化管控平台,综合运用大数据分析技术,通过自动识别所有入网的终端设备实现全行终端全景式精准数字画像。
(一)终端资产画像的精准化构建
终端资产画像,根据终端设备的基本信息和行为数据等在不同维度抽象出能够反映终端类型特征的标签。我行通过自动化采集终端安全管控软件信息、网络及流量相关的各类终端数据,能够实现精准收集单台终端设备的基础信息、操作系统信息、硬件相关信息、网络数据信息、安全客户端的信息、BIOS信息、软件的安装信息、补丁信息、资源使用情况,通过对以上数据的关联,建立终端全景数字画像,能够动态有效的掌握总、分行多维度终端信息。(二)终端异常行为的自动化识别
在对终端资产有了较为清晰和深入的掌握后,安全人员还需要对终端层面的各类异常情况有所了解,以达到“知己知彼”的效果。首先,对于相关终端数据进行分类分析,按照终端属性计算分类,利用行内自研的智能算法将所有终端设备分为普通终端、特殊终端、金融机具、瘦终端、外网终端、外围设备等类型。其次,根据终端分类属性构建不同分类设备的异常行为检测模型。我行针对不同分类的终端,按照已知的检测规则和无监督学习的智能行为识别算法自学习匹配对应的安全规则和策略,覆盖安全管控客户端策略、软件黑名单检测、终端设备操作系统策略(如BIOS密码设置等)、安全准入策略、防病毒策略、域控策略、非法外联行为等全维度行为模型构建,实现终端设备的规范化、标准化管控。(三)终端安全态势的全景式监测
无论是何种终端安全威胁,攻击者最终目标是在终端侧执行命令获取其想要的权限或者数据信息。基于以上特点,安全防护策略的有效性监测必不可少,防守方围绕攻击战法展开攻防博弈,依托上一阶段创建的终端异常行为模型,实时监控所有终端的安全态势,通过智能化管控平台实时告警,以纳入常态化的安全运营体系,及时发现终端入网策略存在的安全策略不一致的问题,有效侦测出终端的潜在风险。为了达成针对终端威胁能够进行有效处置,建立了终端安全事件协同通报整改机制。针对智能化管控平台每天实时检测出的终端异常项,能够第一时间发现终端的安全威胁,并通过手机微信程序派发实时整改工单,协同桌面人员进行现场整改修复,修复后可在手机端实时同步并检测异常是否已修复成功。由此实现终端安全事件的协同通报处置,提升终端安全运营的执行效率,形成闭环管理。将上述步骤应用到每个终端,则得到全行终端设备的整体威胁态势,针对终端威胁能够及时联动处置,确保终端安全合规可控。
通过建立智能化的终端管控体系,能够行之有效地预警全行三十万终端实时面临的安全风险,尽最大可能去掌握终端层面攻防对抗的主动权。同时在我行的日常终端管理和内部攻防演习中,上述策略为终端安全风险的监测预警及时发挥了作用,能够准确、实时的对异常终端和行为实现报警,为后续的应急处置提供准确的信息依据,及时有效的处置安全事件。后续将会持续完善以上终端资产画像标签的全面性,补充终端的异常行为预设模型及规则,重点对监测报警的误报情况进行降噪以降低人力资源消耗。通过统一的终端管控策略及时发现入网终端存在的安全策略的问题,能够高效提升我行终端设备安全防护态势,达成终端管控效率并降低终端管控成本,实现可见、可控、可量化的目标。
大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结,内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com
还没有评论,来说两句吧...