中信证券构建安全编排平台，深化自动化安全运营体系建设｜证券行业专刊2·安全村

一、前言

近些年，网络攻击态势呈现出高度复杂和多样化的特点。首先，网络攻击手段不断创新。随着黑客技术的快速发展，攻击手段不断升级，例如零日漏洞、APT攻击、恶意软件、僵尸网络等，这些都给证券行业带来了巨大的安全威胁。其次，网络攻击目标日益精准。针对证券行业的定向攻击、社会工程学攻击以及内部人员敏感数据泄露等安全事件频发，这些都对证券机构的业务和数据安全构成严重威胁。

经过安全团队多年深耕，中信证券已建立完成体系化、常态化和实战化的纵深防御体系，通过对全量安全设备日志、网络流量日志、操作系统日志、应用访问日志及账号审计日志等统一在安全分析平台实现关联分析并生成了大量安全事件告警，然而这些事件依然需要专业专职的安全运营人员进行分析研判并处置闭环。

二、构建自动化安全运营体系或为必然趋势

经统计，这种依靠人工的运营模式在闭环率及闭环时间等多项指标均难以满足公司日渐严峻的网络安全防护形势。因此，为了加快安全事件闭环效率并降低对运营监控人员的依赖，我司经过将近两年的研究、实践及试错最终建立完成了跨越全公司数十处机房，并全面覆盖从CDN到客户端的云网端一体化的公司级安全编排与自动化响应平台。

本安全编排与自动化运营平台（以下简称“SOAR平台”）由中信证券和长亭科技共同研发建设完成。建设目标是依托中信证券股份有限公司的安全大数据治理基础和纵深防御体系，构建灵活编排、高效响应的自动化安全运营体系。

三、构建SOAR平台需考虑的三大因素

安全响应作为安全工作的最后一环，在日常安全运营的过程中，我司主要发现有以下三个难点：

1、平台性能要求高

中信证券每日采集、泛化了包含各种网络和系统安全事件日志等在内的超过亿条日志，通过对这些日志进行分析聚合，实时发现安全威胁和异常行为。这些分析结果需要传递到SOAR平台进行处理和响应，以帮助安全运营团队快速识别和响应安全威胁。

安全事件日志量庞大，而且需要进行实时分析处置，因此对SOAR平台的数据消费和处理性能提出了很高的要求。经过调研发现，部分SOAR平台建设忽略了对数据处理能力的要求，在安全事件并发高峰期时易出现数据处理和分析的延迟，最终导致剧本或动作中止，影响整体安全运营团队对安全威胁的识别和响应效率。

2、风险研判逻辑复杂

我司安全团队在历年的攻防演练和应急响应中积累了丰富的经验，并形成了一套完整的风险研判、处置流程体系，能够通过该流程体系有效地处理各种安全事件和威胁。然而在实际流程中，很多环节仍是靠人工研判推动的，临场人工研判具有相对复杂的逻辑，而且容易受到个人经验和主观因素的影响，因此同一个经验、流程可能因个性化的逻辑出现差异。如何将复杂的研判逻辑形成标准化的触发条件，是经验、流程得以执行的重要条件。

只有通过不断沉淀经验和减少个性化的干预，提高安全事件的响应速度和准确性，从而保障安全运营团队的安全和稳定运行。

3、关键危害指标分散

我司安全组在日常安全运营中深刻发现，一些关键危害指标（IOC）通常分散在不同的安全设备上，这就需要安全运营人员使用多种不同的工具来获取不同类型和角度的安全指标和见解。特别是在高频攻击和值守虚弱期的应急响应过程中，时间紧、压力大，高层需要尽可能快地确认安全事件和威胁，但在分散的各类安全工具来回查询或添加策略，极大降低安全团队的响应效率。

四、构建SOAR平台需满足的四大设计要求

经过总体调研分析，我司制定了SOAR平台的系统总体架构（参见下图），同时基于上述难点，提出了以下的系统设计要求。

1、大数据性能设计

我司具有网络出口众多、业务涉及范围广且关联第三方机构较多等特点，平日会产生大量的、多类型的安全事件日志。SOAR平台需要对这些日志进行条件降噪，减少不必要的警报和误报，同时需要关联不同位置和类型的数据进行剧本触发。

在规划平台建设时，我司充分调研了Hadoop、Spark、Flink、kafka等大数据技术，平台需利用相对成熟的大数据基础架构，需要支持集群部署。大数据架构具有以下几个好处：一、可以存储、分发、计算时横跨多个并行服务器，从而提高平台的性能和可靠性；二、大数据的组件大多自带监控和扩容机制，性能和空间不足时可以快速弹性扩容；三、实测发现，在大规模同等数据写入情况下，数据库方案在读取IO会占用大量资源，CPU和内存都在80%以上，而大数据架构方案仅50%不到，有效提升了资源利用。通过这样的建设，可以有效地提高SOAR平台的性能和处理能力，降低性能不足导致意外中止或故障的风险，从而更好地满足我司安全需求。

2、分析可视化设计

为了提高安全业务的管理能力，该平台需要提供可配置的全流程管理功能。平台采用“日志-告警-事件”三级架构设计：SOAR平台接收日志后，结合资产、情报、漏洞等数据，采用聚合、交叉、关联、时序等分析手段，提炼告警，并针对不同告警设计不同的剧本，完成事件响应闭环。

分析得到高可信或高威胁的告警是自动化响应的前提。平台需要有丰富灵活的可视化分析工具，可以让安全运营人员综合多个安全设备、多个维度日志信息，根据不同的情况灵活地编排触发条件，形成告警，更好地进行威胁分析和处理。

值此Chatgpt大火之际，安全厂商的研究也如火如荼，智能化、可视化的分析工具将成为工程师的极大助力。安全厂商若能继续深入研究，提供面向自然语言的智能交互式分析能力，将进一步提升安全人员能力，更好地构建Usecase和场景规则。

3、联动开放性设计

为了满足安全处置设备等可能的持续迭代和更新，双方在该平台设计一个开放性的APP中心，以及一系列组件开发接口，以便可以对接可能更新的安全工具。这些工具可以是第三方提供的，也可以由我单位安全运营团队自行研发。

通过开放性的接口和APP中心，可以方便地将这些工具集成到平台中。这不仅可以扩展平台的功能和应用范围，还可以提高安全运营团队的安全响应能力和效率。通过不断更新和迭代，SOAR平台可以更好地满足安全运营团队的安全需求。

4、剧本设计与管理

同时，该SOAR平台需提供编排流程构建可视化界面，以便让运营人员可以经过多次设计及测试，验证输出结果是否符合预期。通过这种方式，运营人员可以更好地理解和掌握整个安全事件处置流程。除此之外，平台还需要支持将流程保存为草稿，方便后续继续编辑和完善，这样可以让安全运营团队更好地应对不断变化的安全威胁。通过这些流程的可视化和草稿保存功能，平台可以帮助安全运营团队更好地理解和处理安全事件，持续赋能公司安全治理体系，以更加智能、更加量化且直观的方式应对随时可能发生复杂变化的整体网络安全环境。

截至目前，我司在SOAR平台中已经建立了诸如恶意IP封禁剧本、堡垒机/VPN/零信任等设备账号爆破及自动封禁剧本、边界防护设备疑似误报剧本、云平台黄金镜像检测剧本等自动化处置剧本，以下将分享中信证券恶意IP封禁剧本。

五、恶意IP封禁剧本分享

1、剧本背景

由于历史问题和业务需要，证券行业普遍存在接入机房众多且分布在全国各地、大量业务上CDN以及随之导致的监控防守覆盖不全、原始攻击IP难以还原、CDN侧攻击传统手段无法阻断及海量告警难以即时处理等问题。

2、关键举措

我司经过多年的实战经验总结，制定了基于SOAR的自动化研判及处置体系，构建“基于CDN部署与多地机房条件下的恶意IP自动化研判及处置”剧本，极大的缓解了上述问题，在业内应存在一定的参考意义。该剧本具备下述特点：

① 7层源IP策略统一制定及获取

中信证券制定了全网标准的应用层IP字段，通过在CDN及应用安全交付网关统一配置，并修改所有安全设备源IP获取策略优先级，确保安全事件来源准确无误，为后续基于SOAR的自动化研判处置打下基础。

② 多级策略精细筛选

证券行业业务场景复杂，中信证券机构庞大且部分子公司分布在境外，同时与众多金融机构均有专线连接，这就对SOAR的编排策略提出了极高的要求，一旦误判后果不堪设想。

我司与长亭科技对公司业务流深度剖析，并通过大量的测试检验研判策略的命中有效性及准确率。该剧本的基础流程如下图所示：

基于CDN部署与多地机房条件下的自动化研判

③ 多点封禁杜绝后患

传统的仅基于防火墙的封禁已经不再适用于涉及大量CDN回源的应用场景，中信证券在公司级整体SOAR平台的过程中，综合考虑处置场景及需求，全面对接了机房网络出口设备、安全侧IP封禁设备及云端CDN封禁接口，基于安全事件种类，智能划分封禁时长、封禁地点及涉及封禁平台，并通过BAS有效性验证确保封禁的及时性及有效性，杜绝任何绕过自动化处置策略的可能。

3、剧本价值

该剧本强调基于情报IOC的判断，核心是在基于CDN部署与多地机房条件下，借助情报来判断远控、边界的安全事件，解决证券行业回源导致的信息差问题，同时也适用于以威胁情报为关键指标的安全场景。

我司深度挖掘来自服务厂商、同行业及上级监管单位在内的各类威胁情报数据，结合现体系事件告警内容，根据公司的业务属性特征，制定的该处置剧本，在大量减少临场人员干预的前提下显著提高了公司态势感知平台安全事件的闭环率，并实现告警从发现、响应到处置的秒级闭环，在各类攻防演练中充分检验了该剧本的有效性。例如在2022年某国家级攻防演练中，事后统计分析超过80%的安全事件均实现自动处置，极大减少了演练现场的人员工作量。

六、经验总结

安全编排与自动化运营平台得以落地，有赖于我司在长期运营过程中实践经验的积累，以及双方单位的紧密配合。目前，我司安全编排与自动化运营平台取得主要以下成效：

1、中信证券每日接入告警数据超过数十万条，核心场景的安全事件监控、分析到处置从原来0.5-1小时降低至不超过3分钟，部分高确信威胁IP从发现到封禁的耗时降低到不足2秒；

2、在2022年的某次国家级攻防演练中，经过上述工具的自动分析研判及处置，有效完成了演练期间的网络边界防护任务，事后统计超过80% 恶意IP的识别及处置均由剧本自动化完成。

3、证券行业普遍面临安全专业人员不足的窘境。在非演练时间段乃至夜间时SOAR平台同样能作为值守补充，提高公司安全事件监测和处置效率，规避现场人手不足或主观能动性不足的风险。

经过将近两年的建设和运营，我司充分验证了安全编排和自动化运营平台对公司整体安全运营治理体系的重要性。未来，我司愿发挥自身先锋实践作用，继续积极探索与分享安全自动化运营领域的相关工作，与各友邻单位携手共进，共同提升行业整体安全防护水平。

关于安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]