运营效率提升10倍！某股份制银行安全运营自动化的探索之路

10月31日，秘鲁知名银行遭勒索攻击，超300万用户数据泄露；

8月，印度银行业发生了一起重大的勒索软件攻击事件，导致近300家小型银行陷入运营混乱；

7月，美国知名银行Evolve Bank遭数据泄露，760万人受影响

……

近年来，全球银行业屡次成为网络攻击者目标，折射出其面临的严峻形势。在我国，随着数字经济的高速发展，银行业务服务模式与技术架构正发生着深刻变革，保障银行数字业务系统的网络安全，对于维护金融安全、客户信息安全至关重要。因此，商业银行需要不断提高安全运营效率，以有效防范和应对各种内外部安全威胁，为业务的持续稳健发展保驾护航。

某股份制银行位于东南某发达省份，在包括港澳在内的全国各地设有100多家营业性机构网点，形成了“以内地为主体、以港澳为两翼”的战略布局。在飞速发展过程中，该银行高度重视网络安全防护，通过和奇安信等合作，基于“安全管理为指导，安全技术为支撑，安全运营为保障”的网络安全理念，构建了“一个中心、三道防线”的网络安全纵深防御体系和敏捷高效的网络安全运营体系。同时依托奇安信安全编排与自动化响应（SOAR）技术，实现了安全运营中，人员、流程和工具三大要素合一，逐步迈向安全运营自动化时代。

依赖人工为主的运营模式遭遇效率瓶颈

经过多年的安全建设，该银行安全设备相对比较齐全，并通过安全运营平台建设实现了日志和告警数据统一化处理，同时实现安全事件的闭环管理。在安全运营模式上，以工程师手动安全运营为主，辅以少量分析工具。

然而，随着攻防对抗的日益激烈，这种主要依赖人工的安全运营模式逐渐暴露出弊端，日益增多的安全告警、过长的响应时间、缺乏标准化的响应流程等等，制约着安全运营水平再进一步。具体难题表现在以下几个方面：

#01-事件响应时间过长

此前，该银行威胁分析与事件响应主要依靠工程师手动分析。在此过程中，往往会涉及大量告警、日志等，因此效率相对低下，导致从发现攻击到完成事件响应的时长过长，这对于事件响应非常不利。以勒索攻击为例，根据奇安信发布的《2023年中国企业勒索病毒攻击态势分析报告》显示，勒索攻击存在“黄金救援半小时”，一旦超过二十四小时，应急成功率就会低于四成。因此响应时长越长，网络攻击造成的危害往往也就越大。

#02-自动化程度有限

响应过程涉及到大量分散的设备和系统，要向不同的安全设备发起查询，联动不同的设备进行处置，在不同的设备和系统之间来回切换耗时费力。由于自动化工具缺乏，少量自动化脚本工具使用灵活性较差，还需要多平台之间频繁切换，手动操作极易引发错误。

#03-重复性基础工作繁琐

安全运营往往会涉及到大量低技术含量、重复性高却又不得不做的事情，如添加黑白名单、查看无效告警、日志检索等等，由于重复性响应和维护工作量较大，消耗精力较高，成果有限，导致有限的人员不得不投入大量精力进行重复的劳动，无法聚焦到真正有威胁的安全事件，也难以快速提升高阶实战攻防能力。

#04-缺乏标准化应急处置流程

以人工为核心的安全运营模式主要依赖安全运营工程师的经验，容易因为人为的因素产生不确定影响，如业务熟悉程度、攻防技战术水平甚至是健康和心情、人员变化、工作内容不熟悉等，导致事件响应时间不可控，事件处置完成程度不可控，甚至产生运营安全风险。另一方面，运维响应工程师的经验难以复制和传递，事件处置经验冗杂、散乱，缺乏体系化的积累和传承，不利于拉升整个公司安全运营水平基线。

综上，该银行相关负责人认为，当前安全运营工作面临一个深层次的挑战，即安全运营相关的人员、流程、工具之间的鸿沟。为贯彻行内安全运营的体系化、实战化、常态化的建设理念，需要使用可编排、自动化的方式，把现有工具、人员以及流程进行整合，通过编排将面向分散设备和系统的一系列操作串接起来，并根据不同的响应工作流程加以固化，使得响应的过程更加顺畅，也能够复制与传递。

基于奇安信SOAR实现“四化”目标

奇安信SOAR就是这样的产品技术，它可以将编排后的一系列操作自动或者半自动地执行起来，极大提升响应的速度。同时，将运维与响应人员的重复性工作借助自动化技术执行起来，使得他们将精力聚焦在真正的决策上，发挥出人的更高价值。同时通过构建编排与自动化系统来实现场景体系化梳理、流程标准化落地、安全能力归一化资源池建设，形成初步的自动化安全运营体系。

在参考大量实践案例，进行综合评估后，从2023年开始，该银行选择与奇安信达成合作，结合实际业务需求和现阶段网络安全建设特点，完成行内安全编排与自动化建设，包括但不限于：

告警研判自动化。SOAR应按照既定规则，定期主动从各类安全设备中拉取告警数据，自动或者半自动地执行告警分析与智能分诊，将安全运营人员从海量告警中解放出来，能够更加专注更高级别的威胁。

安全运维剧本化。基于剧本编排功能，将重复性高的安全运维工作固化成剧本，通过SOAR系统实现大量设备的安全运维工作，按照标准化的剧本执行。

响应处置闭环化。奇安信SOAR可将大量标准化应急处置动作固化成剧本，在完成告警分诊后，大量同类告警便根据已有的标准处置流程编自动完成处置，大幅缩短响应时间，提升响应效率，并且完成从告警分诊、分析研判、响应溯源到弱点加固的闭环流程。

事件管理知识化。将安全事件处理的案例保存并形成案例库，后续形成统一共享的知识库，可供他人按照以往的经验快速解决问题。

在项目实施中，双方共同解决了一个又一个难题，其中包括存储资源受限、集成现有的脚本工具、告警的责任人划分等等，最终，通过数据定期导出备份+弹性部署，SOAR系统内置脚本模块导入复用，范式化富化能力支持等，解决了哪些难题。

跨越运营鸿沟，效率提升10倍以上

经过约7个月的部署、安装、调试、定制开发与试运行的过程，奇安信协助该银行定制输出20个剧本场景，分为运维类、分析研判类和处置类剧本，对接14个系统或安全设备，聚焦一键封禁、终端中毒处置、情报聚合分析、漏洞修复跟踪、弱口令检查通知、一键巡检、阶梯化封禁等剧本流程，将客户日常运营提效平均10倍效率以上，详情如下表格。

奇安信SOAR通过自定义设计阶梯威胁评分模型进行动态封禁处置，将安全运营精细化展开，更加契合实际业务流程和安全运营逻辑，替代原来粗暴的应急处置逻辑，展现出了更加弹性的安全策略拓展能力。所有分析结果，都可通过定制数据接口输出到统一大屏进行汇总展示，并融入整体的安全运营环境进行工作成果展示。

在告警方面，奇安信SOAR可从安全设备中定期自动获取告警，实现告警解析、归并、去重、自动化响应，顺畅完成从监控平台获取数据，衔接响应处理流程，体现系统的灵活扩展能力，用最小的工作量自动化进行数据处理，将客户场景下的运营响应高效的驱动起来。同时通过多角色审批解决事件任意角色放行即通过的快速审批逻辑，加快审批环节推进。

在工具方面，通过系统工具集成，并结合剧本流程设计，将孤立的系统工具能力进行盘活和复用，并融入到场景中进行关联，实现快速调用。以资产信息库为例，往往事件响应都需要找到对应资产的责任人，才能将事件处置流转起来。奇安信SOAR通过系统集成对接和流程编排，将资产信息库作为一个开放资源来调用，任何需要的流程里都可以调用该资源对象，并可在流程里将上下文信息平滑承接传递。

在协同方面，将人工和应急事件通过消息框形式快速进行协同处置，调用剧本和集成系统进行协同处置，并将结果实时反馈至消息框，分享同步到协同成员。通过这种方式解决日常运维中信息交互不畅，不便作经验记录，以及分工合作的困境。同时通过机器人和自然语言将指令执行与自然语言关联，降低人员对系统详情的掌控要求。

结束语

截止目前，随着漏洞跟踪、弱口令跟踪、基线配置核查、漏洞扫描、一键设备巡检等剧本的落地，大量基础安全工作可以依托SOAR平台进行自动化运转。尤其是自动化响应（自动封禁攻击IP）功能，在攻防演习及实战中发挥了重要作用，帮助银行及时阻断了大量攻击行为。

网络安全研究机构SANS发布的《2024年SOC调查报告》指出，缺乏自动化和编排，是SOC面临的最大障碍。对比国外的SOAR实践，国内剧本的应用场景还有很大的提升空间。有专家表示，目前SOAR的价值还仅仅发挥出了30%的功力。SOAR厂商还需要与先进客户一起共同努力，开发更多实战化的应用场景和剧本，并推进生态和标准体系的构建。