网络攻击防不住？看TOP5券商如何守住“集权系统”

数字化转型已成为证券行业未来发展的全新战略高地，依托人工智能、大数据等数字技术，券商不断丰富产品业态、提升交易效率、完善风险管理。但同时，随着业务数字化转型的提速，信息系统建设任务明显增加，上线变更操作较为频繁，行业网络和信息安全管理能力面临更大挑战。

近年来，证券公司信息安全风险事件频发，勒索软件、软件供应链攻击、APT攻击、钓鱼邮件等网络攻击手段呈逐年攀升态势。

在监管层面，国家已经出台十几部相关政策法规。今年以来，继中国证监会发布《证券期货业网络和信息安全管理办法》后，中证协印发了《证券公司网络和信息安全三年提升计划(2023—2025)》，证券行业信息安全迎来“强监管”时代，加强券商网络与信息系统的安全稳定运行保障体系建设迫在眉睫。

本篇案例中的客户企业为国内TOP5证券公司，自成立迄今已有近20年历史，经营范围涵盖证券承销与保荐、证券经纪、证券自营、证券资产管理等各类金融业务。企业长期以来一直注重数字化建设，持续加大科技资金投入和人才队伍建设，凭借在金融科技和数字化转型领域的创新实践屡屡获奖。同时在网络安全建设上，企业随着攻防态势的变化、技术趋势的变化持续升级安全防护手段。01

数字化转型

“身份安全”要先行

企业信息化体系当中涌现了大量的集权系统，其中终端集中管理和身份认证系统储存了大量的凭据，具有高权限与资源节点，成为入侵者眼中围绕着身份开展攻击的完美目标。

近年来，随着入侵者的攻击方式演变，集权系统面临的安全风险也愈发严重。在企业组织的一次内部攻防演练中，攻击方正是利用了集权系统的安全弱点成功攻陷了防守靶标。鉴于集权系统的重要性以及其自身架构的复杂性，需要从多方面考虑构建集权系统统一安全防护平台，有效帮助企业进行统一防护、统一管理、统一运维、统一监控。

企业集权系统中接入了2000余用户，其中包含了部分僵尸账户，该问题是导致集权系统安全威胁的主要因素。按照等保要求，企业应该对长期不使用的僵尸账号进行禁用和删除。

安全基线是信息系统最基本的安全要求，鉴于集权系统中存在大量的用户和设备配置、证书模板、组策略、通信协议等，需采取相应的措施制定并检测当前安全基线。

针对集权系统的入侵攻击具备难检测、持续时间长、隐蔽性高、攻击目标明确、危害大等特征，传统的入侵检测手段及规则无法适应此类入侵攻击场景。

集权系统一旦发生入侵攻击事件，往往会对企业造成极其严重的影响。因此，能够采取及时、有效、自动化阻断措施至关重要。
02

“三步走”落地ITDR

打造“全面一体”集权系统防护体系

经过分析，网星安全决定结合ITDR（身份威胁检测和响应）技术，对企业集权系统进行安全加固管理，建设思路分三步走：

第一步，从安全架构、运营体系、资产风险等多方面入手，对现有的安全体系开展全方位安全风险评估工作；

第二步，对于风险进行持续监控和闭环管理，同时建立完善的应急响应处置体系及管理流程，提高应急响应效率和质量；

第三步，由资深安全专家带队，以现场服务+远程支持的方式，持续提供安全运营支撑。

在此基础上，网星安全构建了集权系统统一安全防护平台，由应用接入、资产管理、威胁管理中心、自身安全性、数据外发五个部分组成。

集权系统统一安全防护平台架构1.应用接入：负责实现集权系统的接入，支持包括AD域、vCenter、Kubernetes、堡垒机、IAM等集权系统。2.资产管理：负责实现集权系统中资产管理、用户、用户组的自动化梳理，实现集权系统的资产“看得见”。
3.威胁管理中心：负责实现威胁的全生命周期管理，主要功能模块包括主动威胁检测、实时威胁监测、威胁阻断等。主动威胁监测包括基线合规检查、脆弱性检查、弱口令检查；实时威胁监测包括威胁事件检测、身份欺骗诱捕；威胁阻断负责实现威胁发生时的及时阻断。
4.自身安全性：负责实现平台的自身安全性，包括平台登录身份管理、传感器过载保护。
5.数据外发：负责实现平台的日志外发、告警外发，外发方式包括Email、即时通讯工具、SOC。03

守好安全合规生命线

高效驱动业务价值

部署集权系统统一安全防护平台后，客户在不改变员工工作习惯的情况下，能够统一纳管企业的集权系统，解决配置错误、资产与账号摸不清、漏洞不清晰、威胁看不见等问题。同时，通过建设完整、标准、可持续化的集权系统管理规范体系，保障集权系统层级满足安全合规要求。

具体而言，网星安全给客户带来以下几方面的价值：

权限管理更规范

根据公司、事业部、项目部等组织层级，以及不同管理岗位、不同业务范畴等实现对职责、用户的业务功能权限、数据权限的定义和管理。

威胁识别更规范

提供更全面的网络安全威胁识别和管理能力，包括资产管理、漏洞扫描、安全分析和报告等，帮助企业实时发现和解决安全漏洞和威胁，优化脆弱配置和发掘易受攻击的账户。

监测预防更实时

能够实时监控网络和系统，有效的以身份为视角发掘网络安全风险与异常行为，结合蜜罐技术捕获入侵者。用户可以在入侵发生之前及时采取措施，从而避免黑客攻击造成的安全事件和损失。

响应处置更智能

提供了自动化响应的能力，在发现高危风险后可执行自动处置，及时阻断安全风险，缩短处置时间，降低运维压力。