Skip to main content

数字化转型已成为证券行业未来发展的全新战略高地,依托人工智能、大数据等数字技术,券商不断丰富产品业态、提升交易效率、完善风险管理。但同时,随着业务数字化转型的提速,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。

近年来,证券公司信息安全风险事件频发,勒索软件、软件供应链攻击、APT攻击、钓鱼邮件等网络攻击手段呈逐年攀升态势。

在监管层面,国家已经出台十几部相关政策法规。今年以来,继中国证监会发布《证券期货业网络和信息安全管理办法》后,中证协印发了《证券公司网络和信息安全三年提升计划(2023—2025)》,证券行业信息安全迎来“强监管”时代,加强券商网络与信息系统的安全稳定运行保障体系建设迫在眉睫。

本篇案例中的客户企业为国内TOP5证券公司,自成立迄今已有近20年历史,经营范围涵盖证券承销与保荐、证券经纪、证券自营、证券资产管理等各类金融业务。企业长期以来一直注重数字化建设,持续加大科技资金投入和人才队伍建设,凭借在金融科技和数字化转型领域的创新实践屡屡获奖。同时在网络安全建设上,企业随着攻防态势的变化、技术趋势的变化持续升级安全防护手段。01

数字化转型

“身份安全”要先行

企业信息化体系当中涌现了大量的集权系统,其中终端集中管理和身份认证系统储存了大量的凭据,具有高权限与资源节点,成为入侵者眼中围绕着身份开展攻击的完美目标。

近年来,随着入侵者的攻击方式演变,集权系统面临的安全风险也愈发严重。在企业组织的一次内部攻防演练中,攻击方正是利用了集权系统的安全弱点成功攻陷了防守靶标。鉴于集权系统的重要性以及其自身架构的复杂性,需要从多方面考虑构建集权系统统一安全防护平台,有效帮助企业进行统一防护、统一管理、统一运维、统一监控

企业集权系统中接入了2000余用户,其中包含了部分僵尸账户,该问题是导致集权系统安全威胁的主要因素。按照等保要求,企业应该对长期不使用的僵尸账号进行禁用和删除。

安全基线是信息系统最基本的安全要求,鉴于集权系统中存在大量的用户和设备配置、证书模板、组策略、通信协议等,需采取相应的措施制定并检测当前安全基线。

针对集权系统的入侵攻击具备难检测、持续时间长、隐蔽性高、攻击目标明确、危害大等特征,传统的入侵检测手段及规则无法适应此类入侵攻击场景。

集权系统一旦发生入侵攻击事件,往往会对企业造成极其严重的影响。因此,能够采取及时、有效、自动化阻断措施至关重要。
02

“三步走”落地ITDR

打造“全面一体”集权系统防护体系

经过分析,网星安全决定结合ITDR(身份威胁检测和响应)技术,对企业集权系统进行安全加固管理,建设思路分三步走

第一步,从安全架构、运营体系、资产风险等多方面入手,对现有的安全体系开展全方位安全风险评估工作;

第二步,对于风险进行持续监控和闭环管理,同时建立完善的应急响应处置体系及管理流程,提高应急响应效率和质量;

第三步,由资深安全专家带队,以现场服务+远程支持的方式,持续提供安全运营支撑。

在此基础上,网星安全构建了集权系统统一安全防护平台,由应用接入、资产管理、威胁管理中心、自身安全性、数据外发五个部分组成。

集权系统统一安全防护平台架构1.应用接入:负责实现集权系统的接入,支持包括AD域、vCenter、Kubernetes、堡垒机、IAM等集权系统。2.资产管理:负责实现集权系统中资产管理、用户、用户组的自动化梳理,实现集权系统的资产“看得见”。
3.威胁管理中心:负责实现威胁的全生命周期管理,主要功能模块包括主动威胁检测、实时威胁监测、威胁阻断等。主动威胁监测包括基线合规检查、脆弱性检查、弱口令检查;实时威胁监测包括威胁事件检测、身份欺骗诱捕;威胁阻断负责实现威胁发生时的及时阻断。
4.自身安全性:负责实现平台的自身安全性,包括平台登录身份管理、传感器过载保护。
5.数据外发:负责实现平台的日志外发、告警外发,外发方式包括Email、即时通讯工具、SOC。03

守好安全合规生命线

高效驱动业务价值

部署集权系统统一安全防护平台后,客户在不改变员工工作习惯的情况下,能够统一纳管企业的集权系统,解决配置错误、资产与账号摸不清、漏洞不清晰、威胁看不见等问题。同时,通过建设完整、标准、可持续化的集权系统管理规范体系,保障集权系统层级满足安全合规要求。

具体而言,网星安全给客户带来以下几方面的价值:

权限管理更规范

根据公司、事业部、项目部等组织层级,以及不同管理岗位、不同业务范畴等实现对职责、用户的业务功能权限、数据权限的定义和管理。

威胁识别更规范

提供更全面的网络安全威胁识别和管理能力,包括资产管理、漏洞扫描、安全分析和报告等,帮助企业实时发现和解决安全漏洞和威胁,优化脆弱配置和发掘易受攻击的账户。

监测预防更实时

能够实时监控网络和系统,有效的以身份为视角发掘网络安全风险与异常行为,结合蜜罐技术捕获入侵者。用户可以在入侵发生之前及时采取措施,从而避免黑客攻击造成的安全事件和损失。

响应处置更智能

提供了自动化响应的能力,在发现高危风险后可执行自动处置,及时阻断安全风险,缩短处置时间,降低运维压力。