2023 年 6 月,中国证券业协会正式印发《证券公司网络和信息安全三年提升计划(2023-2025)》,明确提到持续加强网络安全态势感知和通报预警,促进证券行业网络和信息安全建设取得扎实成效。相关单位提出要求,证监会监管范围内的单位需要报送网络安全数据至行业网络和信息安全态势感知平台,参照行业网络和信息安全态势感知平台数据报送规范。
面对越来越严峻的安全态势,企业如何判断整体安全水位?提升智能化安全防护水平?腾讯安全运营资 深专家、SOC产品负责人齐恒结合证券行业安全态势的思考,分享腾讯安全SOC如何帮助各行各业提升安全运营能力。
Q1:近年来证券行业整体的安全建设发生了哪些变化?
齐恒:证券行业对网络安全的重视程度越来越高,主要体现在,一方面,组织架构逐步调整来应对日益严重的网络态势,例如组建网络安全攻击团队验证企业网络安全建设的水平;另一方面,企业安全投入也越来越大,不同的证券公司会根据收入和利润水平制定投入预算,这个投入每年最 高可以达到10%,这个值是相当高的。这两点能明显看到他们的网络安全防护水平是在上涨的。
此外,随着数字化的进程发展,整个网络安全态势越来越严峻。黑客工具的获取越来越容易,例如攻击勒索、挖矿、钓鱼等,这对网络安全态势带来很大影响。因为实施网络攻击变得更加容易,所以安全态势也会更加严峻。这就要求企业能够组建更加专业的团队去应对攻击带来的安全风险,而不同的证券公司、金融机构的安全建设水平参差不齐。
Q2:能否结合具体的攻击事件,谈谈证券企业受到了哪些影响?
齐恒:例如, 2021 年台 湾某大型券商遭到黑客攻击,导致股价暴跌,震动了整个金融界。从这点能看到网络安全攻击事件不仅会对企业财产造成损失,对口碑和声誉也有很大影响。近两年来证监会对整个证券行业的网络安全问题也越来越重视,国内上半年多家头部券商因网络安全事件被证监会通报。对发生网络安全事故的企业,也会对相应责任人,例如CIO、CSO级别进行双轨制通报。
Q3:我们如何看待证券行业安全运营体系的发展,对安全运营有否提出一些不同的需求点?
齐恒:今年我们的整体安全策略确实会重点考虑到企业的安全建设阶段和更适合驱动企业业务的安全部署。在我们看来,企业安全建设可以分为三个阶段:合规驱动阶段、攻防驱动阶段和自适应驱动也叫智能化阶段。
在合规驱动阶段,企业主要关注满足网络安全合规要求,如购买安全设备,如防火墙、IDS、IPS等,以保障网络的基本安全运行需要。
要让网络安全建设往下一个阶段进化,就要求我们能够做到日常化安全运营。日常化安全运营要求把分散的安全设备有机地组织起来,来提升安全运营效率。对日常攻击、突发攻击能做到快速的应急响应。
在智能化驱动阶段,我们发现AIGC等AI工具进一步提升安全防护难度,钓鱼攻击等常见攻击手段的容易程度也有了提升。例如之前可能需要专门针对某一个场景设计钓鱼剧本,但现在通过AIGC之类的工具,可以很容易生成面向某一类群体的攻击工具进行针对性地钓鱼,这就要求企业安全运营要从目前的攻防阶段往下一个更加智能化的阶段去转变。我们可以通过AI和大模型等高阶工具,从海量数据里进一步挖掘安全价值,驱动安全运营工作往更智能化、自动化的方向发展。
Q4:腾讯安全针对安全运营是如何思考企业部署的?产品或者技术上,我们有否一些具体的领先性?
齐恒:我们在最开始进入行业时,发现很多客户都反映了一个问题,就是公司在购买安全产品后,没有办法很好地用起来。我们一直思考,腾讯安全的产品怎么帮助客户真正地把产品用起来,更好地发挥安全运营的价值。所以我们不仅要做平台,我们更希望是教会客户怎么用这个平台,让很多没有安全知识积累的客户也能用好。
在这个产品理念下,我们的产品提出了聚焦于TDIR,也就是威胁的检测、分析、调查、响应整个威胁运营阶段来凸显产品价值。
在威胁检测层面,我们能够采集多种来源的安全日志,采完之后进行日志的标准化和范式化处理。输入到下一个阶段,我们提出基于ATT&CK的一整套攻防对抗框架,实现告警的有效降噪。在响应阶段,我们基于SOC运营体系,可以做快速的、有效的、全场景的、轻量化的响应,最终实现威胁事件告警的运营闭环。
Q5:刚才提到的企业自身阶段的安全部署策略,请问腾讯安全运营具体是怎么对应的?
齐恒:如前面提到,企业会有不同阶段和述求的安全部署要求。
首先是合规阶段,针对这部分客户,我们会快速部署安全运营平台,在安全运营常态化的阶段,针对合规的客户已经建设各类安全设备、产品,快速收集安全日志、进行规范化分析,然后做告警降噪、针对告警做调查和响应,实现安全运营闭环,从而使得客户能快速提升至攻防常态化的阶段。
当企业迈入智能化阶段,针对这部分客户,我们会通过安全湖产品提升客户对现有采集数据的分析效率。从攻击时效性来看,很多APT攻击的潜伏时间其实有 3 个月甚至 9 个月之久。针对这些高 级威胁如何做检测和防护,就需要对工具、平台做进一步升级。腾讯安全的安全湖可以针对这一部分客户场景,基于客户数据做更长时间,例如 9 个月甚至 1 年的数据分析,极大提升高 级威胁的检测时长和分析效率。
Q6:能否介绍下腾讯安全在证券行业比较好的客户实践?
齐恒:以腾讯安全正在服务的某头部大型券商客户为例,客户在使用安全运营产品过程中,能明显地看到该产品并不能满足日常的安全运营要求。这体现在两方面,第 一个是日志储存,日志采集和处理能力十分有限,还会有丢失数据的情况。第二块是客户需要针对新的安全场景和安全问题,能快速地进行场景建模和场景运营,但原来的安全平台并不能很好地满足客户对安全建设的需求。
所以我们引入了腾讯安全SOC产品。腾讯安全提出证券行业安全运营解决方案,腾讯安全运营中心(SOC)以云原生技术为基础,仓湖一体化大数据平台为底座,MITRE ATT&CK技战术框架为指导,结合腾讯领先的威胁情报能力、AI和可视化技术,聚焦TDIR(Threat Detection, Investigation and Response)威胁运营,打造智能化安全运营平台,提升企业安全运营效率,实现企业全 网安全态势可知、可见、可控的闭环。
Q7:在证券行业之外,其它行业是否也有这样的安全需求?腾讯安全能否满足他们的安全建设需求?
齐恒:不只在证券行业,在整个金融行业尤其是银行,我们也有很好的标杆案例来验证我们的产品价值。
银行也是近两年来受网络攻击困扰比较大的行业,他们的安全建设水位也很高。我们也提出了包括像UEBA AI的能力,进一步提升他们在内网威胁与违规等方向的威胁检测和识别能力,保险行业也是一样,我们的产品解决方案能更好地满足更广泛的行业需求。
同时随着数字化进程深入,很多央国企也在推进数字化转型,也面临同样的安全问题。我们的产品方案在金融行业打磨完成后,能很好地满足央国企客户的安全运营建设诉求。
Q8:未来,腾讯安全有哪些行业产品规划?
齐恒:随着越来越多的企业进到智能化安全运营的阶段,我们也在加强安全湖产品能力。
目前我们以该产品为底座,跟很多生态伙伴包括友商合作,在安全湖之上打造面向不同行业、不同应用场景的APP,来满足客户的安全需求。例如,面向海量数据挖掘的需求,我们在安全湖上面,构建了像NDR、 EDR、XDR的APP化场景,也结合腾讯优势的威胁情报能力构建威胁情报分析APP,然后也会结合生态内友商的安全产品、能力构建APP,促进安全生态越来越繁荣。