陕西省联社：威胁情报驱动的数据安全主动防御平台 - 网安 - 专业的网络安全产业、社区、知识平台

“十四五”开局之年，陕西省联社以数字化转型为契机，切实履行保障客户信息安全的社会责任，加强数据安全整体态势感知，通过建设基于威胁情报驱动的数据安全主动防御平台，持续提升数据安全防护水平。微步在线参与了该平台的建设与实施。现该案例已入选第五届农村中小金融机构科技创新优秀案例的“信息安全优秀案例”并在金科创新社网站“案例库”中展示。

本文转自金科创新社案例库：http://www.fintechinchina.com/index/article/info.html?type=2&id=3651

项目背景及目标

伴随着全球范围的数字化浪潮，数据已经成为新一代核心生产要素，数据红利背后的数据安全形势日益严峻，数据泄漏、个人隐私窃取等安全事件呈现出突发的态势。在此背景下，国家相继颁布了《网络安全法》、《数据安全法》、《个人信息保护法》等重要法律法规，数据安全防护已提升到国家安全战略层面。银行机构作为关键基础设施单位，在经营活动中沉淀了大量个人客户信息、金融信息、交易信息，形成全社会可信度最高的一类数据，自然成为数据安全重点保护的行业。

陕西省联社积极落实国家数据保护法律法规，以自身数字化转型为契机，切实加强个人金融信息保护，持续推动数据安全技术防护体系建设，完成了传统数据安全防护系统建设，严守数据安全底线。但这些传统安全防护系统采用“竖井式”部署架构，侧重于基于网络边界的静态防御，此种策略能够应对传统黑客攻击，但无法防御新形势下的高级可持续攻击（APT），且不同防护设备之间的数据相对割裂，形成信息孤岛，只能获取局部的攻击信息，无法构建出完整的攻击链条，难以发现并追踪真实的攻击行为和攻击者身份。在新形势、新业态下急需建设一套覆盖全网，具备全面深度威胁检测、感知全网安全态势的防御系统，抵御APT攻击，降低金融数据泄露风险。

“十四五”开局之年，陕西省联社以数字化转型为契机，切实履行保障客户信息安全的社会责任，加强数据安全整体态势感知，通过建设基于威胁情报驱动的数据安全主动防御平台，持续提升数据安全防护水平。该平台将借助外部专业威胁情报信息，全面、及时、准确监测内外部威胁，降低网络攻击和数据泄露风险。结合异常规则、大数据、机器学习、威胁建模等先进检测技术，对承载金融敏感数据的网络进行检测，通过对攻击事件的聚合和关联分析，全面提升针对攻击威胁的检测、发现、分析、定位和溯源能力，从正常行为中发现未知威胁事件，利用情报线索预测未来可能发生的安全事件，从“被动式”向“预判主动式”转变，实现数据安全威胁的主动防御，构建适应新形势下的数据安全防护体系，提升数据安全和个人金融信息防护水平。

项目方案

基于威胁情报驱动的数据安全主动防御平台采取旁路流量镜像部署方式，集中采集全网关键流量和传统安全防护设备日志，实现省联社数据中心安全检测全覆盖。结合威胁情报信息，高效汇聚真实有效攻击数据，形成全网整体安全态势，采用旁路阻断技术，有效对发现的威胁进行封禁处置。

平台总体上划分为数据输入模块、数据标准化模块、威胁检测模块、数据展示模块和响应处置模块，架构如下：

图1 平台总体架构图

数据输入模块

包括流量数据、终端日志以及资产数据的接入。支持实时、全面地采集跨网络访问（南北向）和内网区域间访问（东西向）的双向流量；利用终端Agent采集接入终端的活动日志和可疑文件等；可通过Syslog、Kafka等方式接入各类网络、主机和安全设备日志，如DNS日志、HTTP/HTTPS访问日志、VPN登录日志等。

数据标准化模块

利用高性能协议解析引擎将接入的原始流量解析为结构化报文，通过范式化、数据抽取、字段解析和事件映射等技术将流量数据和日志数据深度解析成标准格式，在对资产数据进行内容丰富的同时，为进一步的威胁检测做准备。

威胁检测模块

主要包含本地实时监测、本地异步分析和云端检测三部分，运用威胁情报、机器学习、签名特征检测、异常检测、行为基线、数据回捞等技术，在发现实时攻击的基础上，实现对历史数据的关联分析和智能聚合。

数据展示模块

对资产发现情况和威胁识别情况进行全面展示，根据威胁类型和入侵程度展示失陷主机、攻击成功事件、针对性攻击、内网渗透、外部攻击和敏感数据泄漏等事件，并展示攻击过程链条。全面展示发现的业务资产情况，包括系统名称、域名、IP、开放端口与服务、API接口及其访问量等信息，以及后台暴露面、弱口令、撞库事件、敏感信息漏洞等风险。

响应处置模块

对高可信攻击IP和目标主机进行重点监控，根据历史流量数据中的攻击行为还原攻击者画像，为攻击回溯提供支撑；支持对海量数据日志进行快速检索查询，支持以Syslog、HTTP API等形式将日志输出至第三方系统；支持联动第三方防火墙或旁路阻断模块/设备进行自动化封禁阻断。

创新点

引入高可信威胁情报数据，提升网络攻击事件研判能力

1. 事前情报预警，提前防范

通过引入外部高质量情报，可提前发现针对银行业的情报信息（攻击者IP、特征、手法等）。将提前获取的攻击IP、域名、payload等情报提前加入到安全防护设备中，形成基于情报的事前预警机制，及时发现、分析、阻断攻击事件，做到“防患于未然，先人一步”，有效提升传统安全设备防御能力。

2. 事中对威胁事件关联分析，展示完整威胁攻击链

将传统防护设备的防护日志和自身流量检测能力相结合，利用威胁情报对海量日志告警进行验证过滤，对抽象告警信息进行上下文关联丰富，按照攻击者、攻击告警时间等特征对同一黑客团伙行为进行归类合并，形成攻击者完整攻击链条，运维人员可聚焦在真正的威胁上，降低安全运维压力。

3. 形成黑客攻击画像，协助事后取证与样本分析

利用沙箱等静态与动态分析技术，进一步分析提取样本的特征签名与网络行为等信息。结合威胁情报中的攻击者特征与资产内容，发现该攻击事件所属团伙以及背景信息，明确攻击者攻击资产、攻击工具、攻击手段、攻击特征等信息，形成攻击者“画像”，掌握攻击者心态、意图、手法，从而提升应急响应能力，做到“知己知彼”，弥补实战攻防中不对等的态势。

高效的威胁处置能力，集中阻断全网威胁

1. 采用旁路网络阻断技术，解决威胁处置的短板

利用TCP协议原理，在检测到威胁流量或事件时，以中间人身份，主动模拟发送重置连接数据包，中断攻击者与受威胁主机的网络连接。在不改变网络拓扑的情况下，对恶意连接进行了集中有效阻断，实现了覆盖全网的“分布式防火墙”功能，部署简单，实战效果好。

2. 联动第三方阻断类设备

对检测发现的恶意攻击IP、域名等信息，可自动同步给第三方阻断类设备，通过阻断类设备API或外部资源调用方式，联动第三方阻断类设备进行阻断。

IT资产梳理全覆盖，减少资产暴露面

1. 通过采集关键流量数据，并对流量进行识别，被动梳理出端口、服务、中间件、Web应用、域名等资产。特别是可梳理出应用系统开放的API接口，记录API调用信息，识别使用弱口令的接口，满足人民银行《商业银行应用程序接口安全管理规范》的安全运维管理要求。

2. 实时被动检测数据资产，检测数据调取情况，记录调取数据的IP、指纹等信息，对异常访问请求进行记录。实时监测网内文件传输内容，以全局视角查看内部传输、外部上传文件内容，有效抵御了内部数据泄露风险和外部上传木马风险。

3. 利用被动监听技术实现对外暴露后台和管理页面的实时监控，及时发现后台页面对外暴露风险，识别对后台页面的撞库行为，判断撞库是否成功。

技术实现特点

平台依托高可信威胁情报数据，通过分析网络流量、传统安全防护设备日志、终端日志等安全数据，利用高精准规则、威胁情报、异常行为、机器学习、行为基线等技术，研究并动态识别出网络中的资产、威胁及风险，发现持续针对性渗透攻击、撞库威胁、敏感数据窃取等事件，以及尚未掌握的新型攻击手段、APT、0-Day等未知威胁。通过提取攻击特征属性、完整还原攻击链条，对攻击渗透路径进行内部溯源，对攻击团伙特征进行画像，利用旁路阻断技术集中防御。构建集持续检测、深入分析、内外溯源、定位取证、隔离阻断为一体的主动防御体系。

☞ 全网威胁感知

在不改变现有网络结构的情况下，采集的全网镜像流量，实现对内外部攻击的精准识别，包括“外对内”、“内对内”、“内对外”等攻击行为。通过对全网流量的深度检测和对传统安全设备日志汇总分析，为安全运维人员提供“上帝视角”，将全网安全威胁和攻防态势输出到威胁态势图中，为安全运维人员全面掌控风险和决策提供数据支持。

☞ 攻击精准识别

聚焦于发现真正安全威胁，利用机器学习、异常分析、威胁建模、关联分析等技术与威胁情报能力相结合，实现对零散、局部的攻击告警信息的智能聚合。在大量告警日志中确认出针对性攻击事件，自动为攻击IP标注威胁特征标签，判断攻击事件是否成功，并可还原网络攻击链条。

☞ 资产全面梳理

“万物皆流量”，基于流量的资产识别能够明确现有IT资产使用情况，以流量视角发现IP、域名、端口、协议、服务、WEB站点、API等资产及其开放情况，并自动识别其关联关系。采用被动式流量进行资产识别，可实时掌握网内新增资产，特别是可以识别主动扫描类系统难以发现的API资产，有效弥补主动扫描类资产发现系统的不足。

☞ 攻击团伙画像

利用威胁情报数据与出入站流量、日志进行碰撞，对攻击者进行画像和手法分析。从攻击特征、活跃度、攻击手法、攻击目标系统等多个维度分析攻击行为，研判黑客的主要攻击目标和最终意图，实现对攻击团伙的聚类分析，例如通过攻击画像聚合隐藏在大量代理IP、秒拨IP伪装下的真实攻击者身份。通过对攻击者和攻击目标的汇总和画像，提前掌握黑客攻击目标，可以做到提布防。

☞ 失陷主机检测

通过多种手段发现失陷主机：一是利用高可信的C2地址、Webshell、特征文件等失陷指标(IOC)情报数据与网络流量、日志进行碰撞，可以识别存在反连行为的被控失陷主机；二是基于深度学习的DGA域名模型和DNS隧道通信模型进行检测，覆盖常见典型入侵控制手法；三是建立主动外联行为特征基线模型，实时检测心跳连接、不常见域名连接等异常行为，发现未知威胁。

项目过程管理

本项目于2021年2月启动，2021年8月正式投入运行，项目建设周期为7个月，项目主要经历了需求分析、功能测试、部署实施、正式上线、持续运营等5个阶段。项目具体建设过程如下：

需求分析阶段

时间周期：2021年2月
工作内容：主要进行前期预研，根据本单位网络安全现状完成需求分析与功能的确认，并对系统技术架构、部署模式进行研究。

功能测试阶段

时间周期：2021年3月至2021年4月
工作内容：根据前期预研形成的解决方案开展功能测试，验证平台各功能模块与实际需求的符合情况，并与传统WAF、IPS、SOC等安全设备效果进行对比，形成功能测试报告。

部署实施阶段

时间周期：2021年5月至2021年7月
工作内容：根据实际网络结构和平台部署模式形成实施方案，完成全网关键节点双向流量采集，并将部分传统防护设备日志进行收集汇总；完成平台的部署实施，配置检测防护策略，完善防护资产信息。

正式上线阶段

时间周期：2021年8月
工作内容：正式上线运行，对生产网络数据进行分析，优化资产梳理情况，总结安全威胁与攻击场景。协调开发和运维团队对平台中发现的业务系统脆弱性进行修复，根据发现的问题优化平台策略。

持续运营阶段

时间周期：2021年9月起

工作内容：上线后的持续运营阶段，将平台纳入常态化安全运营流程中。基于威胁感知、资产梳理等能力，持续向WAF、IPS等安全设备输出策略优化规则。定期向运维团队反馈新增的业务系统脆弱性以进行整改，逐步收敛暴露面，消除安全威胁，降低数据泄漏风险。

运营情况

平台自上线以来，共采集省联社3个数据中心网络的30余个关键网络节点，覆盖了全网主要业务流量数据。采集接入的网络流量峰值达14Gbps。上线后共发现外部攻击30万余次，通过关联聚合分析与智能判定，归纳出攻击事件1500件，其中具有针对性的攻击28起，尚未出现攻击成功的安全事件。

通过全网流量自动准确发现关键资产1300余个，识别主要开放端口近2000个，其中确认涉及对外开放的服务约240项，并自动形成了域名、IP、端口、服务、API接口、对外开放情况的关系图谱。

通过自主学习与异常分析，发现辖内法人机构190余台终端请求访问98个恶意DGA域名，部署终端取证Agent，对受感染终端上的恶意进程与程序进行了精确定位和与清除，弥补传统终端安全软件在此方面的不足。

项目成效

平台的建设实现了全网统一安全运营、提升了安全运营时效，解决了传统安全设备检测率低、处置不及时、关联分析不准确等问题，具体成效如下：

1）全网统一安全运营。只需一个安全管理中心即可实时掌握全网安全状态，从外部攻击、内网渗透、失陷破坏等多个维度展现了内外网攻击事件，对全网整体安全态势进行评估，帮助决策者快速感知全网安全等级，为日常安全运营以及重大安全决策提供支撑。

2）提升安全运营时效。改变了以往在大量告警日志中寻找可疑攻击线索的局面，消除了大量误报和无用日志的干扰。安全运维人员可以聚焦于针对性攻击事件，结合威胁情报信息以及直观的攻击特征、原始报文展示信息，做到快速判研事件状态并选择处置措施。极大的提升了事件处置效率，缩减了投入的人力和时间。

3）梳理关键资产信息。通过自动化构建资产信息，明晰了关键资产的开放情况和暴露面，厘清了关键业务的访问数据流，梳理了所有业务API接口。对资产存在的弱口令、撞库、敏感信息泄漏等风险进行有效监测。

4）协同联动处置响应。创新性采用旁路阻断技术、联动第三方阻断设备和终端Agent检测功能。在发现攻击行为或恶意链接访问后，可依据原本安排好的决策剧本，结合数据信息进行智能决策，自动阻断恶意网络连接，或联动终端Agent程序定位恶意进程，实现网络攻击事件的智能联动处置。

5）主动安全防御。引入了高质量的商业威胁情报数据，可以及时掌握国内外最新网络安全态势，并对本机构自身网络威胁态势进行精准研判分析。通过高准确度、高专业度、高更新率的情报服务能力，使得可以先人一步发现并阻断最新网络攻击威胁，实现新型网络攻击形势下的主动安全防御，防患于未然。

经验总结

威胁情报驱动的数据安全主动防御平台的建设创新性地引入威胁情报，推动了数据安全防护从被动向主动转变，提升了主动应对数据安全威胁的能力。平台运用了机器学习、大数据、异常检测、威胁建模、行为基线等多种技术进行攻击检测，构建了统一安全防护大脑，提升了持续检测、溯源取证、风险预警等安全能力，减少了网络攻击可能造成的数据泄露风险，为陕西省联社数字化转型筑牢了数据安全防线。该平台具备部署简单、覆盖面广、检测准确率高等特点，对中小银行机构数据安全防护具有一定的适用性，有利于中小型银行在新形势、新态势下，利用科技手段提升数据安全性，减少数据泄露造成的经济和声誉损失，为银行业务整体快速发展提供安全保障。

“十四五”期间，陕西省联社将抓住改革浪潮机遇，积极向数字化、服务化转型，加强数据安全治理，关注数据安全和个人信息保护，实现金融数据全生命周期的安全监测与防御，利用零信任、拟态防御、人工智能等新兴安全技术，完善数据安全技术防护体系，持续提升数据安全与个人网络安全防护能力，助力农村金融业务创新和快速发展。