为了保障网络安全,九台农商银行部署了IPS/AV、WAF、ADS、防病毒网关、防火墙等多种传统网络安全设备,但运维人需要花费大量时间查看和确认各类告警信息、日志信息,不但浪费大量人力,也没办法做到告警信息的及时处理。针对传统安全运维方式存在的不足,迫切地需要一种能够打破安全数据孤岛的高效安全运营手段,对海量安全告警进行智能分析和研判,自动化处置安全事件,动态优化安全策略,构建智能安全运营体系,形成一体化的智能安全运营解决方案。SRE(Site Reliability Engineering,站点可靠工程师)是Google提出的维护可编程基础结构以满足服务可用性的解决方案,使ITIL/ITSM流程和DevOps保持和演变方面发挥着关键作用。在广泛汲取国内外同业成功经验的同时,结合自己资源状态,九台农商银行启动和实施了基于SRE的智能安全运维一体化平台项目。
智能安全运维一体化平台系统采用的是硬件与软件平台相结合的方式,共分成4个部分。第一部分通过交换机镜像配置,将全网流量拷贝到APT攻击预警平台;第二部分将网络设备与服务器日志发送到统一的日志服务器;第三部分AiLPHA大数据智能安全平台整合APT和日志服务器上的告警信息;第四部分自动化运维平台对告警信息做处理。系统架构如图1所示。
智能安全运维一体化平台系统针对各类级别的告警信息进行不同方式的处理,这些告警信息由两部分所组成。第一部分为全网流量中的告警信息;第二部分为各个网络设备及服务器的告警日志。
九台农商银行“基于SRE的智能安全运维一体化平台”项目的创新点包括:一是采用基于SRE的工程解决方案,面向系统架构、自动化、问题驱动等方式,持续改进体系结构和运维能力;二是使用大数据技术实现了对行内网络流量、资产告警日志的实时监控和分析;三是打破了安全数据孤岛,整合了行内各类网络安全告警信息并统一推送;四是实现了对特定类别的网络安全告警事件的自动化处理,极大的提高了运维工作效率,降低了人工成本。
通过对网络设备、安全设备、主机和应用系统日志做全面的标准化处理,及时有效地发现各种安全威胁、异常行为事件,为运维管理人员提供全局的视角,确保业务的不间断运营安全。
使用深度威胁检测技术,对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的能力。实现Web威胁深度检验测试、邮件威胁深度检验测试、病毒木马深度检验测试、0day攻击检测、异常行为分析等功能,提供更高级的安全保障。
数据采集模块以协议/接口采集为主,Agent收集为辅。针对不能通过协议采集或接口转发数据的必要采集对象,采用安装Agent的方式来进行数据采集,采集所得原始数据很大一部分是非结构化数据,系统提供了一个链式可插拔的数据ETL模块,以插件的形式实现各种原始日志的格式化流程。
基于大数据中心的数据,对用户做多元化的分析,建模和学习,构建在不同场景中的正常状态并形成基线。实时监测用户当前行为,通过已经构建的规则模型、统计模型、机器学习模型和无监督的聚类分析。能做到多维高效的威胁发现、智能态势感知研判、及时有效地发现用户、系统和设备存在的可疑行为,对正在发生的事件进行实时分析,及时有效地发现最可疑的安全威胁。
自动化应用程序采用Python语言开发,监控平台接口程序实时获取智能安全运营中心的网络安全告警事件,将告警信息推送至行内运维监控平台并以邮件或企业微信方式推送给运维人员,使值守和运维人员能够及时有效地发现网络安全告警事件;利用自动化运维技术开发联动阻断功能,发现紧急高危告警事件后,能够与FW、WAF、IPS等产品联动,且对于不一样的品牌的网络安全设备均可进行自动阻断、反馈阻断结果,实现对攻击者自动阻断的效果,全程无须人工干预,真正的完成从智能分析和研判到自动化处置安全事件,动态优化安全策略,形成一体化的智能安全运营。
“基于SRE的智能安全运维一体化平台”建设项目采用分阶段实施方式,主要经历了以下几个阶段:
2020年6月至2020年7月,主要完成了业务需求分析、业务功能和技术构架的高层设计。形成了现状需求分析报告、各功能模块的高层设计、技术构架和接口的高层设计等文档。
2020年7月,主要完成了系统详细设计工作,形成了该系统详细设计说明书等文档。
(3)编码、测试和平台上线月,完成了运维自动化开发的编码、平台基础环境准备工作,形成了平台上线方案、系统配置等文档。
(4)智能平台上线月,完成了APT攻击预警中心、安全大数据中心、智能安全运营中心三大功能模块实施工作,并根据上线运行的情况,结合运维场景提出了优化需求。
(5)自动化运维上线月,完成了自动化响应编排各功能模块上线。包括:平台告警接口开发,FW、WAF、IPS联动阻断功能上线。
2020年5月,九台农商银行真正开始启动了“基于SRE的智能安全运维一体化平台”项目建设,并于2020年9月至2021年1月顺利完成平台功能上线。上线以来,系统运行平稳,系统界面友好,平台采取实用美观的可视化系统从多重维度全方面展现安全态势,自动化编排稳定高效,达到了预期效果,尤其是在2021年度的多次护网行动和重保工作中起到了重大作用,包括:
平台将多维度的信息和多源数据来进行整合、关联、智能分析和预测,基于攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态等影响因子构建资产评级模型,基于海量安全告警分析在大量内网资产中识别失陷资产,把最关键的信息和最重要的威胁展现给运维人员。平台告警信息综合展现界面如图2所示,告警信息推送界面如图3所示。
平台采取实用直观的可视化系统从多重维度全方面展现安全态势,为运维人员研判安全事件、下达决策指令及保障网络安全提供有效的支撑。可视化大屏通过地图、热力图、柱形图、折线图、饼图、仪表盘等方式可以有明显效果地的展示出复杂数据中蕴含的最有价值的信息,从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多重维度可视化呈现安全态势。资产失陷态势感知、横向威胁态势感知、外部攻击态势感知分别如图4、图5、图6所示。
平台发现的网络安全告警,可结合运维人员长期积累的实践经验,通过定制开发的自动化程序处理特定场景下的告警信息,并将处理结果推送给运维人员,全程无须人工干预,代替运维人员对网络安全告警事件的记录、分析、处理,极大的提高了运维工作效率,减少了运维人员的重复工作。
构建一个稳定、高效、拓展性好的智能安全运维一体化管理平台,满足等保2.0中关于安全审计和集中管控的相关条例要求。能够结合安全专家红蓝对抗服务,组织网络安全实战演练,提高单位网络安全意识,增强安全防护能力,检验单位应急响应能力。
平台将多维度的信息和多源数据来进行整合、关联、智能分析和预测,基于攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态等影响因子构建资产评级模型,基于海量安全告警分析在大量内网资产中识别失陷资产,把最关键的信息和最重要的威胁展现给运维人员。
平台采取实用美观的可视化系统从多重维度全方面展现安全态势,为用户研判安全事件、下达决策指令及保障网络安全提供直观有效的支撑。可视化大屏通过地图、热力图、柱形图、折线图、饼图、仪表盘等方式可以有明显效果地的展示出复杂数据中蕴含的最有价值的信息,从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多重维度可视化呈现安全态势。
通过自动化程序调用智能安全运维一体化平台接口,将网络安全告警信息发送到企业微信及个人邮箱,实现告警信息的实时推送。结合运维人员长期积累的实践经验,对于特定场景下的告警信息,可通过自动化运维平成告警信息处理,并将处理结果推送给运维人员,全程无须人工干预,代替运维人员对网络安全告警事件的记录、分析、处理,相比由人来发起运维事件的被动、重复性高、效率低,易出错,自动化运维能够大幅度提高工作效率,降低人力成本和人为操作风险,让工作意义最大化。
随着传统网络技术的发展以及移动网络、物联网的广泛应用,面对大量的网络攻击,运维优先要保障的便是高可用,这也是自动化运维的重要目标。智能安全运维一体化平台能够在最短时间之内分析、预警、阻断,并且线小时业务保障。解决了传统人工运维的诸多痛点,如发现滞后导致赶往现场处理不及时等问题,降低系统宕机风险。
九台农商银行“基于SRE的智能安全运维一体化平台”项目是将信息安全、运维工作与大数据和自动化技术相结合的有益尝试,平台系统设计严格执行国家和行业的有关标准,结构设计和数据库设计合理,将管理、技术、人结合在一起,能自动分析并处置大量重复的安全事件,将安全管理人员从日常枯燥的安全运维工作中解放出来,大幅提供安全运维效率,具有灵活自定义的安全防护策略配置,结合安全专家服务,动态优化企业安全防护策略,保持高效实时的安全防护能力。
智能安全运维一体化平台系统自上线后运行稳定,帮助运维人员发现了部分安全设备没有拦截的告警,增加了相应防护手段。结合云端数据分析和安全专家赋能,已过滤10余种类型无效告警信息,辅助运维人员专注处理关键告警。平台实时推送告警信息,并自动拦截高危告警,截止目前已自动处理高危网络安全事件上百次。未来会继续结合行业安全运维工作经验,发掘更多的可自动化处理的场景,持续探索自动化运维技术。九台农商银行“基于SRE的智能安全运维一体化平台”建设的过程不仅仅是创新理念和先进的技术的应用,更是以精细化管理助推精益运维服务,与传统银行网络安全运维模式相比是一种质的飞跃。
