客户需求:已经建立了比较完善的网络安全防御体系,但由于传统静态特征码(规则)匹配技术的滞后性,很难发现、分析和追踪APT攻击,所以希望通过态势感知系统的建立,进一步提升网络威胁治理水平。
解决方案:交通银行采用搭载亚信安全态势感知技术的沙箱分析及威胁情报系统,通过深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁邮件网关DDEI 之间的联动,协助交通银行实现全天候、全方位的网络威胁识别、预警和处理能力,并满足网络安全法等相关法规要求。
效果/客户证言:通过部署亚信安全的态势感知平台,我行形成了能够实现主动管理、立体防护、事前防御、响应快速的能力,全面提升了网络安全治理水平。这次升级还满足了《2013年国家信息安全专项有关事项》、银监会发【2016】107号文以及网络安全法的规定。我们将利用沙箱技术与现有的计算机节点防病毒系统、网关系统、防火墙系统等进行互补,实时地掌握全公司的安全威胁,将各类隐患消灭在萌芽状态。
——交通银行网络安全工程师
在移动互联网、大数据、云计算等技术的推动下,金融科技的创新发展一日千里,但与之同行的网络威胁也是翻天覆地,APT攻击、数据泄露、勒索病毒等网络安全事件频繁发生,新金融面临着层出不穷的安全威胁。
面对网络威胁风险的持续升级,交通银行在行业内率先启动态势感知项目建设,采用搭载了亚信安全态势感知技术的沙箱分析及威胁情报系统,将亚信安全深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁邮件网关DDEI 部署到关键节点,实现了全天候、全方位的网络威胁识别、预警和处理能力。
百年交行进入网络安全“角斗场”
在坚持走国际化、综合化的道路上,交通银行得到了全球客户和业界的广泛认可,已连续十年跻身《财富》世界500强。随着金融科技的发展,交通银行在发挥人工智能、大数据、区块链、云计算等技术为金融产品全方位“赋能”的同时,更重视网络风险管理,竭尽全力采用创新网络安全技术保障客户资金安全。
对于交通银行来说,如何有效治理APT攻击等定制化网络威胁是一个不容掉以轻心的课题。这是因为,APT攻击是一种目的性更强、更复杂的网络攻击,不法分子广泛采用了零日漏洞、高级定制木马、专用攻击设备进行攻击和信息获取,具有难发现、难分析、难追踪的特点。在入侵路径上,除了利用系统或者应用软件漏洞之外,不法分子会以会议资料、紧急通知、快递通知等信息为幌子,精心编造邮件以诱使企业员工点击。而银行员工一旦点击,恶意程序就可能通过内网感染企业系统,继而导致机密信息外泄。
对于交通银行来说,最大的问题就是传统的网络安全防护手段已经难以应对APT攻击。目前,交通银行建立了比较完善的网络安全防御体系,在终端、邮件出口和网络边界等关键位置实施了多项安全控制措施,整体信息安全建设和运营处于同业前列。然而,由于大量的APT攻击缺少明显的攻击特征,使得交通银行依赖于静态特征码(规则)的检测技术在安全防护上存在一定的滞后性。
实现本地侦测分析与云端联动
面对网络威胁风险的持续升级,交通银行在行业内率先启动态势感知平台建设。通过测试、评估、评审、招标,交行最终确定采用亚信安全提供的网络安全态势感知方案,将亚信安全深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁邮件网关DDEI 部署到关键节点,并与其他安全产品共同处理网络威胁,形成了新一代整体防御架构。
在功能提升方面,亚信安全深度威胁邮件网关DDEI能够帮助交行的网络安全监控人员检查所有邮件及附件安全,可侦测高级恶意软件与文件漏洞攻击,其涵盖了各种文件类型与内容,包括各类 Windows 执行文件、 Microsoft Office 文件、PDF、Zip、Java、网站内容和压缩文件。DDEI拥有高级侦测技术,能够阻止大多数恶意软件攻击所使用的社交工程邮件,在破坏产生之前侦测并拦截恶意软件。同时,DDEI还与亚信安全TDA,以及DDNA形成了联动防线,这也是粉碎APT攻击阴谋的关键所在。
在网络层面,亚信安全深度威胁发现设备TDA 能够从静态到动态,再到事件关联,深入发掘隐匿的攻击活动,尤其是对APT攻击的“横向移动”和外联通讯。信息安全人员可以借助TDA快速发现并分析恶意文档、恶意软件、恶意网页,C&C 通信数据以及传统防护无法侦测到的定向式攻击活动。
不仅是在邮件网关上,在内部网络上的TDA威胁监控系统,同样可以发现可疑异常文件和流量,并可以提交到深度威胁分析设备DDAN沙箱进行深层次的分析。通过模拟交通银行的实际环境,沙箱在安全、孤立环境中运行并观察可疑异常文件的行为,能够可靠地检测和分析出异常文件。
方案部署完成之后,文件沙箱分析设备、邮件沙箱分析设备、网络流量侦测设备都接入SIEM平台,相关的威胁日志、威胁分析结果等威胁情报亦传输至SIEM平台。再进一步,DDAN还更能够和亚信安全全球云安全智能防护网络(Smart Protection Network)共享本地及云端威胁情报。
合规运营确保用户资金安全
从网络安全运维角度来看,一个完整的运维体系包含四个阶段:侦测阶段、分析阶段、响应阶段、预防阶段。因此,从日常的海量告警信息中甄别出潜伏最深、最具攻击性的威胁,并且准确判出断威胁的真实性,进一步确认威胁的本质以及攻击者的意图,回溯攻击场景,评估威胁严重性、影响和范围,而态势感知技术的融入,是交行网络安全战略升级的关键所在。
交通银行网络安全工程师表示:“通过部署亚信安全的态势感知平台,我行形成了能够实现主动管理、立体防护、事前防御、快速响应的能力,全面提升了网络安全治理水平。这次升级更满足了《2013年国家信息安全专项有关事项》、银监会发【2016】107号文以及网络安全法的规定。后续,我们将利用沙箱技术与现有的计算机节点防病毒系统、网关系统、防火墙系统等进行互补,实时地掌握全公司的安全威胁,将各类隐患消灭在萌芽状态。”