杭州都市網(wǎng)

日前，人民銀行科技司發(fā)文要求地方性銀行業(yè)機(jī)構(gòu)和非銀行支付機(jī)構(gòu)接入人行金融行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知與信息共享平臺(tái)。微步在線深度參與了人行的威脅情報(bào)共享和標(biāo)準(zhǔn)等相關(guān)工作，已幫助多地十余家銀行客戶完成接入，在此，我們將以這篇文章分享微步在線在該項(xiàng)目時(shí)積累的理論和實(shí)施經(jīng)驗(yàn)。

(一)該平臺(tái)對(duì)行業(yè)有何幫助?

所有銀行和非銀行支付機(jī)構(gòu)將自身網(wǎng)絡(luò)安全告警數(shù)據(jù)以規(guī)定格式上傳到平臺(tái)，人行以此進(jìn)行信息提取和情報(bào)生產(chǎn)，最終再通過(guò)平臺(tái)將高可信威脅情報(bào)統(tǒng)一分發(fā)給各金融機(jī)構(gòu)，從而構(gòu)建金融行業(yè)安全事件和威脅情報(bào)生產(chǎn)分發(fā)的自循環(huán)體系，幫助金融機(jī)構(gòu)做到聯(lián)防聯(lián)控。

簡(jiǎn)單來(lái)說(shuō)，安全告警數(shù)據(jù)和情報(bào)要在各金融機(jī)構(gòu)中經(jīng)歷三個(gè)階段：數(shù)據(jù)上傳、情報(bào)下發(fā)、情報(bào)和其他安全設(shè)備聯(lián)動(dòng)。這意味著，該平臺(tái)能夠做到的不僅是安全告警數(shù)據(jù)的上傳和下發(fā)，參與人行數(shù)據(jù)共享最大的價(jià)值和挑戰(zhàn)都在于情報(bào)的持續(xù)運(yùn)營(yíng)和應(yīng)用。

由于人行威脅信息共享平臺(tái)的推進(jìn)，可以預(yù)見(jiàn)到全國(guó)金融行業(yè)將跑步進(jìn)入多源情報(bào)時(shí)代，因此，人行情報(bào)和用戶原有情報(bào)如何統(tǒng)一管理合理應(yīng)用、情報(bào)數(shù)據(jù)如何更好的輔助業(yè)務(wù)和安全分析等問(wèn)題，都需要通過(guò)接入該平臺(tái)得到進(jìn)一步解決。

(二)金融機(jī)構(gòu)自主推進(jìn) VS 通過(guò)微步TIP上報(bào)，有何區(qū)別?

金融機(jī)構(gòu)自主推進(jìn)該項(xiàng)目，要將所有需要上報(bào)的安全設(shè)備告警日志導(dǎo)出、匯總、按人行要求進(jìn)行標(biāo)準(zhǔn)化處理(json格式與kafka對(duì)接)、將組織機(jī)構(gòu)代碼/世界各國(guó)和地區(qū)名稱代碼/行政區(qū)劃代碼/各類告警類型轉(zhuǎn)換為《標(biāo)準(zhǔn)》中規(guī)范的名稱、安排人員和時(shí)間開(kāi)發(fā)對(duì)接系統(tǒng)、對(duì)接聯(lián)調(diào)測(cè)試、最終實(shí)現(xiàn)上報(bào)，有一定開(kāi)發(fā)工作量。此外，人行將生產(chǎn)的情報(bào)下發(fā)，和情報(bào)的運(yùn)營(yíng)和應(yīng)用，都需要相應(yīng)的軟件開(kāi)發(fā)和應(yīng)用場(chǎng)景開(kāi)發(fā)。

微步在線旗下本地威脅情報(bào)管理平臺(tái)(TIP)可為金融機(jī)構(gòu)提供一站式、自動(dòng)化的人行態(tài)勢(shì)感知和威脅信息共享平臺(tái)接入模塊，使用微步TIP接入，用戶只需將安全設(shè)備告警日志以任何形式(一般為syslog)匯聚到TIP，TIP上報(bào)模塊將對(duì)各類日志進(jìn)行自動(dòng)化接收、標(biāo)準(zhǔn)化處理，并對(duì)接到人行kafka，整個(gè)過(guò)程無(wú)須額外開(kāi)發(fā)，開(kāi)箱即用。微步在線同時(shí)已完成下發(fā)情報(bào)的開(kāi)發(fā)工作，如后續(xù)人行下發(fā)情報(bào)，也可通過(guò)微步TIP直接對(duì)接。微步在線TIP客戶使用上傳功能無(wú)需額外費(fèi)用。

(三)用戶如何接入微步TIP平臺(tái)?

用戶可以通過(guò)配置安全設(shè)備將告警直接發(fā)送至TIP完成日志收集、規(guī)范化和與人行平臺(tái)的對(duì)接過(guò)程。

微步TIP目前支持金融行業(yè)常見(jiàn)的防火墻、WAF、IDS、IPS、抗D、殺毒、APT等安全產(chǎn)品或設(shè)備告警日志格式解析，還可以通過(guò)界面快速識(shí)別新的格式。需要注意，目前人行僅要求上報(bào)7類安全事件，不限制安全設(shè)備或者態(tài)勢(shì)感知平臺(tái)品牌，例如病毒感染數(shù)據(jù)可以來(lái)源于任何一種防病毒軟件，可直接從防病毒軟件獲取數(shù)據(jù)或防病毒軟件日志接入態(tài)勢(shì)感知后再輸出后上報(bào)。

(四)微步TIP的部分細(xì)節(jié)優(yōu)勢(shì)

自動(dòng)去重：人行并非要求所有七類告警都無(wú)差別上傳，實(shí)際上建議做一定的去重，微步TIP會(huì)對(duì)一定時(shí)間范圍內(nèi)的重復(fù)告警進(jìn)行自動(dòng)去重;

自動(dòng)規(guī)范分類：由于各種安全設(shè)備的告警描述信息不一致，例如SQL注入攻擊可能被描述為“SQL注射”、“ASP注入”、“腳本注入”，微步TIP內(nèi)置上千種安全設(shè)備告警描述特征字符，支持自動(dòng)將各類描述轉(zhuǎn)化成人行規(guī)范分類;

支持手動(dòng)上報(bào)：為便于靈活操作，微步TIP提供手動(dòng)上報(bào)頁(yè)面，支持用戶通過(guò)內(nèi)置表格人工填寫七種類型告警字段數(shù)據(jù)，手動(dòng)觸發(fā)上報(bào)功能;

支持多方共享：微步TIP支持將告警數(shù)據(jù)多方向發(fā)送給人行和其他指定地址，用于備份存檔便于后續(xù)三方系統(tǒng)進(jìn)一步分析。

(五)微步在線的成功案例

微步在線作為威脅情報(bào)領(lǐng)軍企業(yè)，積累了豐富的威脅情報(bào)使用場(chǎng)景和經(jīng)驗(yàn)。國(guó)內(nèi)前十大銀行中的八家，使用了微步威脅情報(bào)。

微步TIP作為多源情報(bào)管理平臺(tái)具有5年歷史，是國(guó)內(nèi)首款威脅情報(bào)平臺(tái)，產(chǎn)品成熟穩(wěn)定。依托豐富的金融行業(yè)威脅情報(bào)管理、生產(chǎn)和分發(fā)經(jīng)驗(yàn)，微步在線TIP產(chǎn)品已經(jīng)幫助數(shù)十家前期接入的金融機(jī)構(gòu)成功完成快速的“無(wú)痛”對(duì)接，案例數(shù)量領(lǐng)先。