面对网络威胁风险的持续升级,交通银行在行业内率先启动态势感知项目建设,采用搭载了亚信安全态势感知技术的沙箱分析及威胁情报系统,将亚信安全深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁邮件网关DDEI 部署到关键节点,实现了全天候、全方位的网络威胁识别、预警和处理能力。
百年交行进入网络安全“角斗场”
在坚持走国际化、综合化的道路上,交通银行得到了全球客户和业界的广泛认可,已连续十年跻身《财富》世界500强。随着金融科技的发展,交通银行在发挥人工智能、大数据、区块链、云计算等技术为金融产品全方位“赋能”的同时,更重视网络风险管理,竭尽全力采用创新网络安全技术保障客户资金安全。
对于交通银行来说,如何有效治理APT攻击等定制化网络威胁是一个不容掉以轻心的课题。这是因为,APT攻击是一种目的性更强、更复杂的网络攻击,不法分子广泛采用了零日漏洞、高级定制木马、专用攻击设备进行攻击和信息获取,具有难发现、难分析、难追踪的特点。在入侵路径上,除了利用系统或者应用软件漏洞之外,不法分子会以会议资料、紧急通知、快递通知等信息为幌子,精心编造邮件以诱使企业员工点击。而银行员工一旦点击,恶意程序就可能通过内网感染企业系统,继而导致机密信息外泄。
对于交通银行来说,最大的问题就是传统的网络安全防护手段已经难以应对APT攻击。目前,交通银行建立了比较完善的网络安全防御体系,在终端、邮件出口和网络边界等关键位置实施了多项安全控制措施,整体信息安全建设和运营处于同业前列。然而,由于大量的APT攻击缺少明显的攻击特征,使得交通银行依赖于静态特征码(规则)的检测技术在安全防护上存在一定的滞后性。
实现本地侦测分析与云端联动
面对网络威胁风险的持续升级,交通银行在行业内率先启动态势感知平台建设。通过测试、评估、评审、招标,交行最终确定采用亚信安全提供的网络安全态势感知方案,将亚信安全深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁邮件网关DDEI 部署到关键节点,并与其他安全产品共同处理网络威胁,形成了新一代整体防御架构。
在功能提升方面,亚信安全深度威胁邮件网关DDEI能够帮助交行的网络安全监控人员检查所有邮件及附件安全,可侦测高级恶意软件与文件漏洞攻击,其涵盖了各种文件类型与内容,包括各类Windows 执行文件、Microsoft Office 文件、PDF、Zip、Java、网站内容和压缩文件。DDEI拥有高级侦测技术,能够阻止大多数恶意软件攻击所使用的社交工程邮件,在破坏产生之前侦测并拦截恶意软件。同时,DDEI还与亚信安全TDA,以及DDNA形成了联动防线,这也是粉碎APT攻击阴谋的关键所在。
在网络层面,亚信安全深度威胁发现设备TDA 能够从静态到动态,再到事件关联,深入发掘隐匿的攻击活动,尤其是对APT攻击的“横向移动”和外联通讯。信息安全人员可以借助TDA快速发现并分析恶意文档、恶意软件、恶意网页,C&C 通信数据以及传统防护无法侦测到的定向式攻击活动。
不仅是在邮件网关上,在内部网络上的TDA威胁监控系统,同样可以发现可疑异常文件和流量,并可以提交到深度威胁分析设备DDAN沙箱进行深层次的分析。通过模拟交通银行的实际环境,沙箱在安全、孤立环境中运行并观察可疑异常文件的行为,能够可靠地检测和分析出异常文件。
方案部署完成之后,文件沙箱分析设备、邮件沙箱分析设备、网络流量侦测设备都接入SIEM平台,相关的威胁日志、威胁分析结果等威胁情报亦传输至SIEM平台。再进一步,DDAN还更能够和亚信安全全球云安全智能防护网络(Smart Protection Network)共享本地及云端威胁情报。
合规运营确保用户资金安全
从网络安全运维角度来看,一个完整的运维体系包含四个阶段:侦测阶段、分析阶段、响应阶段、预防阶段。因此,从日常的海量告警信息中甄别出潜伏最深、最具攻击性的威胁,并且准确判出断威胁的真实性,进一步确认威胁的本质以及攻击者的意图,回溯攻击场景,评估威胁严重性、影响和范围,而态势感知技术的融入,是交行网络安全战略升级的关键所在。
交通银行网络安全工程师表示:“通过部署亚信安全的态势感知平台,我行形成了能够实现主动管理、立体防护、事前防御、快速响应的能力,全面提升了网络安全治理水平。这次升级更满足了《2013年国家信息安全专项有关事项》、银监会发【2016】107号文以及网络安全法的规定。后续,我们将利用沙箱技术与现有的计算机节点防病毒系统、网关系统、防火墙系统等进行互补,实时地掌握全公司的安全威胁,将各类隐患消灭在萌芽状态。”