混合架构下科技风险运营体系建设之网络安全自动化运营及场景实现举例

原创中银证券 2025-05-20 08:45 中国香港

一站式安全运营平台

一、前言

众所周知，网络安全没有捷径，更没有银弹，需要持续地对安全开展运营。因此，在预防、检测、预测和响应（Gartner2021年提出的闭环框架）等领域都应开展实质性的工作，落地实战性的解决方案。过去数十年，国内外主流的安全建设的重心在基础安全建设上，证券期货行业也是如此。随着基础安全能力的构建，相关公司或机构的基础安全防护水平已经得到了大幅提升，在威胁发现、攻击阻断、漏洞修复、系统加固和威胁预测等方面都有落实手段，但在应急处置和响应领域仍有巨大的提升空间。

安全运营是一个复杂的系统，是技术、流程和人的有机结合。当处置的安全事件数增多时，以有限的安全人力资源和技术资源难以全面覆盖。一次常规的事件响应，至少涉及数个系统或程序，以及工程师人脑记忆的上下文切换，这往往需要多人、多系统、多界面协同完成。在缺乏自动化和智能化应急处置手段之前，安全工程师依靠徒手开展应急响应，效率低下，质量也难以保证。本文基于编排工具关键技术实现自动化、智能化的安全事件运营系统在应急处置，建立一站式安全运营和应急处置平台，实现人员组织、安全能力与各类保障资源的数字化管理；利用安全编排自动化技术，优化关联分析预警监测机制，落地标准化自动处置流程，强化自适应防护能力。

二、自动化运营的实现思路

自动化运营的目标是建立一站式安全运营和应急处置平台，实现人员组织、安全能力与各类保障资源的数字化管理。数字化的安全运营和应急处置能力：通过数字化流程重构，开展高效、协同的人、事、物统筹联动，实现自动化技术贯穿全流程，提供一站式安全运营和应急响应的能力：

可视化低代码的调度编排能力：基于SOAR技术和分级分类分场景管控思想，实现安全人员、安全策略、安全设备的调度编排与协同联动，形成适应不同保障级别及场景下的安全防护自适应的能力。

自动化和智能化的协同作战能力：基于SOAR安全剧本和虚拟作战室开展应急响应处置的人机协同技术探索，充分发挥安全人员的专家经验和机器的速度与智能，在实战攻防对抗过程中全面提升组织的安全防护能力。

如上文所述，安全事件自动化运营是指通过部署自动化系统和工具，实现对安全事件的实时监控、自动分析、快速响应和有效处置，从而减少人工干预，提高安全运营效率和质量。这一过程涵盖了从安全事件的收集、分析、响应到后续处理的整个流程。具体工作为：

安全事件收集，利用安全设备和工具（如入侵检测系统、日志分析工具等）自动收集来自网络、系统和应用程序的安全事件数据。通过实时监控和定期扫描，确保及时发现潜在的安全威胁。

安全事件分析，采用自动化分析工具对收集到的安全事件数据进行深度挖掘和分析，识别出真正的安全威胁。可以利用机器学习、人工智能等技术提高分析的准确性和效率。

安全事件响应，根据分析结果，自动触发相应的响应机制，如封禁IP地址、隔离受感染设备、发送报警通知等。通过自动化的工作流和脚本，实现快速响应和有效处置。

后续处理与反馈：对已处理的安全事件进行记录和归档，为后续的安全审计和改进提供依据。通过安全防护有效性验证反馈机制不断优化自动化运营流程和工具，提高整体安全水平。

三、场景实践举例

1.风险IP自动化研判

风险IP的自动化研判功能涉及多个威胁研判过程，包含了告警日志统计分析、威胁情报碰撞、白名单过滤和封禁设备联动。基于SOAR技术对每个研判过程实现了自动化剧本，并将多剧本进行整合形成了整体的自动化研判任务。上述任务经过两年的国家网络安全能力提升演练的实践，达到了恶意IP告警事件的处置时效降低为分钟级别，实现了90%以上的风险IP的自动化封禁。实现效果图如下：

2.主机入侵检测系统（HIDS）联动办公IM告警

主机IDS属于网络安全纵深防御的最后防线，告警能否被及时通知到安全应急人员，决定了公司安全应急响应事件处置效果。为了实现主机IDS告警的秒级效应，本文实现了联动办公IM告警的自动化编排任务。将公司IM系统作为联动告警的目标系统，原因在于IM系统接口功能比较完备，且调用实现简易，最终要的是可以实现告警通知的及时性，无论安全应急人员身处何种环境，只要携带了安装有相应通讯软件的移动设备，就可以第一时间获得告警信息，立刻进行事件应急工作。

3.白名单一键解封

通过一键解封功能，增强了安全事件自动化运营的容错性，实现了动态化应对威胁：自动化解封通常与动态封堵系统结合使用，能够根据实际威胁情况动态调整封堵策略，及时应对未知的网络攻击，增强系统的安全防御能力；减少误判风险：通过预设的解封条件和规则，自动化解封可以降低因误判而导致的合法用户被封禁的风险，保护合法用户的权益。

4.利用拟态应用的融合防护

利用拟态应用方式，伪造高风险站点入口，引诱攻击者对该入库进行攻击扫描尝试，进而获得攻击者使用的风险ip信息，对威胁ip进行发现和封禁阻断。拟态应用具备高度仿真、网络深度诱捕、样本日志全面分析等特点。围绕实际业务特色，建立面向网络服务、关键基础应用服务、Web服务器等多种诱捕模板，自适应业务需求和系统场景，主动获取威胁情报，避免告警洪水，结合现有防御体系，抵御网络攻击。

5.X-Forwarded-For隐藏攻击防护方法

当流量监测设备配置特殊字段提取规则后，攻击者ip会被特殊字段值替换，阻断设备的部署位置通常在最外层，无法获取到https服务解密后数据包对替换后的ip进行封禁。由于阻断设备仅对监测源地址匹配的流量进行封禁，攻击流量的源地址与封禁地址不一致，导致封禁策略失效。为了解决这个问题，本文提出了一种X-Forwarded-For隐藏攻击源绕过边界封禁策略攻击手法的防护方法。通过本方法，防守人员可以对X-Forwarded-For对应的所有攻击行为的源地址进行监测和快速有效的阻断，方法流程如下：

通过上述方法可以较为快速的识别出利用X-Forwarded-For绕过常规源地址封禁策略的攻击行为，防守人员及时评估该攻击行为，完善对此类攻击行为的防护策略，增强公司的安全防护应对能力，同时有利于组织人员重点关注攻击的相关风险项，如漏洞风险、供应商风险等。防守人员可以形成全面布控，重点防御的防守模式，实现战时的防御组织有序性。

四、安全运营可视化

通过数据可视化技术将潜在的安全风险以直观、生动的方式呈现出来的方法。这种方法利用了数据可视化、图像处理、模式识别、人工智能等众多领域的技术，将复杂、难以理解的数据和信息转化为直观、易懂的图形和图像，从而帮助人们更好地识别、监控和管理安全风险。在复杂的网络环境中，网络威胁数据量庞大且种类繁多。通过可视化手段，安全分析师可以迅速把握网络威胁的整体态势，发现隐藏在数据中的威胁模式，预测可能发生的大规模攻击，并提前采取防范措施。

安全运营可视化有利于提高安全意识，通过可视化手段，人们可以清晰地看到隐藏在日常生活中的各种风险因素，从而增强对安全问题的认识和警觉性；辅助决策制定，可视化技术可以将复杂的数据转化为易于理解的图表和图像，帮助决策者快速了解安全状况，制定科学合理的安全管理方案；提升应急响应能力，在事故发生后，可视化技术可以帮助安全运营人员快速分析攻击来源及威胁级别，及时采取应对措施，减少损失。主要工作如下：

设计可视化界面：根据分析结果和数据类型，设计合理的可视化界面布局，确保信息清晰、易读。根据具体需求，选择适合的图形类型，如柱状图、折线图、散点图、饼图、热力图等，以直观展示安全风险数据。

持续监控与更新：定期对安全可视化平台进行监控和维护，确保其正常运行和数据的准确性。随着技术的发展和安全威胁的变化，不断更新和优化可视化平台的功能和性能。实现安全风险的可视化管理和预防，提升公司的安全防御能力和应急响应速度。同时，安全可视化也是一个持续的过程，需要不断关注技术的发展和安全威胁的变化，以适应新的安全挑战。

五、总结与展望

初步建立了一站式安全运营平台，实现人员组织、安全能力与各类保障资源的数字化管理，优化安全告警，落地标准化自动处置流程，强化自适应防护能力，安全体系持续运营。数字化运营调度指挥，提供数字化运行监控跟踪功能，可视化策略管控系统和API级的安全设备驱动能力，实现安全事件运营过程中人、事、物三位一体的统筹调度与全局联动，通过提高人员的安全意识和技能、建立完善的监测和报告机制、加强安全设施的保护和管理以及准备充足的应急资源等措施，可以有效提升组织应对安全事件的能力和效率，增强实战场景下攻防指挥和安全运营能力。

作者介绍

吴善鹏、饶滔、郭孝军、韩景、蒋琼。“2624，以终为始，攻守相济”。中银证券安全团队的角色定位相对多样化，以全面的视野和协同合作的方式保障企业信息安全，既具备攻击者的思维和技能，又担任体系化防守的关键角色，确保在不断变化的安全威胁下能够持久地保护其重要资产和信息。我们的梦想，建立一支有特色的券商安全队伍。

关于安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。