证券行业应用安全运营托管服务的可行性研究和总体实施建议

攻防 业界
3月前

文 | 李维春、刘亦翔、程度、刘敏杰

李维春 国投证券股份有限公司
刘亦翔 国投证券股份有限公司
程 度 北京升鑫网络科技有限公司
刘敏杰 深信服科技股份有限公司

摘 要:新时代、新环境下网络安全工作面临巨大的挑战,在投入有限、人员流动频繁的前提下,如何有效地开展安全运营保证各类安全控制措施的有效性,是行业机构面临的普遍问题,而安全运营托管是个可行的解决方案。本文针对安全运营托管的背景、行业机构的需求、安全运营托管的可行性进行了分析,并提出了整体的安全运营托管实施方案。

关键字:安全运营托管现状、安全运营托管
注:本文首发于《交易技术前沿》。

课题背景及意义

近年来,以总体国家安全观为指导,国家网络安全工作顶层规划与总体布局不断完善,网络安全“四梁八柱”基本确立。相继出台了网络安全法、数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》等网络安全法律法规,印发了《网络安全审查办法》云计算服务安全评估办法》等部门规章和规范性文件,国家网络安全工作的政策体系框架基本形成。网络安全总体工作的政策保障在快速成形,本质上是我国数字化进程的加速推进,广大人民群众对网络安全数据安全、个人信息安全的关注度与日俱增。

在这个大背景下,证券行业在数字化转型发展过程中所面临的网络安全风险将会持续扩大,存在局部网络安全风险向系统性社会风险转化和蔓延的问题。另外,证券行业机构的网络安全保障体系和能力的建设是国家安全体系和能力建设的重要组成部分。当前我国证券行业面临的网络安全问题有以下两点:

第一,安全建设水平差异较大。目前各单位的信息化水平差异较大,网络安全防护水平参差不齐。总体来说,受制于编制、资金、意识等条件的约束,网络安全水平层次不齐,缺乏一致、良好的网络安全基础设施,并目难以在短期内全面实现网络安全基础设施的改造升级。

第二,常态化网络安全感知和应急能力不足。网络安全的本质是对抗,证券行业单位在攻防两端对抗中处于“能力不对等”的处境。以国家大型实战攻防演习活动为例,绝大多数参与企业单位在演习期间,通过加大网络安全运营人员与设备的投入,并在演习期间采取特定的应对措施,在短时间内使其网络安全防御能力得到了全方位大幅度提升;但当攻防

演习活动结束后,伴随着网络安全专家和临时租借的安全防护设施离场,安全防护水平又由战时的“铜墙铁壁”回到了平时的“焦头烂额”的基础防护水平,安全感知能力和应急反应速度无法与“战时”相提并论,无法做到24小时全天候对安全事件进行全面准确的监测和发现,并及时开展应急处理措施。

在这样的大背景下,如何更有效地、以更高投入产出比的方式开展安全建设和安全运营,是证券行业机构普遍面临的问题。

安全运营托管服务的可行性研究

安全运营托管服务简介

安全运营托管服务(MSS,Managed security Service)是将自身的网络安全托管给网络安全服务供应商的一种服务。此类服务的供应商是安全运营托管服务供应商(MSSP,Managed Security Service Provider),安全运营托管服务模式起源于 1990 年代中后期,当时互联网服务供应商将向客户出售防火墙设备,并通过拨号连接管理客户的防火墙,并收取额外费用。目前企业通过采购安全运营托管服务,使用安全运营托管服务供应商构建的S0C(安全运营中心),企业可快速扩展自身的安全能力,实现预期的安全效果。

Gartner对安全运营托管服务的定义是:

• 7*24小时远程监控安全事件及相关安全数据源;
• 管理和控制安全相关的技术和产品;
• 远程的SOC服务,并不是通过驻场或者远程的一对一的
安全服务。

安全运营托管服务的核心服务内容是对安全事件的监控和安全事件的响应以及合规方面的报告。除此之外还可能包括以下方面的内容:

• 安全设备管理,如:防火墙、入侵检测系统(IPDS)、终端管理(EPP)、终端检测与响应(EDR)、安全应用网关(SWG)安全邮件网关(SEG)等;
• 事件响应服务(包括远程服务和现场服务);
• 漏洞评估和漏洞管理服务;
• 威胁情报服务;

一般认为,MSS会给甲方企业带来如下价值

1、降低安全运营成本

与大多数托管服务提供商一样,MSS可以带来规模经济效应,因此能够帮助企业降低安全运营工作的成本投入。后时,选择MSS可以将大部分安全预算由资本支出转化为运营支出,这可以为组织提供某些成本优势,并在预算编制过程中减少了变数。

2、提供不间断的安全服务和更强大的安全运营能力

大多数组织(尤其是中小型行业单位)都无力打造全天候运作的安全运营中心。但是由于具有规模效应,MSSP可以建立更完善的运维服务体系;MSSP通常可以更轻松地应对人员流动,保障服务的可靠性和稳定性。如果聘请一家成熟的MSSP,组织可以大幅提升许多方面的能力,例如在威胁检测和响应方面,企业可以更好地深入了解新旧威胁以及如何检测和防御这些威胁;MSSP处理过大量的安全警报和违规事件,因此它们往往更有经验,在处理突发性安全事件时往往会更加迅速;MSSP通常更积极地试用包括人工智能在内的新型安全工具和技术,这些创新工具和技术有可能带来更好的安全防护效果。

3、更准确了解和符合合规监管要求,更好的第三方证明

由于拥有更广泛的安全运营经验,许多MSSP能够更全面了解全球和国家层面的不同法规标准和监管要求,包括GDPR、HIPAA以及我国的网络安全法、数据安全法等。网络保险提供商、业务合作伙伴以及客户都会需要组织能够提供满足某些合规要求、落实网络安全标准的证明,MSSP代表了可靠、专业的第三方机构,它们可以帮助企业证实自己在安全保障方面的工作与能力。

4、提供更多的安全专家资源

MSSP通常更有能力雇佣网络安全人才,它们有广泛的合作伙伴和经济能力。考虑到目前网络安全人员的缺口巨大,通过与MSSP合作可能是组织获得所需安全专业人才的唯一途径。

行业现状调研分析

网络环境复杂性的增强,安全威胁攻击手段的提升使网络空间的攻防战愈发激烈,传统的人工应对方式已经完全不足以解决当前数量巨大、变化多端的威胁信息和夜以继日地攻击。通过人力完成对这些网络事件的应对,已经变得愈发闲难。

目前行业内大部分中小证券威胁管理机制偏弱,且证券行业网络安全建设主流方案为部署大量的基于单点工作机制的网络安全防护产品。这些产品都是基于单点的工作机制,网络安全技术之间的整合度低、联动性不强,使得在应对网络安全威胁时不能高效率的处理事件,难以从海量的安全数据中有效发现和响应安全事件。在安全人员层面,行业内大多数中小证券正编安全人员偏少,只有1-2人,往往只能通过外包来解决安全威胁处置的需求,但由于外包人员能力有限、流动性大,正编人员较多的精力在指导外包人员成长,导致威胁管理领域投入精力有限,从而在威胁管理上效果也比较有限。

同时,我们发现在证券基金行业内大部分中小规模的经营机构采用的安全服务主要是通过人工定期进行交付,安全服务内容聚焦在传统安全服务,如漏洞扫描、基线核查、渗透测试等;并且常规安全服务缺乏有效的工具和流程支撑,对安全事件的感知局限于事后的处置和溯源加固,无法做到事前的主动发现和预警,也缺乏有效的安全事件应急预案和事件快速响应机制,在安全事件发生时无法做到主动发现和快速止损。

针对中小证券的安全运营托管模式,课题组在行业内开展了一次问卷调查,部分问题和数据摘录如下:

第3题:请问您所在公司,当前安全人员(正编)规模;如果有兼职或一人多岗情况,可按人员投入比例折算选择

建议01.png

第4题:请问您所在公司,常驻的安全服务(外包)人员规规

建议02.png

第7题:如果监管不明确反对安全服务托管,你会考虑将部分安全运营工作常态化地托管给“云服务商”吗?

云服务商的意思就是通过专家、系统工具,以远程形式完成安全服务,要么是专家远程开展工作,要么是把一部分安全数据交给非本地的系统、专家去处理。

建议03.png

第9题:为什么你觉得值得考虑“云服务商”的托管方式?

建议04.png

受调查的单位有58%对安全运营托管服务持一半以上的开放态度,另外42%的受调查单位对安全运营托管服务的担心还是在于是否符合法律法规要求、数据安全风险是否可控、安全响应效率是否及时;如有手段可以较好地解决这些问题,证券行业采用安全运营托管服务的方式可以很好地提升安全运营的效率和质量。

证券行业应用安全运营托管服务的可行性研究

1、必要性研究

数字化业务转型加快了企业发展的步伐,也滋生了更多的网络安全隐患。然而,由于许多企业缺乏所需的专业技能和资质能力,在开展网络安全建设时面对多种的安全挑战同时还要面临着IT预算不断收紧等问题。

将企业安全建设和运营中的部分工作交给专业化服务公司,采用外包的模式,引入专业的MSSP,是企业网络安全建设的一种有效模式,而外包模式在整个!T行业都是一种常态。Forrester Research副总裁兼首席分析师Jeff Pollard表示:如果组织因为网络安全团队没有足够的时间、人才或能力来合理完成某些安全工作时,就应该尽快考虑并选择网络安全外包服务。此外,如果组织认为一些安全任务(比如评估内部威胁)不该由内部安全团队来处理,也可以考虑聘请安全托管服务来完成这些任务。

课题组在研究中发现,目前很少有组织会将整个安全建设和运营工作外包出去。大多数组织都在寻求混合模式:部分安全任务外包出去,部分留在内部自行管理。在混合模式下,内部安全主管、经理和高级专家通常处理战略性任务,而安全托管服务则更多负责执行等专业事务性任务。如果选择驻场的安全运营托管服务,则面临着如下挑战:

• 服务人员稳定性差:安全服务人员在甲方工作1-2年后能力通常会获得较大的进步,现有的安全服务合同已经无法支撑其当下的期望,就会产生人员流动:研究发现行业内驻场安全服务人员平均服务周期为1.4年。
• 驻场安全运营服务人员教育成本高、有效利用率低:无论是有经验的安全服务人员,还是一名新手,在其进入甲方后通常都需要2-3个月的时间才能完全适应组织的文化、沟通方式、网络和系统架构等,留给其发挥价值的时间通常只有1年左右的时间。甲方人员需要耗费大量的时间精力在培训、管理驻场外包人员,导致真正花费在提升运营能力的时间精力极其有限。
• 高质量的服务人员数量少、招聘难度大:高素质、高质量的安全服务人员往往在服务商中承担更高层次的专家岗位,流动性低,导致甲方所需要的高质量的安全服务人员数量少、招聘难度大。甲方人员需要耗费大量的时间精力在人员招聘上,导致真正花费在提升运营能力的时间精力极其有限。
• 随着国家对资本市场的重视和不断投入,未来与国外资本市场的对接将是大势所趋,证券基金行业将很快进入需要7*24安全运行和保障的阶段,这对安全运营的挑战(包括人员编制、预算投入、响应支持、人员能力)将会显著提升。
• 安全工具繁多、人员缺少:随着安全体系建设要求的提高、攻防对抗激烈程度的加剧,安全运营所需的工具也逐渐增多,安全运营所需的人力数量也快速提升,然而由于上述安全运营服务人员的种种问题,放大了人员缺口矛盾。结论:以上形势和挑战迫使甲方组织必须选择驻场安全运营服务之外的实施方案,安全运营托管服务是目前看来最佳的解决方案。

2、合规性研究

(1)《网络安全法》《个人信息保护法》《数据安全法》合规性研究

建议05.png

通过对以上法条内容的研读,经咨询深圳市律师协会数据合规专业委员会,课题组认为:

• 法无明文禁止即可为,金融行业的外包服务是常见的禁止是不现实的。法律承认委托人和被委托人的法律关系,外包人员是受托进行安全运营服务行为,法律对于受托人和委托人都规定了相应的法律责任,因此外包服务是符合法律要求的。
• 基于工作需要,如果安全服务外包人员必须接触甲方的信息、不接触不能完成业务,应遵循“最小必要”原则,同时做好防护、监测和风险处置措施,保障系统和数据安全,是被允许的。
• 关键信息基础设施的运营过程中可以采用网络安全运营托管服务。
• 关键信息基础设施的运营者在采购安全运营托管服务之前,应通过有关机构的安全审查;通过审查后,应与运营者签订保密协议、明确保密义务;应对关键岗位工作人员、外包人员进行背景审查。

(2)《证券基金经营机构信息技术管理办法(2021年修正)》合规性研究

建议06.png

通过对以上法条内容的研读,我们认为:

• 安全运营托管服务机构和服务人员在为证券基金经营机构提供安全服务的过程中,不可避免地会接触、访问到客户信息、经营信息,只要不存在违规截取、存储信息的行为,就属于合规。这里的“规”主要指各项法律法规,以及证券基金经营机构与安全运营托管服务机构之间的合同、协议。
• 对“除法律法规和中国证监会另有规定外,证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息”的解读,我们认为,只要安全运营托管服务机构的行为符合《网络安全法》《个人信息保护法》数据安全法》等上位法的要求,就符合本条所述“法律法规”的要求。
• 安全运营托管服务机构遵照《信息技术管理办法》的要求提交备案,也满足行业监管的要求。

结论:我们认为只要安全运营托管服务机构对在服务过程中接触到客户信息、经营信息采取了合理的保护措施、监测措施、响应和处置措施,在安全运营托管服务过程中遵守与证券基金经营机构的合同、协议,就符合法律法规的要求。

风险及应对有效性分析

1、信任风险

在安全运营托管服务过程中,信任风险包含两个内容,是对服务机构的能力、资质的不信任,二是对服务机构的态度、意愿的不信任。针对这2类信任风险,我们认为可以采取如下多种措施

• 加强考核、利益引导;建立服务机构、服务人员的黑名单和灰名单,或建立服务机构、服务人员的信用管理机制;
• 引入第三方进行检查、审计或认证;
• 提升MSSP对甲方单位服务内容的透明性;
• 落实对MSSP关键岗位、人员的背景审查。

2、数据泄漏风险

在安全运营托管服务过程中,需要将证券基金经营机构的网络流量、可疑样本数据、人员操作日志传递给运营托管服务机构的安全分析系统,这其中不可避免地引发对数据泄漏风险的担忧。我们认为可采取如下措施

• 不将可能包含业务信息的网络全流量数据传递给运营托管服务商,仅传递NetFlow、五元组等行为、特征信息;或将网络全流量数据采集和分析能力部署在机构内部,仅将分析后的初步结果、威胁特征、可疑Payload传递给安全运营托管服务商;
• 在病毒样本分析、可疑附件分析、文件分析场景中,考虑到样本、日志中包含大量客户信息、经营信息的情况属于低概率事件,应允许传送可疑样本数据、日志数据,但要求运营托管服务机构明确对这类数据的保护措施,如租户隔离,存储分区、保留访问记录等;
• 运营托管服务机构定期接受第三方审计机构或认证机构或行业监管机构的监督和审查。综上,我们认为在安全运营服务托管过程中面临的主要风险是可控的。

投资收益分析

一直以来,企业安全能力在安全需求和安全建设之间存在较大差距。企业既需要应对不断增长的安全威胁,同时又必须面对专业人才匮乏、防护经验缺失、安全预算有限的现实。尤其是在实战化趋势下,安全防护必须做到常态化运营企业想要通过自身能力实现安全事件的持续监测、构建安全风险主动闭环处置能力难度很高。

正因如此,安全托管服务日益兴起,即“专业的事情交给专业的人来做”。安全托管服务颠覆了以往驻场式人工服务为主的服务模式(严格来说,这也是一种安全运营托管服务,本报告将这种模式描述为“本地托管”),让企业无需投入目大资金和人力组建安全团队,通过远程托管的方式即可享受专业的安全服务和安全专家资源(本报告将这种模式描述为云托管”,是本报告主要描述的安全运营托管服务模式)。

但值得注意的是,并非所有的安全托管服务方案都能很好地发挥效用。许多安全托管服务仅仅只做到了收集日志数据和发出海量警报,接近于设备托管,不仅没有起到简化流程、收敛攻击面和加固用户安全防护的作用,反而给企业安全团队带来了额外的投入。此外,即使是一个功能和服务完善的安全托管服务方案,也不一定适合所有行业,各行业用户在提出安全需求时总有一定的行业特殊安全需求,例如:证券行业对客户数据的保密性要求极高,但行业内大多数中小证券正编人员偏少,只有1-2人,只能通过托管来解决安全威胁处置的需求;但外包人员也因为流动性大的问题对安全事件的即时响应也存在一定的问题。如采用安全托管服务的方式将主要安全数据、告警分析和处置交给安全服务商进行托管,较大程度上可以解决招人难、外包人员流动大的问题,并且云托管的方式性价比也很高,可以节约很大的人工成本。

通过安全人员和安全产品的有效协同相互配合,可有效地协助客户提高组织整体网络安全的成熟度水平,进而促进和保障组织的业务发展,具有良好的经济和社会效益。

根据课题组的分析,目前国内有两种主流运营模式,一种是自建自运营加本地托管,一种是云托管式运营。

自建自运营就是证券基金经营机构在本地搭建安全运营平台,自己组建安全团队(也包括购买服务商的驻场人员)自己新建并打磨运营流程。成本投入方面比较固定,以3年建设周期计算,预计最低起步投入在110万左右,一般的投入在200万左右。

托管式运营则不需要自己购买安全运营平台和组建安全专家团队,而是复用安全厂商的安全运营平台和安全专家团队,也不用自己新建一整套的安全运营流程,而是复用安全服务商已经打磨成熟的安全运营流程,在此基础上,只需要完成和组织现有的业务流程的对接即可。成本投入方面可以做得比较灵活,以3年建设周期计算,最低预计投入24W左右就可以启动,可以根据业务需要灵活扩展。由于安全专家团队可以接触到丰富的场景、不同的业务需求,安全专家进入经验越丰富、人员越稳定的状态,并可以通过运营流程、规则、策略、知识库等复用在不同行业、企业的安全运营经验,可以帮助甲方在短时间内达到一个较好的安全运营水平。

根据课题组的调研,两种运营模式的效果方面,如果自建自运营加本地托管式运营能够招聘到安全能力达标、数量合格的人员,整体效果与托管式运营相差不大,不同之处在于托管式运营可以做到7*24监测和响应,在夜间响应方面会更有优势。如果自建自运营模式下无法招聘到足够安全能力和足够数量的人员,效果会有大概30%-40%的损耗;托管式运营则没有这方面的问题。

建议07.png

综上,我们认为在安全运营托管服务过程中采用基于远程专家服务、云上安全运营工具的安全运营托管服务,是投资收益比高的方式。

可行性研究结论

综上所述,课题组认为:在证券行业(含基金、期货)采用安全运营托管服务,尤其是基于远程专家服务、云上安全运营工具的安全运营托管服务,是合规的、风险可控的、投资收益比高的可行的实现方式,应予积极鼓励和支持,值得推广。

证券行业实施安全运营托管服务的总体建议

证券行业安全团队的特点

从本次课题组组织的调查来看,得到如下数据:

建议08.png

从调查数据看到,证券基金经营机构的专职安全人员规模主要集中在1-3人(46%)、4-6人(35%)这两个区间内。证券基金经营机构安全团队(包括专职安全人员和安全外包人员)小、中、大规模的中位数分别为3、6、11.5。

从证券基金经营机构安全团队人员规模、投入规模来看每年投入200万到安全运营托管服务并得到一个金融行业内70分水位的安全运营水平,是可行的。

安全运营有哪些工作内容

本节的目的主要在于识别安全运营的主要工作内容,为下一步分析、判断哪些工作内容可以交由MSSP奠定基础。

1、识别与获取(ldentify)

(1)资产数据管理:获取、优化资产数据的质量,以更好地提供服务;
(2)配置数据管理:获取、优化配置数据的质量,以更好地提供服务;
(3)漏洞和威胁情报的监测、获取、研究&外部关系管理:获取漏洞情报、威胁情报或外部事件、案例并对之进行研究:作为外部接口,获取其他外部渠道(如监管机构、上级单位同行)输入的与我有关的情报、告警;通过扫描、数据分析等手段获得、验证与我有关的漏洞情报;
(4)安全数据的管理:获取、存储、优化安全运营所需要的告警、日志、流量等数据的质量,以更好地提供服务。

2、检测与监测(Detect)

(1)健康度和覆盖率巡检:对安全设备、安全策略的健康度和覆盖率(包括但不限于安全设备的部署位置、安全系统运行健康度、安全基线的实现结果、安全设备的具体配置、安全Agent的部署范围等)等进行巡检,发现问题后进入(11);
(2)管理告警和检测策略:设置和优化各类检测工具(如WAF、DLP、数据库审计、NTA、SIEM)的策略,以更好地达成检测的目标;检测的目标一般是发现威胁和异常,并输出告敬。

3、处置和恢复(Response&Recovery)

(1)漏洞和补丁管理:采取补丁、缓解措施等方法对漏洞进行处置直至达到预期效果;
(2)异常分析和处置:对告警进行分析、确定处置策略,执行处置直至达到预期效果;并在处置结束后进行复盘、输出改进建议并进入(11)。未来可能需要实现7*24告警监测、分析和处置;

4、自我验证(Verify)

(1)安全策略有效性验证:采用工具和特定方法对现有的安全防护策略、检测策略的有效性进行检验,如发现异常则进行分析、确定处置措施并进入(11);
(2)渗透测试、众测与红蓝对抗:采用不同强度的渗透测试手法对现有的安全防护策略、检测策略的有效性进行检验,如发现异常则进行分析、确定处置措施,并进入(11);

5、闭环和支撑(Loop)

(1)改进跟踪:对安全运营过程中发现的缺陷和差距进行改进,直至达到改进目标;形成安全运营的知识库;
(2)风险评估:对残余风险进行评估并纳入后续跟踪管理:对运营工作进行复盘、输出改进措施并进入(11);
(3)流程、机制和工具管理(含运营工具的维护升级,自动化):确定并优化安全运营的岗位、流程、考核评价机制;开发并优化安全运营的平台化和自动化工具;
(4)安全意识和安全技能培训:对安全运营人员进行安全意识和安全技能的培训;
(5)度量:对安全运营的过程和结果进行度量、分析,提出改进建议并进入(11);

判断是否可以交付安全运营托管的要素

课题组认为,当判断当某一类型的安全运营工作是否可以依赖安全运营托管服务来实现的话,需要考虑如下要素但具体衡量标准仍需甲方在实践中根据自身情况调整和把握。

1、是否法律法规、监管要求有明确的、书面的规范或指引

2、是否需要与甲方内部员工有频繁的互动、多种形式的信息往来

3、是否需要对甲方内部情况(比如网络架构、组织架构。人员特征和技能)要非常熟悉

4、是否会导致客户信息、员工信息(统称个人信息)大量或高频被访问

5、是否会导致其他机密级及以上经营信息被大量或高频访问

6、完成动作所需专业技能要求的高低或学习成本的大小

7、完成动作所需人员是否容易获得,或获取成本在可承受范围之内8、完成动作所需数据流量或带宽大小,存储的数据量大

根据前期对行业内安全从业者的调研,对这8个要素的重视程度如下

建议09.png

如何实现安全运营托管

安全运营托管服务是一种通过共享安全专家团队的方式,便于各行业单位复用云端的安全服务专家人员的专业技术能力,以低成本、高可用、低风险的方式获得安全运营能力的交付模式,同时可以将安全专家的经验和知识库固化到云端运营平台,通过人机共智的方式协助甲方有序地开展安全工作,解决安全问题。

基于以上分析,在做好风险控制的前提上,课题组本着“能托管就不用自有人员,能云端就不用本地”的原则,对名项工作内容进行了如下分解。打钩就意味着本项工作更适合通过该类人员交付。

建议10.png

对于以上表格的内容,课题组认为需要强调如下重要观点

1、在自有人员编制有限的情况下,应集中精力投入在异常分析和处置、差距分析和持续改进方面;同时应以度量为抓手,展现成果、暴露问题,这样既可以获得组织内的支持又可以显著降低企业内部的安全风险;

2、资产、配置、漏洞、补丁的工作是安全运营的基础性工作,由于需要和公司内部人员有大量的沟通协作,需要对公司网络架构、系统运行情况比较熟悉,在自有人员编制有限的情况下,更适合交给驻场安全运营人员完成;

3、漏洞情况和威胁情报、渗透测试&众测&红蓝对抗,安全意识和技能提升,属于常见的、较成熟的云端交付模式;

4、安全数据的管理、健康度和覆盖率巡检、管理告警和检测策略、异常分析和处置、安全有效性验证都是更适合运用云端托管能力的工作内容。比如

(1)使用云端的日志和数据存储能力,可以显著降低甲方的数据管理压力和数据分析难度;
(2)由于行业内的安全设备、系统、工具的雷同性都较高,采用云端的健康度和覆盖率巡检服务、管理告警和检测策略服务,可以显著降低对人员的培训、监督、管理成本;
(3)采用异常分析和处置则更加能够集中使用云端的专家能力、知识库,显著弥补本地人员的能力不足,并可以通过云端的SIEM(安全信息和事件分析)、SOC(安全运营中心)、云沙箱、SOAR(安全编排和自动化响应工具)等工具实现自动化的响应和处置,减少安全建设成本,提升响应效率和质量,满足未来的7*24监测和响应需求,共享跨企业、跨行业的威胁情报。

5、后续可参考“云安全责任共担模型”,研究、输出“安全运营责任共担模型”,以便给业内同行提供更加可行的参考。

总结与展望

课题组在证券基金经营机构进行了安全运营托管的小范围试点和调研,试点表明,通过云服务的形式引入安全专家,并通过将证券基金经营机构本地的告警、流量分析、可疑样本分析、情报监测等安全运营任务通过安全运营托管服务实现,可以显著提升证券基金经营机构的安全运营效率和水平。

目前我国网络安全趋势正逐步地由传统被动防御模式转向主动治理的模式,企业正在努力建设纵深的安全运营体系。安全运营托管供应商拥有专业的人才及资源可以有效的缓解企业在安全运营建设过程中面临的人才、成本。目前安全服务的规模扩张速度远超整体安全行业的平均增速。安全运营托管人才需求与日俱增、安全运营托管的自动化程度愈来愈高、行业标准日渐完善。

参考文献

1.《网络安全法》
2.《个人信息保护法》
3.《数据安全法》
4.《证券基金经营机构信息技术管理办法(2021年修正)5.《信息安全技术 信息安全事件管理指南》(GB/T209852007)
6.《信息安全技术 信息安全风险处理实施指南》(GB/733132-2016)
7.《信息安全技术 信息系统安全运维管理指南》(GB/T36626-2018)
8.《信息安全技术 网络安全威胁信息格式规范》(GB/736643-2018)
9.Gartner自适应安全框架(Adaptive SecurityArchitecture.ASA)
10.ATT&CK 模型(Adversarial Tactics, Techniquesand Common Knowledge )11.《证券期货业信息安全运营管理指南》(征求意见稿)

— 【 THE END 】—