商业银行安全运营现状：APT监测响应是刚需 自动化水平普遍不高

商业银行作为金融领域的关键信息基础设施，是社会稳定发展的神经中枢，业务开展高度依赖信息系统。在各商业银行开展数字化转型的当下，面临着各种安全挑战，网络犯罪具有组织化，攻击方式具有定向化的特点。

 

各商业银行通过成立安全团队，部署大量安全设备，建立安全流程制度来开展网络安全运营工作。但是，如何做好网络安全运营工作？安全运营应该投入多少资源？运营效果如何衡量？这些问题经常困扰网络安全管理者。

 

 

绿盟科技12月2日发布《2021年商业银行安全运营调研报告》，面向国内农村商业银行、城市商业银行和农村信用社展开调研，对商业银行的安全运营现状、未来安全运营建设的用户预期进行总结，并对安全运营工作提出建议。

 

商业银行作为国家关键信息基础设施，信息系统的安全状况关系到国家安全和人民群众切身利益，成为黑客组织的主要攻击目标。从威胁角度看，攻击方法日趋复杂，攻击手段持续升级，高级持续性威胁 APT 事件时有发生，传统安全防护手段失效，为网络安全管理带来巨大挑战。以往网络安全建设主要关注安全合规和态势感知能力，从本次调研看，高级持续性威胁监测和防护工作已经成为开展运营中心建设的又一个核心驱动力。

 

流程是管理工作的核心。本次调研发现超过1/3的商业银行未严格按照标准化流程执行，或者流程文档较粗略，实际工作执行未按流程进行，主要根据自身经验操作，严重影响相关工作执行效果。流程建设是安全运营中的一项重要工作，全面梳理各项流程制度，必要时可通过攻防演练等实战化手段检验当前流程的可落地性和有效性，分析流程无法有效执行的原因并优化改进。

 

攻防演练是检验网络安全防护水平和应急处置能力的重要手段。本地调研81%的商业银行在攻防演练中部署了安全运营平台，安全运营平台能够为防守方提供全流程的技术支撑，利用关联分析从海量告警数据中发现有效线索，降低研判难度。通过记录全流量数据，为攻击溯源取证提供数据支撑。借助可视化编排定义事件响应自动化处置流程，提升事件处置效率。

 

《报告》数据显示，安全运营人员安全技能水平需求占比较大的主要是安全威胁监测和研判能力。网络安全的本质是攻防对抗，在实战环境中，能否快速发现攻击事件，分析掌握攻击者信息和手段，制定技术手段阻断攻击，是防守能否成功的关键。提升安全运营人员的威胁监测分析能力是安全运营建设的重要组成部分。

 

企业在传统安全运维中常面临安全事件告警多、人员安全经验不足、事件处置流程繁琐等问题。本次调研只有35%的商业银行初步实现了运营工具的安全编排和联动，并反馈在攻防演练等场景中，攻击源人工封堵等操作遇到效率低、人手紧张等问题，平台自动化威胁处置的需求迫切。

 

针对此问题，各厂商通过在安全平台中通过集成 SOAR 组件实现自动化，使用可视化编排将人、安全技术、流程进行深度融合；通过人工运维经验固化而来的 Playbook 剧本构建安全事件处置的工作流，自动化触发不同安全设备执行响应动作，变被动应急响应为自动化持续响应。

 

网络安全是一个高投入但产出不明显的工作，不容易被领导层重视，导致投资不足，使安全建设处在低水平发展，导致恶性循环。本次调研67%的商业银行都没有安全运营工作绩效指标。建议引入安全运营指标，对安全运营工作绩效进行度量，以评价安全运营工作中各项安全控制手段是否有效，体系实际运行状况是否良好，将各项工作的成果量化，提升安全运营工作的价值。

 

建立7*24小时应急值班制度，提升运营人员的安全事件管理水平和应急处置能力，是确保网络稳定安全可靠运行的重要前提，但人力成本较高。调研中76%的商业银行表示希望安全厂商能帮助解决7*24小时不间断实时监测和响应及安全运营人员能力不足的问题。远程安全运营服务是一种有效的解决方案，但需要将部分告警数据上传由专家全天候远程处理。针对将安全平台接入云端的必要条件，5% 的商业银行表示愿意，40% 表示综合判断后可以考虑，如何打消商业银行的安全顾虑是后续一项重要工作。

 

针对商业银行目前的安全运营现状，绿盟科技建议：基于运营成熟度模型，体系化构建安全能力；制定安全评价指标，为安全工作提供抓手；构建云地协同机制，合力对抗高级威胁；建立场景化检测模型，建立纵深防御体系；利用平台联动能力，实现自动化威胁治理；开展培训赋能，培养实战化人才。