近日,中国人民银行科技司发布了《金融行业态势感知与信息共享平台数据接入标准说明(试点)》,要求各级成员单位按照标准进行安全事件数据的上报对接以及威胁情报信息共享。此举目标是实现对行业内安全信息的总览监测、对态势数据的综合分析,上下统一调度指挥,帮助成员单位快速共享情报,形成对行业内安全资产的风险管控,最终实现对整体金融行业信息安全的“可见、 可查、可控”。
在一期、二期试点阶段,日志易积极参与该标准说明的调研与分析,推出了人行态势感知数据上报和共享方案并成功协助多家金融客户完成数据接入准备工作。方案详细功能与特点如下:
人行态势感知数据上报和共享方案· 功能
Ø数据接口
1.通过Syslog对接安全设备
2.根据安全设备接口通过读取数据库数据获取病毒软件安装数或人工配置上报内容
3.支持通过数据库、文件、HTTP等方式获取反欺诈数据
4.将数据上报到人行Kafka,同时需要消费人行下发的Kafka威胁情报数据
5.消费到的威胁情报数据需要能通过Syslog、数据库、HTTP等方式推送至SIEM、态势感知平台
Ø数据解析
1.考虑到人行的字段规范可能与SIEM产品规范不一致,一条原始日志根据需求灵活解析出多种字段命名模板
2.可以灵活关联各种字典表,如金融机构字典、资产字典、安全事件字典、地区字典等
3.可以灵活增加、删除、修改上报的字段名和字段内容
Ø数据清洗、聚合
1.通过界面灵活设置聚合统计规则,如按小时、按天统计
2.通过界面配置过滤条件,过滤不需要上传人行的数据
3.通过界面配置临时手动上传数据
4.对上传的数据支持复制一份到本地文件、数据库,方便数据稽核
5.可提前进行告警降噪,只发送高可疑攻击IP,减少上报数据量
Ø数据上传、消费管理
1.支持数据处理(上传、消费)全流程的数据质量监控:上传速度、成功数、错误数、错误原因等
2.支持随时界面启停上传和消费管道
3.支持随时界面增、删、改管道配置
4.支持界面拨测人行Kafka通道(上传及消费)
人行态势感知数据上报和共享方案· 特点
Ø可见性
1.上报流程编排可见性:整个上报的流程通过图形化编排,配制完成整个数据上报的数据流、数据处理等步骤,提升平台快速响应能力以及未来的扩展性
2.过程可见性:实时预览整个数据的流转处理过程,整个数据处理的过程“了然于胸”
3.数据识别可见性:各种非数据的处理,通过界面化或者现有模板进行识别
Ø可控性
1.发送状态的控制机制:针对每种上报数据接口,支持单独进行发送频率、周期、状态的控制,独立进行管理
2.完整性控制机制:具备偏移量控制机制,保障在异常或者特殊维护场景下的数据断点续发的能力
Ø可查性
1.发送数据可查性:在数据发送的过程中可同时创建副本,副本源支持文件、常见关系型数据库、分布式搜索引擎等,体现发送数据审计的能力
2.发送统计能力:具备各类数据的发送内容实时统计能力,实时查看数据整体的发送量、发送频率、数据发送趋势等信息
虽然金融业态势感知与信息共享平台的建设是为了满足行业监管及风险管控需求,促进防护协同,但其对于金融机构内部的网络安全信息化建设也具有重要的借鉴价值。例如对安全信息及数据的全面收集和接入,有助于实现全面总览及综合分析,从而做到全面的风险管控。
日志易安全分析平台具备强大的数据采集接入能力,对各类安全数据实时接入,搭配日志易数据工厂产品,可以实现与各种安全及大数据平台的数据共享,当然也能够实现对“金融业态势感知与信息共享平台”数据的接入和消费。日志易安全分析平台能够大大加强企业对各类威胁的检测分析、追踪溯源能力。
什么是日志易安全分析平台?
日志易安全分析平台兼具关联分析和异常分析能力,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。该平台基于日志易自研的数据搜索引擎Beaver,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,能够大幅提高用户在安全运营方面的决策能力。
图:日志易安全分析平台架构
1.全方位日志采集:全面采集安全设备、网络设备、中间件、操作系统、数据库、应用层日志。百万级EPS日志流处理能力,PB级秒级日志溯源跟踪能力。
2.统一威胁处置:内置WEB安全、主机安全、合规安全等8大类常见的复杂事件处理检测规则,自动关联资产、漏洞以及威胁情报,并可对告警配置工单任务和阻断动作(包含自动阻断以及人工一键阻断)。
3.南北向以及东西向流量异常检测(NTA):可通过覆盖企业全网的多个流量探针,对主流的应用、网络协议进行采集和解析,还原流量数据进行溯源取证,并可对流量中的攻击行为进行检测。
4.端点进程监控:结合Linux、Windows系统日志,分析其进程、账号登录、命令执行等事件,发现异常行为,如异常父子进程、异常账户或异常命令执行等可疑攻击渗透行为,帮助用户判断攻击结果(是否成功)。
5.调查取证:将威胁告警和异常事件映射到时间维度,提供分析事件之间前因后果关系的能力。以威胁告警为入口对攻击链进行溯源,并通过递进的关联分析发现横向扩展的行为。
6.任务管理:内置工单系统,并可灵活对接用户环境的工单系统,形成安全事件处置闭环和协同。
7.流程编排及自动化响应:全界面化Playbook编排,可通过API联动各类安全设备/系统,自动根据匹配规则选择Playbook进行响应处置,自动完成IP阻断、账户锁定等常规动作。
8.威胁情报对接:支持对接在线开源、商用威胁情报库以及离线情报导入,并与威胁告警进行关联,进一步提高威胁告警的准确度。
9.漏洞对接:对接开源、商用漏洞平台,对误报进行白名单处理,对低危漏洞或不关注之漏洞进行自动忽略或修复。
10.资产管理:通过对接CMDB、日志提取、批量导入、自发现等方式,自动感知全网资产的动态变化,为威胁告警补全资产信息。
11.多数据管道分发保障:结合日志易数据工厂产品,根据上级日志格式规范将同一数据来源ETL成不同数据格式,通过多数据管道将格式化日志分发到不同目的源。
12.态势感知大屏:结合日志易大屏产品,将全网实时安全状态集中展现到安全管理人员面前。