2023年6月，中國證券業(yè)協(xié)會正式印發(fā)《證券公司網絡和信息安全三年提升計劃（2023-2025）》，明確提到持續(xù)加強網絡安全態(tài)勢感知和通報預警，促進證券行業(yè)網絡和信息安全建設取得扎實成效。相關單位提出要求，證監(jiān)會監(jiān)管范圍內的單位需要報送網絡安全數(shù)據至行業(yè)網絡和信息安全態(tài)勢感知平臺，參照行業(yè)網絡和信息安全態(tài)勢感知平臺數(shù)據報送規(guī)范。

面對越來越嚴峻的安全態(tài)勢，企業(yè)如何判斷整體安全水位？提升智能化安全防護水平？騰訊安全運營資深專家、SOC產品負責人齊恒結合證券行業(yè)安全態(tài)勢的思考，分享騰訊安全SOC如何幫助各行各業(yè)提升安全運營能力。

Q1：近年來證券行業(yè)整體的安全建設發(fā)生了哪些變化？

齊恒：證券行業(yè)對網絡安全的重視程度越來越高，主要體現(xiàn)在，一方面，組織架構逐步調整來應對日益嚴重的網絡態(tài)勢，例如組建網絡安全攻擊團隊驗證企業(yè)網絡安全建設的水平；另一方面，企業(yè)安全投入也越來越大，不同的證券公司會根據收入和利潤水平制定投入預算，這個投入每年最高可以達到10%，這個值是相當高的。這兩點能明顯看到他們的網絡安全防護水平是在上漲的。

此外，隨著數(shù)字化的進程發(fā)展，整個網絡安全態(tài)勢越來越嚴峻。黑客工具的獲取越來越容易，例如攻擊勒索、挖礦、釣魚等，這對網絡安全態(tài)勢帶來很大影響。因為實施網絡攻擊變得更加容易，所以安全態(tài)勢也會更加嚴峻。這就要求企業(yè)能夠組建更加專業(yè)的團隊去應對攻擊帶來的安全風險，而不同的證券公司、金融機構的安全建設水平參差不齊。

Q2：能否結合具體的攻擊事件，談談證券企業(yè)受到了哪些影響？

齊恒：例如，2021年臺灣某大型券商遭到黑客攻擊，導致股價暴跌，震動了整個金融界。從這點能看到網絡安全攻擊事件不僅會對企業(yè)財產造成損失，對口碑和聲譽也有很大影響。近兩年來證監(jiān)會對整個證券行業(yè)的網絡安全問題也越來越重視，國內上半年多家頭部券商因網絡安全事件被證監(jiān)會通報。對發(fā)生網絡安全事故的企業(yè)，也會對相應責任人，例如CIO、CSO級別進行雙軌制通報。

Q3：我們如何看待證券行業(yè)安全運營體系的發(fā)展，對安全運營有否提出一些不同的需求點？

齊恒：今年我們的整體安全策略確實會重點考慮到企業(yè)的安全建設階段和更適合驅動企業(yè)業(yè)務的安全部署。在我們看來，企業(yè)安全建設可以分為三個階段：合規(guī)驅動階段、攻防驅動階段和自適應驅動也叫智能化階段。

在合規(guī)驅動階段，企業(yè)主要關注滿足網絡安全合規(guī)要求，如購買安全設備，如防火墻、IDS、IPS等，以保障網絡的基本安全運行需要。

要讓網絡安全建設往下一個階段進化，就要求我們能夠做到日?；踩\營。日?；踩\營要求把分散的安全設備有機地組織起來，來提升安全運營效率。對日常攻擊、突發(fā)攻擊能做到快速的應急響應。

在智能化驅動階段，我們發(fā)現(xiàn)AIGC等AI工具進一步提升安全防護難度，釣魚攻擊等常見攻擊手段的容易程度也有了提升。例如之前可能需要專門針對某一個場景設計釣魚劇本，但現(xiàn)在通過AIGC之類的工具，可以很容易生成面向某一類群體的攻擊工具進行針對性地釣魚，這就要求企業(yè)安全運營要從目前的攻防階段往下一個更加智能化的階段去轉變。我們可以通過AI和大模型等高階工具，從海量數(shù)據里進一步挖掘安全價值，驅動安全運營工作往更智能化、自動化的方向發(fā)展。

Q4：騰訊安全針對安全運營是如何思考企業(yè)部署的？產品或者技術上，我們有否一些具體的領先性？

齊恒：我們在最開始進入行業(yè)時，發(fā)現(xiàn)很多客戶都反映了一個問題，就是公司在購買安全產品后，沒有辦法很好地用起來。我們一直思考，騰訊安全的產品怎么幫助客戶真正地把產品用起來，更好地發(fā)揮安全運營的價值。所以我們不僅要做平臺，我們更希望是教會客戶怎么用這個平臺，讓很多沒有安全知識積累的客戶也能用好。

在這個產品理念下，我們的產品提出了聚焦于TDIR，也就是威脅的檢測、分析、調查、響應整個威脅運營階段來凸顯產品價值。

在威脅檢測層面，我們能夠采集多種來源的安全日志，采完之后進行日志的標準化和范式化處理。輸入到下一個階段，我們提出基于ATT&CK的一整套攻防對抗框架，實現(xiàn)告警的有效降噪。在響應階段，我們基于SOC運營體系，可以做快速的、有效的、全場景的、輕量化的響應，最終實現(xiàn)威脅事件告警的運營閉環(huán)。

Q5：剛才提到的企業(yè)自身階段的安全部署策略，請問騰訊安全運營具體是怎么對應的？

齊恒：如前面提到，企業(yè)會有不同階段和述求的安全部署要求。

首先是合規(guī)階段，針對這部分客戶，我們會快速部署安全運營平臺，在安全運營常態(tài)化的階段，針對合規(guī)的客戶已經建設各類安全設備、產品，快速收集安全日志、進行規(guī)范化分析，然后做告警降噪、針對告警做調查和響應，實現(xiàn)安全運營閉環(huán)，從而使得客戶能快速提升至攻防常態(tài)化的階段。

當企業(yè)邁入智能化階段，針對這部分客戶，我們會通過安全湖產品提升客戶對現(xiàn)有采集數(shù)據的分析效率。從攻擊時效性來看，很多APT攻擊的潛伏時間其實有3個月甚至9個月之久。針對這些高級威脅如何做檢測和防護，就需要對工具、平臺做進一步升級。騰訊安全的安全湖可以針對這一部分客戶場景，基于客戶數(shù)據做更長時間，例如9個月甚至1年的數(shù)據分析，極大提升高級威脅的檢測時長和分析效率。

Q6：能否介紹下騰訊安全在證券行業(yè)比較好的客戶實踐？

齊恒：以騰訊安全正在服務的某頭部大型券商客戶為例，客戶在使用安全運營產品過程中，能明顯地看到該產品并不能滿足日常的安全運營要求。這體現(xiàn)在兩方面，第一個是日志儲存，日志采集和處理能力十分有限，還會有丟失數(shù)據的情況。第二塊是客戶需要針對新的安全場景和安全問題，能快速地進行場景建模和場景運營，但原來的安全平臺并不能很好地滿足客戶對安全建設的需求。

所以我們引入了騰訊安全SOC產品。騰訊安全提出證券行業(yè)安全運營解決方案，騰訊安全運營中心（SOC）以云原生技術為基礎，倉湖一體化大數(shù)據平臺為底座，MITRE ATT&CK技戰(zhàn)術框架為指導，結合騰訊領先的威脅情報能力、AI和可視化技術，聚焦TDIR（Threat Detection, Investigation and Response）威脅運營，打造智能化安全運營平臺，提升企業(yè)安全運營效率，實現(xiàn)企業(yè)全網安全態(tài)勢可知、可見、可控的閉環(huán)。

Q7：在證券行業(yè)之外，其它行業(yè)是否也有這樣的安全需求？騰訊安全能否滿足他們的安全建設需求？

齊恒：不只在證券行業(yè)，在整個金融行業(yè)尤其是銀行，我們也有很好的標桿案例來驗證我們的產品價值。

銀行也是近兩年來受網絡攻擊困擾比較大的行業(yè)，他們的安全建設水位也很高。我們也提出了包括像UEBA AI的能力，進一步提升他們在內網威脅與違規(guī)等方向的威脅檢測和識別能力，保險行業(yè)也是一樣，我們的產品解決方案能更好地滿足更廣泛的行業(yè)需求。

同時隨著數(shù)字化進程深入，很多央國企也在推進數(shù)字化轉型，也面臨同樣的安全問題。我們的產品方案在金融行業(yè)打磨完成后，能很好地滿足央國企客戶的安全運營建設訴求。

Q8：未來，騰訊安全有哪些行業(yè)產品規(guī)劃？

齊恒：隨著越來越多的企業(yè)進到智能化安全運營的階段，我們也在加強安全湖產品能力。

目前我們以該產品為底座，跟很多生態(tài)伙伴包括友商合作，在安全湖之上打造面向不同行業(yè)、不同應用場景的APP，來滿足客戶的安全需求。例如，面向海量數(shù)據挖掘的需求，我們在安全湖上面，構建了像NDR、 EDR、XDR的APP化場景，也結合騰訊優(yōu)勢的威脅情報能力構建威脅情報分析APP，然后也會結合生態(tài)內友商的安全產品、能力構建APP，促進安全生態(tài)越來越繁榮。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：