中小金融機構應進行信息安全檢測

近期一家年收入達到122億美元的國際保險集團巨頭遭受網絡安全攻擊，對其內部系統(tǒng)遭受了不同程度的影響。對比之下，國內中小金融機構無論從人力財力投入，以及安全體系的完善程度，都無法和該保險巨頭比肩，那么信息安全工作應該從哪里入手呢？筆者認為最重要的是建立全面有效的信息安全檢測手段。
網絡安全形勢嚴峻
近年來信息科技技術推動社會不斷進步的同時，也給信息安全工作帶來了極大挑戰(zhàn)，尤其是以APT（高級持續(xù)性威脅）攻擊為代表的新興威脅，絕大多數(shù)機構無法做到杜絕一切安全隱患。因此，信息安全工作的本質是提前發(fā)現(xiàn)安全隱患和處理，而絕非在出現(xiàn)信息安全事件后的補救和應急。
在此基礎，為避免公司正常運作遭受網絡安全事件的影響，安全管理員只能依靠科技手段，在“威脅出現(xiàn)”至“事件發(fā)生”期間內檢測出已經形成的安全隱患，只有通過專業(yè)的檢測手段才能夠快速、準確地尋找到隱患原因及處理方式，從而“對癥下藥，藥到病除”。
新興網絡環(huán)境下，面對層出不窮的網絡攻擊，也對網絡安全工作提出了新的要求。殺病毒、防火墻、入侵檢測這傳統(tǒng)的“老三樣”，已經難以應對人為攻擊，且容易被攻擊者利用。
構建信息安全檢測手段
在復雜且困難的環(huán)境下，中小金融機構須從資產漏洞、網絡流量、用戶行為、威脅情報、日志分析等維度建立信息安全檢測體系。
資產漏洞分析是一家公司信息安全體系建立的根本，因為網絡安全攻擊往往大都是利用信息資產存在的安全漏洞進行危害。要降低攻擊可能性，最重要的安全防護手段就是在遭受攻擊之前主動發(fā)現(xiàn)資產存在的脆弱性問題，并進行修補，防患于未然。根據漏洞掃描結果，通過正式工作通知的方式將每一個漏洞的管理落實到具體人員，并要求限期處理。待資產責任人反饋漏洞修復之后，系統(tǒng)將再次對風險資產進行掃描確保漏洞得到修復。
網絡流量分析是信息安全檢測必不可少的一環(huán)。網絡流量分析解決方案融合了傳統(tǒng)基于規(guī)則的檢測技術，以及機器學習和其他高級分析技術，通過監(jiān)控網絡流量、連接和對象，找出惡意的行為跡象，尤其是失陷后的痕跡。
用戶行為分析可以發(fā)現(xiàn)用戶或信息資產可能存在的異常行為，因為大部分的網絡攻擊雖然來自公司外部，但最嚴重的損害往往是由公司內部人員所造成的。“管理好內部威脅才能保衛(wèi)網絡安全”已經逐漸成為一種共識。通過用戶行為分析的應用，對用戶或信息資產進行綜合評分，識別內鬼行為和已入侵的潛伏威脅，從而達到提前預警的目的。
如果用戶行為分析帶有猜測的成分，那么威脅情報的存在就是通過證據對安全行為進行“判決”。通過威脅情報的分析，可及時獲悉資產已經或即將面臨的安全威脅并準確預警，結合最新的威脅動態(tài)，最終實施積極主動的威脅防御和快速響應策略，準確地進行威脅追蹤和攻擊溯源。
僅通過資產、流量、行為和情報的分析檢測公司信息安全實時狀態(tài)是不全面的，還應結合安全日志的統(tǒng)一收集和分析進行全面檢測。針對各種層出不窮的數(shù)據源類型，使用交互式日志語義解析思路，確保多廠家、多層次數(shù)據免插件、自動柔性接入，大幅降低后期各類數(shù)據接入的技術及人力成本。
擁有全面有效的檢測手段后，為便于公司和管理員高效、便捷地獲取整體情況，可建立信息安全一體化全局展示。通過資產、流量、行為等多維度的有效數(shù)據采集，實時監(jiān)控全網的安全態(tài)勢、內部橫向威脅態(tài)勢、業(yè)務外連風險和服務器風險漏洞等，讓安全管理員可以高效感知全網網絡安全狀態(tài)，從而形成一套基于“事前檢查、事中分析、事后檢測”的網絡安全檢測閉環(huán)。
文章轉載自cnBeta.COM