案例简介

当下是各银行吸收新技术理念推动内部创新，开展数字化转型并向生态化演进的发展关键时期。然而，随着各银行业务和IT的架构、运营模式的重大变革，作为承载和支撑数字化转型的基石，银行IT基础设施、应用、数据、业务和人，已然呈现安全风险集中化、扩大化、复杂化、动态化的趋势：一些在银行传统架构、模式下不存在或可接受的安全风险，在数字化转型过程中将被诱发、扩大、集中和凸显；同时，资产、威胁、脆弱性等安全风险要素，会因数字化转型带来的架构、运营模式变革，发生快速、持续、不可预测的变化和相互影响。此外，安全管理作为银行内部经营活动的重要组成部分之一，需要与银行整体数字化转型保持战略一致，推动自身的数字化转型，实现与业务、IT架构和运营模式的深度融合。

自2018年起，平安银行信息安全团队业已着手开展数字化安全运营体系的研究、规划与建设工作。经过深入的调研和探讨，团队明确将“数据”“效率”“价值”作为平安银行数字化安全运营转型的三大基石，构建了以Thoth统一安全管理平台（以下简称Thoth平台）为新核心的安全运营技术中台体系，逐步推动“以数据为抓手”的内部安全资源整合，“以效率为导向”的安全自动化能力构建，以及“以价值为根本”的安全度量指标体系重构等转型主线任务的落地实践，取得了较好的成效。

项目亮点

成功的数字化安全运营体系，需要对旧有安全运营体系内零散的安全资源进行整合，重构对应的安全资源与服务能力。这包括：

1.在安全数据层面进行资源整合。其目标是对来自组织中所有IT资源（系统、网络、应用、数据等）产生的各类安全信息（如日志、流量、告警等）进行统一的实时监控与历史溯源分析，并以标准化流程对安全风险与安全事件进行研判、处置与跟踪，通过关注资产、威胁、脆弱性的安全监测覆盖率与事件检出率，来提升SOC的整体运营能力。再基于底层数据基础，制定相应的量化指标体系。

2.在流程与自动化层面进行资源整合。其目标是通过集成编排、自动化与信息共享手段，整合安全工具资源，并借助自动化工具实现标准化的检测、分析和响应流程。通过关注监测、分析、响应的流程标准化和处理时效性，来提升SOC的整体运营能力。

图1   数字化安全运营整合思路示意图

因此，我们借助了OODA模型的理论思想，从实际情况和安全运营最急迫的需求出发，以底层的安全大数据平台为基础，快速构建对应的安全运营能力。主要包括：

1.在观察侧，我们着重从数据采集层面构建看见的能力，突出情报的接入和应用。这包括外网资产暴露面监控、外部漏洞情报监测、外部威胁情报接入、按需扩充与完善内部数据采集、分行IT资产上报与识别等。

2.在判断侧，我们重点通过对数据的分层建模和逐层抽象，通过聚焦来看懂数据。这包括数据的分层建模与逐层抽象、研判预警规则集（暴露面、未知资产、外部漏洞、威胁情报、外部攻击告警、内部违规告警），以及资产、漏洞、威胁、告警、事件间的关联与定位等。

3.在决策侧，我们强调的是基于不同领域的工作台构建对应的风险预警能力，并通过风险地图的方式来分层呈现风险。这包括漏洞预警工作台（人工研判与预警）、告警与事件工作台（告警处理及规则调整）、基线管理工作台（基线可视化及预警）、资产管理工作台（资产搜索引擎、资产风险评分）、风险地图与风险分层可视化（得分、数量、占比、时效）等。

4.在动作侧，我们通过统一工作流引擎和各类工作台，来实现资产、漏洞、基线、事件、情报等五个基础设施安全重点运营领域的闭环管理，并借助统一安全服务目录来实现安全与业务、开发、运维间的高效协同。这包括漏洞响应工作台（漏洞响应、跟踪与复盘）、情报响应工作台（情报分发、检测与处置）、事件处置工作台（处置指令、工作流）等。

    图2    基于OODA循环的平台设计示意图

而在平台具体建设实践过程中，我们结合行内实际情况，在以下几个领域做了相应的创新尝试：

1.数据分层建模与逐层抽象。为了解决传统SOC和安全大数据平台在后期应用中碰到的数据应用和数据管理复杂度高，数据关联性和可用性差等问题，项目团队在设计之初就借鉴了情报分析的数据建模思路，将数据分为了原始数据、一次抽象后的信息，二次抽象后的知识，以及三次抽象后的决策共四个层次，根据不同层次的数据特性和数据需求，采用不同的建模方法，对数据进行分层加工处理。

图3    数据分层建模与逐层抽象示意图

（1）在原始数据层面，我们做的是规范化和尽量结构化，确保单一数据来源的数据符合既定的采集规范，方便后续抽象处理。

（2）在信息层面，是对所有原始数据进行一次抽象的分析加工，主要做的就是标准化，例如借鉴STIX标准处理威胁情报数据，借鉴SCAP标准处理CPE和漏洞数据，按自定义标准处理IT资产数据等。同时还会对所有基础数据尽量做实体-属性-关系的抽象。信息层的数据，我们定义为一次抽象后的过程数据，无法直接体现风险结果，但是是上层做知识转化的基础。

（3）在知识层面，我们会在信息层之上根据“以目标为中心”的分析方法进行二次抽象，对标准化、本体化后的数据做深度加工，例如对某一新爆发的0day漏洞，基于CPE、资产和流量数据，做受影响资产关联定位和攻击事件分析，亦或是基于对AD域管理员正常访问行为的抽象，反向提取可能存在的异常行为特征。

（4）在决策层面，我们在前二次数据抽象的基础上，实现动作中指令和反馈的人读或机读的标准化描述，例如发布一个漏洞预警的指令该如何描述，发出一个IP封堵的指令该如何描述，发出一个可疑行为告警的指令该如何描述…基于这些描述，为后续的事件编排和自动化响应打下基础。通过上述方式，我们一方面强化了对数据的统一管理，初步具备了一定的安全数据治理能力，另一方面也大幅降低了数据应用的复杂度，初步具备了根据不断变化的安全需求动态调整数据分析应用方式的能力。

通过实践，我们认为通过对数据进行统一的分层建模与逐层抽象，可以有效强化对数据的管理，大幅降低数据应用复杂度，为整个USM平台的建设落地打下最坚实的基础。

2.知识图谱技术支撑关联分析。由于厂商产品间的数据壁垒，加上安全基础数据有着大量、复杂、零散的特征，在过往做相应的关联分析时，经常会因为单类数据处理过程不透明，数据质量不高，或是原始数据缺失，导致对于复杂或未知安全场景，无法进行有效的安全分析和建模。

因此，项目团队在项目启动之初，就确定了大规模应用知识图谱技术来支撑越来越多的安全数据关联分析需求的路线。在实现上，我们借鉴了公安情报导侦中运用的知识图谱分析方法，运用知识图谱技术构建了以一次抽象数据为基础的一个全局图谱数据库，再根据不同的分析场景进行关系算法建模，从全局图谱中获取针对特定场景的分层图谱，通过定向的数据挖掘和可视化分析手段，获取相应的分析结果。

图4    知识图谱技术在安全关联分析中的应用示意图

目前，我们已经在资产、漏洞、威胁、事件四大方面的多个关联分析场景中运用了此类技术，并尝试在更为复杂的资产聚类分析、资产访问关系分析、漏洞修复依赖性分析、威胁技战术TTP分析、攻击团伙聚类分析，以及事件溯源分析等细分领域进行应用尝试。

从使用效果来看，知识图谱技术的深度运用可有效解决复杂/未知场景下的安全数据和指标分析需求，大幅提升安全运营的分析深度，值得继续深入摸索。

3.安全编排与自动化（SA&O）。在SA&O引擎设计与实现上，我们针对传统SA&O的局限性，充分利用我们自研自建的优势，在SA&O的使用场景和架构设计上做了以下的应用创新。

（1）通过增加元数据集和数据处理规则集的调用，使SA&O不再局限于只能做响应的自动化编排，而能同样应用于安全数据分析人员日常的元数据处理与抽象的编排。

（2）利用自研SA&O引擎的剧本交叉引用功能，以及与自研自建的知识图谱引擎间的协同，实现了部分数据分析工作的线性阶段拆分和可视化分析建模要求落地。例如，在对内外部资产访问关系关联分析时，结合图谱的可视化展示要求，界定了对应的数据处理必须达到的本体节点阈值，用SA&O引擎辅助分析人员不断优化处理逻辑，以满足前端的数据关联可视化展现要求。

（3）为降低SA&O的使用难度，同时部署了两套SA&O引擎，一套用于真正的生产，另一套则采用旁路部署方式，为数据分析和运营人员提供异构验证环境，对编排剧本的可行性做尝试和验证。

（4）基于在上层应用层针对漏洞、基线、告警、事件、情报等多个领域自研的工作台，打通工作台与SA&O引擎间的数据、动作接口，可根据需要加入自定义的人工确认点，从工作台获取人工确认的决策和反馈指令，实现了对各类工作台日常/应急工作流的人工+自动化的混合编排。

从目前效果来看，运用SA&O技术在Thoth平台构建对应的编排与自动化基础服务，可有效降低日常安全运营活动中的SOP流程动作执行的复杂度，减少不必要的人机交互，并能在平台底层的数据处理与分析场景得到更广泛的应用，相比传统SA&O或SOAR工具而言，具备更广阔的应用想象空间。

应用成效

经过多次迭代升级，Thoth平台已为平安银行的安全运营数字化转型提供了有效的助力。至今，Thoth平台已完成行内38个安全基础数据源的整合，实现了对全行近20万主机、5万余终端、2万余设备、6千余应用、近6万人员及千万级账号的安全资产全局建模，21类实体安全标签的自动标记，以及对单一资产实体的自动化风险评分与风险预警。

在安全运营支撑层面，Thoth平台已实现日均400多万原始告警的自动化过滤、合并、情报匹配和资产关联，告警过滤收敛率超95%，合并收敛率超96%，有效情报命中率近40%。同时，借助积累沉淀的150多条告警过滤规则，20多项自定义告警模型，40多个自定义风险场景，近30个编排剧本和85个资产实体模型，大幅提升安全运营自动化效率，在有限人力条件下将MTTD、MTTA、MTTR均提升至小时级。

同时，在运营闭环管理层面，通过基于数据、流程和工具的安全内嵌，以及与运维、研发团队核心中后台的数据、功能融合，Thoth平台已成为平安银行内部安全闭环管控的基础能力输出平台，在数据安全治理、流程安全卡点、资产安全治理、SDLC管控等方面都已深度介入，推动相关领域的数据化、线上化、自动化和平台化转型。

此外，通过Thoth平台的深度应用与推广，在安全团队内部及与行内多部门协同过程中，我们成功营造了“以数据说话”的工作氛围，着重建立了以数据为基础的风险发现、风险跟踪和整改效果反馈机制，推动了数据透明化、场景明确化、风险可视化、效果清晰化的管理协同“四化”落地。

团队成就

在平安银行信息安全团队负责人宋歌的带领下，Thoth项目团队从零启航，通过自研自建Thoth平台，打造了一支有着“首战用我，用我必胜”信念，能打硬仗、敢打硬仗的骨干人才队伍，并在多个安全创新技术领域积累了丰富的实战经验，创出了有平安银行特色的安全运营数字化转型之路。

Thoth平台项目作为平安银行信息安全团队在数字化安全运营领域的创新实践成果，已先后获得多项行业认可。其中包括：人民银行银行科技发展三等奖，《亚洲银行家》2020年度最佳网络安全和IT风险管理项目大奖，以及《金融电子化》杂志2020年度金融科技创新突出贡献奖。