金融是我国数字化转型较早的行业之一,证券作为金融的细分领域,既需要做好上云后的合规工作,又面临着来自云端的多种新型高级威胁。某券商依托亚马逊云科技构建了规模庞大的主机集群,但上云后,攻击敞口和攻击事件比之前有明显增加,甚至发现了以APT为代表的高级威胁,该券商又该如何应对?
随着该券商的业务上云,数据存储和应用程序全面转移到云端,攻击者也开始将目光投向云端,寻找突破口以获取机密信息或者对云端业务造成破坏。另外,云端业务的复杂性也增加了安全风险。因此,为了保障云端业务的安全,需要采取一系列的安全措施。
但对于业务上云的企业来说,安全部门人员工作普遍比较难开展。目前主要手段有两种:第一是依赖云厂商安全产品进行安全运营,但效果并不理想;第二是收集已有的云上安全设备日志进行关联分析,但这种方式对人员能力要求较高,而且误报比较多,难以进行后续的安全运营。
难道没有更直接的安全运营手段吗?最直接的方式是通过旁路检测和分析流量以发现威胁,但这并不是所有公有云厂商都支持的手段,因为在公有云上难以将流量镜像出来,除非公有云厂商向租户开放这一能力,否则大多数企业对云上业务的安全也只能望洋兴叹。
坏消息是目前在国内开放流量镜像的公有云厂商非常少,而好消息是其中之一正是该券商选择的云厂商——亚马逊云科技。
亚马逊云科技的Traffic mirroring能力允许客户在本地复制其网络流量,无需在 EC2 实例上安装和运行数据包转发代理,同时还兼顾了轻量化、安全性和易用性。这意味着,该券商可以简单、高效地通过亚马逊云科技的Traffic mirroring能力将入站方向上的Nginx/WAF实例的ENI网卡流量镜像给流量检测设备,进行进一步分析。
在流量检测设备选型上,该券商选择了微步威胁感知平台TDP。微步TDP是国内首个入选亚马逊云科技中国区Market Place的NDR产品,基于微步强大的威胁情报能力,微步TDP可对网络流量进行全面检测,可在第一时间精准发现APT等攻击行为,并利用安装在主机上轻量级Agent快速定位失陷主机及进程,辅助安全管理员及时、高效地威胁处置。
TDP云版在亚马逊云科技上的部署示意图除去和亚马逊云科技协同顺畅的优点,应对APT等网络高级威胁的能力,也是该券商最终选择微步TDP的重要原因。
高质量的威胁情报:TDP内置了百万级C2类情报、42亿信誉情报,以及最新的0day漏洞情报等,可快速发现威胁、自动归因;
覆盖全面的检测引擎:内置包括Webshell检测引擎、APT检测引擎、富文本检测引擎、测绘引擎、流量攻击检测引擎、钓鱼检测引擎等多种微步自研引擎,可精准检出威胁,告警误报率低至0.03%;
企业级服务支持:微步独有客户成功服务,7*24小时人工支撑,5分钟响应,帮助企业快速应急响应;同时提供实时在线咨询、定期产品巡检等MDR服务。
借助TDP的威胁感知能力,该券商安全部门可快速发现网络中的APT攻击行为,将损失降低到最小范围;并在短期内的ROI达到了4000%。通过与该券商的合作,微步TDP在云端的威胁感知能力再一次得到验证,TDP具备风险发现、攻击面收敛、检测响应、定位处置等功能,检测能力比肩本地版,效率远超本地版,可帮助业务上云的企业快速拥有一体化安全闭环能力,为构建基于云的网络安全防护体系提供了新选择。
某券商平台运营部运营总监表示,”微步TDP解决了通过流量引发的攻击、威胁、资产风险等安全问题,在告警准确的前提下,有效降低我们的安全运营成本,显著提升安全运营效果“。
立即体验
微步安全产品及服务