2023年6月，中國證券業協會正式印發《證券公司網絡和信息安全三年提升計劃（2023-2025）》，明確提到持續加強網絡安全態勢感知和通報預警，促進證券行業網絡和信息安全建設取得扎實成效。相關單位提出要求，證監會監管范圍內的單位需要報送網絡安全數據至行業網絡和信息安全態勢感知平臺，參照行業網絡和信息安全態勢感知平臺數據報送規范。

面對越來越嚴峻的安全態勢，企業如何判斷整體安全水位？提升智能化安全防護水平？騰訊安全運營資深專家、SOC產品負責人齊恒結合證券行業安全態勢的思考，分享騰訊安全SOC如何幫助各行各業提升安全運營能力。

Q1：近年來證券行業整體的安全建設發生了哪些變化？

齊恒：證券行業對網絡安全的重視程度越來越高，主要體現在，一方面，組織架構逐步調整來應對日益嚴重的網絡態勢，例如組建網絡安全攻擊團隊驗證企業網絡安全建設的水平；另一方面，企業安全投入也越來越大，不同的證券公司會根據收入和利潤水平制定投入預算，這個投入每年最高可以達到10%，這個值是相當高的。這兩點能明顯看到他們的網絡安全防護水平是在上漲的。

此外，隨著數字化的進程發展，整個網絡安全態勢越來越嚴峻。黑客工具的獲取越來越容易，例如攻擊勒索、挖礦、釣魚等，這對網絡安全態勢帶來很大影響。因為實施網絡攻擊變得更加容易，所以安全態勢也會更加嚴峻。這就要求企業能夠組建更加專業的團隊去應對攻擊帶來的安全風險，而不同的證券公司、金融機構的安全建設水平參差不齊。

Q2：能否結合具體的攻擊事件，談談證券企業受到了哪些影響？

齊恒：例如，2021年臺灣某大型券商遭到黑客攻擊，導致股價暴跌，震動了整個金融界。從這點能看到網絡安全攻擊事件不僅會對企業財產造成損失，對口碑和聲譽也有很大影響。近兩年來證監會對整個證券行業的網絡安全問題也越來越重視，國內上半年多家頭部券商因網絡安全事件被證監會通報。對發生網絡安全事故的企業，也會對相應責任人，例如CIO、CSO級別進行雙軌制通報。

Q3：我們如何看待證券行業安全運營體系的發展，對安全運營有否提出一些不同的需求點？

齊恒：今年我們的整體安全策略確實會重點考慮到企業的安全建設階段和更適合驅動企業業務的安全部署。在我們看來，企業安全建設可以分為三個階段：合規驅動階段、攻防驅動階段和自適應驅動也叫智能化階段。

在合規驅動階段，企業主要關注滿足網絡安全合規要求，如購買安全設備，如防火墻、IDS、IPS等，以保障網絡的基本安全運行需要。

要讓網絡安全建設往下一個階段進化，就要求我們能夠做到日?；踩\營。日?；踩\營要求把分散的安全設備有機地組織起來，來提升安全運營效率。對日常攻擊、突發攻擊能做到快速的應急響應。

在智能化驅動階段，我們發現AIGC等AI工具進一步提升安全防護難度，釣魚攻擊等常見攻擊手段的容易程度也有了提升。例如之前可能需要專門針對某一個場景設計釣魚劇本，但現在通過AIGC之類的工具，可以很容易生成面向某一類群體的攻擊工具進行針對性地釣魚，這就要求企業安全運營要從目前的攻防階段往下一個更加智能化的階段去轉變。我們可以通過AI和大模型等高階工具，從海量數據里進一步挖掘安全價值，驅動安全運營工作往更智能化、自動化的方向發展。

Q4：騰訊安全針對安全運營是如何思考企業部署的？產品或者技術上，我們有否一些具體的領先性？

齊恒：我們在最開始進入行業時，發現很多客戶都反映了一個問題，就是公司在購買安全產品后，沒有辦法很好地用起來。我們一直思考，騰訊安全的產品怎么幫助客戶真正地把產品用起來，更好地發揮安全運營的價值。所以我們不僅要做平臺，我們更希望是教會客戶怎么用這個平臺，讓很多沒有安全知識積累的客戶也能用好。

在這個產品理念下，我們的產品提出了聚焦于TDIR，也就是威脅的檢測、分析、調查、響應整個威脅運營階段來凸顯產品價值。

在威脅檢測層面，我們能夠采集多種來源的安全日志，采完之后進行日志的標準化和范式化處理。輸入到下一個階段，我們提出基于ATT&CK的一整套攻防對抗框架，實現告警的有效降噪。在響應階段，我們基于SOC運營體系，可以做快速的、有效的、全場景的、輕量化的響應，最終實現威脅事件告警的運營閉環。

Q5：剛才提到的企業自身階段的安全部署策略，請問騰訊安全運營具體是怎么對應的？

齊恒：如前面提到，企業會有不同階段和述求的安全部署要求。

首先是合規階段，針對這部分客戶，我們會快速部署安全運營平臺，在安全運營常態化的階段，針對合規的客戶已經建設各類安全設備、產品，快速收集安全日志、進行規范化分析，然后做告警降噪、針對告警做調查和響應，實現安全運營閉環，從而使得客戶能快速提升至攻防常態化的階段。

當企業邁入智能化階段，針對這部分客戶，我們會通過安全湖產品提升客戶對現有采集數據的分析效率。從攻擊時效性來看，很多APT攻擊的潛伏時間其實有3個月甚至9個月之久。針對這些高級威脅如何做檢測和防護，就需要對工具、平臺做進一步升級。騰訊安全的安全湖可以針對這一部分客戶場景，基于客戶數據做更長時間，例如9個月甚至1年的數據分析，極大提升高級威脅的檢測時長和分析效率。

Q6：能否介紹下騰訊安全在證券行業比較好的客戶實踐？

齊恒：以騰訊安全正在服務的某頭部大型券商客戶為例，客戶在使用安全運營產品過程中，能明顯地看到該產品并不能滿足日常的安全運營要求。這體現在兩方面，第一個是日志儲存，日志采集和處理能力十分有限，還會有丟失數據的情況。第二塊是客戶需要針對新的安全場景和安全問題，能快速地進行場景建模和場景運營，但原來的安全平臺并不能很好地滿足客戶對安全建設的需求。

所以我們引入了騰訊安全SOC產品。騰訊安全提出證券行業安全運營解決方案，騰訊安全運營中心（SOC）以云原生技術為基礎，倉湖一體化大數據平臺為底座，MITRE ATT&CK技戰術框架為指導，結合騰訊領先的威脅情報能力、AI和可視化技術，聚焦TDIR（Threat Detection, Investigation and Response）威脅運營，打造智能化安全運營平臺，提升企業安全運營效率，實現企業全網安全態勢可知、可見、可控的閉環。

Q7：在證券行業之外，其它行業是否也有這樣的安全需求？騰訊安全能否滿足他們的安全建設需求？

齊恒：不只在證券行業，在整個金融行業尤其是銀行，我們也有很好的標桿案例來驗證我們的產品價值。

銀行也是近兩年來受網絡攻擊困擾比較大的行業，他們的安全建設水位也很高。我們也提出了包括像UEBA AI的能力，進一步提升他們在內網威脅與違規等方向的威脅檢測和識別能力，保險行業也是一樣，我們的產品解決方案能更好地滿足更廣泛的行業需求。

同時隨著數字化進程深入，很多央國企也在推進數字化轉型，也面臨同樣的安全問題。我們的產品方案在金融行業打磨完成后，能很好地滿足央國企客戶的安全運營建設訴求。

Q8：未來，騰訊安全有哪些行業產品規劃？

齊恒：隨著越來越多的企業進到智能化安全運營的階段，我們也在加強安全湖產品能力。

目前我們以該產品為底座，跟很多生態伙伴包括友商合作，在安全湖之上打造面向不同行業、不同應用場景的APP，來滿足客戶的安全需求。例如，面向海量數據挖掘的需求，我們在安全湖上面，構建了像NDR、 EDR、XDR的APP化場景，也結合騰訊優勢的威脅情報能力構建威脅情報分析APP，然后也會結合生態內友商的安全產品、能力構建APP，促進安全生態越來越繁榮。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：