高危警报！

十几个安全工具紧急排查

记录、分析

很难想象，若无人值守

后果如何

研究机构 Ponemon Institute 调研显示，企业在其网络上平均部署了 45 种网络安全工具。

安全工具运维繁多、值守存在空窗期、经验难沉淀、事件分析流程繁琐……

面对困境，中信证券在丰富经验和自研工具的护航下，寻找破局之路。

中信证券
中信证券成立于 1995 年 10 月，2003 年在上海证券交易所挂牌上市交易，2011 年在香港联合交易所挂牌上市交易，是中国第一家 A+H 股上市的证券公司。中信证券收入和净利润连续十余年排名行业前列；净资本、净资产和总资产等规模优势显著；各项业务保持市场领先地位。多年来获得亚洲货币、英国金融时报、福布斯、沪深证券交易所等境内外机构颁发的各类奖项。中信证券以“成为全球客户最为信赖的国内领先、国际一流的中国投资银行”为愿景，践行国家战略、服务实体经济，为社会创造更大价值。

01  寻找

多年以来，中信证券股份有限公司已经建立了安全大数据治理基础和纵深防御体系，并取得了一定成效，但安全团队也发现了其中的不足。

首先，在实际工作中，一些关键危害指标（IOC）分散在不同能力产品上，不同的安全工具提供类型指标、风险角度迥异的见解，在手动调查 IOC 时，仍需要到分散的工具上验证，这个问题在高频攻击、值守虚弱期应急响应中尤为明显。

其次，中信证券安全团队在多年攻防演练和应急响应中积累了丰富经验，虽形成了一套流程体系，但查阅日志和研判处置仍有赖于现场人员。

中信证券在行业安全建设中一直走在前列，追求更加高效、便捷的安全管理措施，面对新形势下的挑战和诉求，中信证券希望尽快找到有效解决之道……

02  是你吗

SOAR（Security Orchestration, Automation and Response），最早由 Gartner 在 2015 年提出，在其 2020 年发表的材料中，定义 SOAR 是“一种从各种来源获取输入，并应用工作流来处理各种安全过程与规程，从而为安全运行人员提供机器协助的解决方案。”

中信证券认为，SOAR 的理论体系有利于解决企业当下的安全困扰。

但随着调研与实践的深入发现，国内市场的应用实践案例并不成熟，可参考的样板间案例有限，厂商之间的生态合作也未臻完善。IDC 在 2021 年曾指出：当前态势感知解决方案的落地难题之一，是业界尚未有统一成熟的数据规范、接口规范，导致安全分析与处置，仍需投入精力运维。

此外，中信证券还考虑到，当前态势感知平台每日采集、泛化超过数万条日志，还存在分析工作，传递到 SOAR 时，对 SOAR 的数据处理性能要求极高。

种种问题好比横亘在自动化安全进阶之路的大山，让人进退两难。

经过筛选后，中信证券团队最终选择和长亭科技共同面对这些挑战，一起探索建设适配证券行业业务特点的 SOAR 平台，提升安全运营体系的自动化水平。

03  紧锣密鼓

本次双方合作建设目标大致可以分成两个部分，一是要先完成基础平台的能力建设，二是制定符合企业特点的剧本融合进平台。

方案架构由中信证券操刀，涵盖中信证券威胁情报设备、边界拦截设备、终端查杀设备、消息通知设备等，便于持续建设：

双方在调研和测试中发现，很多 SOAR 工程忽略了大量数据承载与处理对平台性能的要求，同时不同结构数据的接入、不同分析逻辑的设计，也要满足用户个性化的需求。

1、大数据性能设计

当前中信证券态势感知平台和安全设备产生大量安全日志，SOAR 一方面需要对日志进行条件降噪，另一方面需要关联不同位置、不同类型的数据进行复杂逻辑触发。

本次规划平台建设时，需利用相对成熟的大数据基础架构，平台支持集群部署，存储和分发可以横跨多个并行服务器，在监控发现性能和空间不足时，可以快速弹性扩容。

2、数据范式化设计

有效的数据范式化可大幅提升分析效率。中信证券具有不同型号、技术、厂商的网络设备、安全设备、主机/终端和应用，目前在第三方态势感知平台上集中泛化、展示。

在数据融合方面，平台能够提供对多源数据进行范式化配置；在威胁可视化方面，分析规则和 SOAR 剧本应支持接入中信证券的安全工具或业务系统。

3、分析可视化设计

平台需要提供安全触发逻辑的可配置管理能力。一方面分析需要综合各个安全设备的多维度告警信息，另一方面安全人员需要将预案或分析逻辑转化为一系列组合条件。这就要求在设定剧本触发条件时，具备智能交互式分析能力。

交互式的关联分析逻辑编辑页面

4、联动开放性设计

为满足平台能够持续迭代，在平台上设计开放性的 APP 中心、组件开发接口，用以对接可能更新的安全工具。

低代码开发，快速对接第三方组件的API接口

基于中信证券现有工作流程设计剧本。一旦满足触发条件，即各组件按照剧本流程执行，达成精细化的、分条件的处置结局，实现安全事件的处置。而面向同一类事件，其威胁程度不同，导致的最终处置结果也不尽相同。

以封禁为例：明确的、固定的恶意攻击者将被拉入黑名单永久封禁，不明确的、动态的攻击者则仅会被封禁一定周期。同时，由于证券业务接入多样复杂，为了确保封禁的有效性及全面性，中信证券在云端 cdn 侧及 IDC 本地入口等处协调联动开展了多层次全覆盖的云网一体 ip 封禁。

5、剧本设计与管理

平台提供编排流程构建可视化界面，运营人员能够经过多次设计及测试，验证输出结果是否符合预期。流程支持保存为草稿，便于后续继续编辑和完善。

04  收获

付出终有收获，从一个“基于 CDN 部署与多地机房条件下的自动化研判”剧本，就可以看出，SOAR 平台建设带来的“甜头”。

剧本分享

由于历史问题和业务需要，证券行业普遍存在接入机房众多且分布在全国各地、大量业务上 CDN 以及随之导致的监控防守覆盖不全、原始攻击 IP 难以还原、CDN 侧攻击传统手段无法阻断及海量告警难以即时处理等问题。

（1）源 IP 策略统一配置并获取，准确可控

中信证券制定了全网标准的应用层 IP 字段，通过在 CDN 及应用安全交付网关统一配置，并修改所有安全设备源 IP 获取策略优先级，确保安全事件来源准确无误，为后续基于 SOAR 的自动化研判处置打下基础。

（2）多级策略精细筛选，提高命中率

证券行业业务场景复杂，中信证券机构庞大部分子公司分布在境外，同时与众多金融机构均有专线连接，这就对 SOAR 的编排策略提出了极高的要求，一旦误判后果不堪设想。

中信证券与长亭科技通过对业务流深度剖析，并通过大量的测试检验研判策略的命中有效性及准确率。通过在各个设备上获取 XFF 或 Socket，结合威胁情报，为不同级别的攻击者设置了对应的处置方案，构建了精细化筛选的封禁体系。

（3）多点接口封禁，杜绝任何绕过可能

传统的仅基于防火墙的封禁已经不再适用于上述如涉及 CDN 回源的应用场景，中信证券在构建企业级 SOAR 的过程中，综合考虑处置场景及需求，全面对接了安全设备、安全工具平台及 CDN 封禁接口，基于安全事件种类，智能划分封禁时长、封禁地点及涉及封禁平台，确保封禁有效，杜绝任何绕过自动化处置策略的可能性。

剧本价值

该剧本强调基于情报 IOC 的判断，核心是在基于 CDN 部署与多地机房条件下，借助情报来判断远控、边界的安全事件，解决证券行业回源导致的信息参差问题，同时也适用于以威胁情报为关键指标的安全场景。

中信证券基于 SOAR 的自动化研判及处置体系自上线以来，在大量减少专业人员干预的前提下显著提高了公司态势感知平台安全事件的闭环率，并极大的缩短了事件闭环时间。

有效的剧本和条件，是根据业务访问及数据流转关系决定的，具体的处置逻辑一、处置逻辑二，需要根据单位沉淀的关键判断指标进行确认，如：业务的访问用户是否大多来源于公有云、用户需要什么认证凭证等。这些均体现了用户在长期运营过程当中，对自身安全设备和安全情况的了解，以及团队的安全责任与能力水平。

本案例同时获评“ISC数字安全创新案例”。

本次 SOAR 平台的建设有赖于中信证券长期的安全运营经验，对自身业务和网络架构的清晰了解，才能快速梳理出场景化的安全剧本，形成可落地的项目执行方案。

长亭科技万象（COSMOS）平台，以数据驱动安全、人+平台为核心理念，实时感知安全风险，集中管理安全运营。