选自公众号：安全村SecUN

原文链接：

1、是否自研的决策考量

平安银行认为：外购系统和自研系统有各自摊低成本的逻辑。面对过于专精或非常成熟的系统时选外购，面对难度不大或准备长期走此道路时选自研。

2、最小化开发：降低自研成本

首选是寻找成熟的开源解决方案，在此基础上进行二次开发可以极大地降低工作量。如果没有，则需将需求、功能拆分后，调研每一个子模块有没有开源解决方案。

如果有开源解决方案但不能完全满足需求，则可以顺藤摸瓜，研究其所依赖的开源组件是否能为我所用。要坚信，太阳底下没有新鲜事，我们所面临的技术问题还远未到挑战科技前沿的地步。在找零件上即使花费数周时间，最后也会物超所值。

3、自研安全运营中心历程

1.0版本：简陋的事件管理平台

平安银行的安全运营中心（SOC），就是在时间紧急的情况下，由一位工程师花一晚上的时间从自研的漏洞管理系统改写而来，然后就此迭代沿用至今。1.0版本的SOC是一个事件管理平台，实现了事件的上报、通知、跟踪等功能，一键处置手段只有封IP，以及必要的仪表盘、报表。这一时期分析研判还是在各安全设备上进行，SOC则满足了日常运营流程的基本需求。

2.0版本：海量告警接入分析与优化

这一时期SOC平台功能大大完善。架构方面，以服务于全团队的安全大数据平台作为基底。平台负责全量告警、日志、资产、情报等**各类数据的接入分析，做告警的研判和事件的处置。这一时期我们树立了“全量告警应查尽查、攻击事件应报尽报”的目标。每日回顾时，不允许存在无下文的“野”告警。

我行通过安全大数据平台的规则已实现了99%左右的告警过滤，但剩余告警仍有万级。这时，为确保真正高危的告警得到及时研判，就要对告警进行分类分级。分类，指将告警分成自动策略处置、人工研判、待观察、忽略等类别，直接进入不同的后续流程。分级，指将需要人工研判的告警进行细粒度的级别，并按照优先级进行展示，确保真正高危的告警被置顶。

所有告警字段都可以用于分类分级，除常见的告警类型、威胁名称、危险等级、攻击结果等，还可使用前期富化的字段。包括：

①网络流向：DMZ、应用、数据库、外联、管理，从哪个域到哪个域？互联网、生产/测试网、办公网，从哪个区到哪个区？②情报：来源、置信度、重点关注标签。③资产：漏洞信息、重点关注标签。

2.5版本：处置能力增强并解决误操作

这一时期的SOC重点加强了一键处置的能力，可对多类型目标、多环境进行一键处置。

近一年平安银行封禁外网IP已达万级，即使只有0.1%的误封，也意味着平均每个月就会误封一次，这会给正常办公带来影响，平安银行这样解决：

①白名单保护。白名单在系统中录入和生效，如果对名单中的对象发起处置会被系统拒绝。

②是将处置信息进行公示，让人自助查询IP等是否已被封禁。

③按需将封禁操作知会到本人、上级、业务负责人，使用IM、邮件、短信等各种方式。

4、展望

SOC平台目前运转良好，经受住了历次HW行动的大考。但随着事件处置的场景越来越多、步骤越来越复杂，如何确保快速、准确地执行成为难题。例如勒索病毒场景，甚至需要大量数据库、云平台管理员协同。显然，SOAR（自动化编排响应技术）是一种解决思路，这将成为平安银行下一阶段的重点。