(CWW)在金融科技(FinTech)全面推動(dòng)下,新型技術(shù)與數(shù)字業(yè)務(wù)擴(kuò)展延伸出了很多新的安全問題,同時(shí)也受到了更加嚴(yán)格的監(jiān)管合規(guī)要求。在此背景下,國內(nèi)某銀行用戶部署亞信安全的信舷Web應(yīng)用防火墻(AISWAF),進(jìn)一步夯實(shí)了防范個(gè)人信息泄露以及賬戶資金竊取的網(wǎng)絡(luò)安全風(fēng)控能力,樹立了金融數(shù)據(jù)中心安全合規(guī)管理的最佳實(shí)踐案例。
傳統(tǒng)防御體系正被打破Web安全進(jìn)入全新階段
金融行業(yè)一直是IT高度發(fā)展的一個(gè)領(lǐng)域,同時(shí)也是數(shù)據(jù)資產(chǎn)高度集中的一個(gè)行業(yè)。在這種背景下,金融行業(yè)對(duì)于安全的重視程度普遍較高,安全技術(shù)和管理能力也都更勝一籌。
作為全國12家股份制銀行中排名前列的銀行,用戶一直采用某品牌的傳統(tǒng)WAF產(chǎn)品保障核心業(yè)務(wù)的安全運(yùn)行,如信用卡商城,信用卡App等關(guān)鍵業(yè)務(wù)。然而,傳統(tǒng)WAF技術(shù)存在較大的局限性,已不再適應(yīng)當(dāng)下復(fù)雜的網(wǎng)絡(luò)攻擊形勢,因此WAF技術(shù)的革新升級(jí)成為必然。為此,用戶決定在災(zāi)備數(shù)據(jù)中心部署能力更強(qiáng)的新一代WAF產(chǎn)品,并邀請(qǐng)了國內(nèi)多家WAF廠商,從以下幾個(gè)方面進(jìn)行測試評(píng)估:
能夠自動(dòng)精準(zhǔn)的學(xué)習(xí)訪問流量,構(gòu)建業(yè)務(wù)訪問行為的基準(zhǔn)模型,并且可以隨著業(yè)務(wù)的變化動(dòng)態(tài)的調(diào)整所學(xué)習(xí)到的基線模型,既可以讓安全人員準(zhǔn)確了解到業(yè)務(wù)訪問的實(shí)際情況,又降低人工調(diào)整配置的復(fù)雜度,提升運(yùn)維效率;
準(zhǔn)確的攻擊識(shí)別,降低誤報(bào)率和漏報(bào)率,進(jìn)一步降低安全風(fēng)險(xiǎn);
可以按需基于不同的判斷條件靈活配置自定義策略,滿足業(yè)務(wù)防護(hù)更細(xì)粒度的防護(hù)要求;
在金融科技背景下,產(chǎn)品對(duì)于新型的攻擊行為做到有效識(shí)別和精準(zhǔn)防護(hù),如基于API相關(guān)的攻擊;
安全攻擊事件的排查需要完善的可視化視圖來追蹤溯源;
產(chǎn)品的部署不要改動(dòng)整網(wǎng)架構(gòu),需要支持安全部門和網(wǎng)絡(luò)部門跨部門合作,實(shí)現(xiàn)無縫對(duì)接,降低溝通成本;
實(shí)現(xiàn)Web應(yīng)用安全一體化防御守住用戶的“錢袋子”
保住用戶的錢袋子、嚴(yán)防個(gè)人身份信息泄露是金融企業(yè)的天職。經(jīng)過前期論證以及后續(xù)的PoC驗(yàn)證,亞信安全WAF在防護(hù)功能的完整性上以及運(yùn)維成本方面都滿足了用戶需求,并最終被部署在用戶的災(zāi)備數(shù)據(jù)中心,實(shí)現(xiàn)了Web應(yīng)用安全防護(hù)的一體化。
與傳統(tǒng)的WAF產(chǎn)品“手工打理”不同,亞信安全通過動(dòng)態(tài)構(gòu)建客戶Web應(yīng)用的合法訪問特征,采用動(dòng)態(tài)建模技術(shù)創(chuàng)建合法用戶對(duì)Web和Web服務(wù)應(yīng)用的行為的安全模型,克服了其它應(yīng)用防火墻運(yùn)維難題,全面提升了用戶數(shù)據(jù)中心的安全能力:
采用了動(dòng)態(tài)建模技術(shù),通過自動(dòng)檢測分析實(shí)時(shí)數(shù)據(jù)通信,然后應(yīng)用復(fù)雜的學(xué)習(xí)算法來創(chuàng)建包含訪問站點(diǎn)的所有合法HTTP請(qǐng)求的“業(yè)務(wù)模型”,無需人工干預(yù),還可根據(jù)Web應(yīng)用的變化進(jìn)行自適應(yīng)調(diào)整,有效偵測零日漏洞、梳理應(yīng)用、API資產(chǎn);
對(duì)灰色流量進(jìn)行協(xié)議校驗(yàn)、特征簽名、應(yīng)用模型、威脅情報(bào)等多維度并行分析,精準(zhǔn)識(shí)別惡意攻擊,降低誤報(bào)和漏報(bào)率;
亞信安全WAF提供開箱即用的安全策略,特征碼項(xiàng)目近萬個(gè),默認(rèn)策略近五百條,定期的特征庫及其安全策略更新,通過一鍵更新,保障系統(tǒng)有效識(shí)別并阻擋最新的Web攻擊;
亞信安全WAF允許安全管理員根據(jù)企業(yè)業(yè)務(wù)及安全策略需求靈活的定制策略,提供了超過40+匹配條件,實(shí)現(xiàn)強(qiáng)大的自定義安全能力,滿足用戶的業(yè)務(wù)場景防護(hù)需求;
強(qiáng)大而詳細(xì)的告警、事件、日志記錄,能夠?qū)ο鄳?yīng)的攻擊及掃描進(jìn)行實(shí)時(shí)的跟蹤和分析,提供安全審核依據(jù)采用透明橋接方式部署,能夠?qū)崟r(shí)阻斷非法流量,具有很小的處理時(shí)延,及時(shí)保護(hù)了Web應(yīng)用系統(tǒng);
采用透明橋接方式部署,無需改變現(xiàn)有架構(gòu)即可保護(hù)Web應(yīng)用系統(tǒng)安全。
形成動(dòng)態(tài)防護(hù)機(jī)制全面提升運(yùn)維效率
對(duì)于用戶而言,通過亞信安全的信舷Web應(yīng)用防火墻(AISWAF)既可以應(yīng)對(duì)已知攻擊威脅,同時(shí)也有多種防護(hù)手段應(yīng)對(duì)未知威脅攻擊,以極低的資源消耗就能防止人機(jī)攻擊行為、保障多類型的應(yīng)用安全,讓企業(yè)的安全運(yùn)維成本大幅降低。
該銀行的網(wǎng)絡(luò)安全工程師表示:“項(xiàng)目的成功部署,全面提升了Web安全及防數(shù)據(jù)泄露能力,滿足安全合規(guī)的監(jiān)管要求。同時(shí),利用亞信安全WAF的動(dòng)態(tài)應(yīng)用建模,時(shí)刻感知應(yīng)用的變化以及安全基線,將安全管理可視化,全面提升了跨部門協(xié)作和溝通效率?!?/p>
關(guān)鍵詞: 通信世界網(wǎng) 亞信安全 金融科技安全 信舷WAF 數(shù)據(jù)中心