银行安全做得好，这个秘诀你必须知道！

1、网络攻击高发，威胁感知迟滞；

以银行为代表的金融行业一直是网络攻击的高发之地，加之金融行业数字化、信息化程度非常高，承载的又是高价值的信息，所以银行网络对于各种威胁的感知要求也非常高。传统边界防护产品显然已经无法满足其安全需求，已有威胁感知产品对真实业务流量进行分析来发现攻击事件，而此时攻击已经发生，如果遭遇勒索病毒这类威胁，则严重后果已经产生，只能亡羊补牢，所以对于银行客户而言，及时的发现攻击并进行处置与响应至关重要。

2、网络环境复杂，行业监管严格；

银行客户网络在区域划分上非常严格，生产环境、测试环境及实际应用环境等区分严格，且需要面对法律、行政法规、央行、银保监会、证监会和公安机关等多层面的监管，所以就要求网络威胁感知必须覆盖足够全面，尽量保证重要业务系统的安全。

且银行用户存储的尽是数据安全中的“重要数据”，《数据安全法》的颁布，无疑让银行用户对于安全防护的要求变得更高，对于内部的误操作或者蓄意窃取行为容忍度更低。

3、网络攻击无孔不入，安全防护是刚需；

针对金融行业的网络攻击主要有：DDos攻击造成服务中止，获取数据中心权限窃取高价值数据，渗透入内网，进行勒索病毒攻击并进行勒索等。面对这些手段不同、目的不同的网络攻击，单纯的被动防护不足以确保网络的安全，必须采取主动：主动诱导攻击，控制攻击目标；主动牵制攻击者，保护真实资产；主动反制攻击者，起到震慑作用。

1、全面感知攻击威胁，及时报警响应；

正因为网络攻击无孔不入，且攻击形式多样，所以必须要全面感知攻击，并能进行及时的响应，争取处置时间。内网中要可以做到全面覆盖，及时告警。

2、覆盖复杂网络环境，保护真实资产；

因为网络环境比较复杂，且敏感数据，重要信息分散，所以防护必须覆盖所有重要的数据及业务系统，针对重要资产进行保护，达到隐藏和保护真实资产的目的。

3、牵制攻击者精力，争取对抗时间；

诱导攻击必须能够集中吸引攻击火力，牵制攻击者时间和精力的目的，以真正实现避实击虚，保护真实资产的目的。同时可以发现真实资产的隐藏管理、系统漏洞，赢得响应处置时间。

4、联动防护体系，生成高价值威胁情报。

可以将攻击者信息及攻击路径等信息进行整合和导出，生成针对性强、高价值的威胁情报，供整个系统共享， 以提升整个网络防护体系的防护能力。

1、蜜罐部署覆盖所有网域及重要业务系统：

客户最终采用的创宇蜜罐解决方案采用私有化部署的方式，采用双机热备方式部署在主备机房，蜜罐覆盖了整个内网核心区域，并将DMZ区的高仿真蜜罐的内网IP通过NAT转换映射到公网IP向互联网开放，再将空域名解析到公网IP，来增加攻击诱捕的效果和感知范围。

蜜罐设备、客户端安装配置好后，后续操作管理都在蜜罐控制中心进行，涵盖蜜罐部署、攻击日志查看、攻击者画像、蜜罐态势大屏、风险大盘等功能模块。

图1 方案拓扑

表1 典型蜜罐列表

2、联动方案打造立体化联动联防安全体系：

创宇蜜罐还进一步和客户原有态势感知平台、资产测绘、防火墙等实现了数据联动，通过创宇安全智脑实现了威胁情报的打通和再利用，真正实现了打造立体化联动联防安全体系的目标。

图2 整体联动示意

1、全面感知安全威胁，攻击态势“一目了然”；

客户采用的蜜罐最终部署方案，使得蜜罐既可以在内网被访问，也可以在互联网侧被访问，扩大了攻击诱捕面。并且着意覆盖了银行官网、邮箱、直销系统等，互联网侧访问较多的业务系统，在攻击者进行早期阶段互联网渗透时就捕获了大量攻击者。

图3 创宇蜜罐攻击日志

图4 创宇蜜罐捕获到的安全事件

搭配创宇蜜罐的态势大屏，将攻击态势进行评分，蜜罐拓扑直接展示，被攻击过程及资产也是直观可视，最大程度实现了攻击态势的可视化。

2、及早攻击发现并报警，应对挖矿木马，保护重要核心资产；

勒索病毒、挖矿木马等依靠传统流量检测产品发现，存在明显滞后性，蜜罐应用效果更加明显。以创宇蜜罐系统在客户内网发现挖矿木马的实际案例可以得到证实：部署蜜罐后，管理员发现一高占用蜜罐，通过攻击回放发现攻击者在蜜罐系统中植入了挖矿病毒。客户对内网进行排查，发现内网完全没有受到影响，而蜜罐通过重置操作，即刻释放资源。

图5 攻击回放

图6 链接追溯为挖矿木马资源点

3、记录攻击信息，进行攻击者画像，并生成自身威胁情报；

创宇蜜罐通过与攻击者的高交互和虚假数据的提供，极大延长攻击者停留在其中的时间，也更为详尽的记录了攻击者的信息，同时这些攻击信息足够详实，攻击画像足够立体，创宇蜜罐支持这些信息的导出，客户可以根据这些信息进行进一步归并分析，形成自身针对性强，高价值的威胁情报。

图7 攻击者列表

图8 攻击者画像

4、更全面的威胁感知及自身安全性保障，满足合规性要求。

《关键信息基础设施安全保护条例》及《数据安全法》现已颁布实施，《网络安全等级保护制度》2.0版本中对于攻击及威胁检测又有明确的要求，创宇蜜罐作为重要的威胁感知系统，不但可以满足客户系统合规的要求，自身安全也获得产品及国家认证，可以为企业合规提供多重保障。