金融服务机构如何构建“零信任“的安全策略

某大型商业银行，其数据中心有着超过一百多个不同的应用，不仅有生产环境，比如网上银行等，还要承载研发团队所有的测试存储，所以该银行使用了多重安全策略及四层防火墙，来进行安全防御。即便如此，也仍然会遭受不堪其扰的安全攻击。对于运维团队来说，经常会面临着频繁修改安全策略的尴尬处境。除了要花费大量的时间和人力，还会因为人为的失误，造成更大的安全隐患。

与此同时，这家商业银行也与大多数正处在数字化转型中的银行一样，要顺应银行服务业的大势——要提升客户互动体验，要加强第三方合作与协作，要优化成本，要接受更严格的监管等等。毫无疑问，数字化变革带来的安全难题是史无前例的。

从单体“城墙”到立体式“零信任保垒”

可以说这家银行的安全困扰和处境非常具有典型性。根据2022年Verizon数据泄露调查报告显示，金融服务业过去数据泄露的平均成本高达570万美元，仅次于医疗行业。

派拓网络大中华区总裁陈文俊分析说：“因为数字化转型的深入，我们已经习惯了混合办公，也习惯了在网上交易，当这一切都成为常态之时，网络银行的安全问题就会更加严峻，攻击也变得越来越快且技术更先进。所以，银行机构需要用更有效的手段，比如，零信任架构和自动化的安全运营策略，通过平台化的方式解决云端、网络端、端点的安全问题。再比如，构建一个端对端防御的系统，针对未知威胁，通过人工智能大数据，更快地把一些可疑事件和动作，以及潜伏行为挖掘出来，并进行针对性的响应，帮助更好地解决安全问题，而不影响整个企业上云的趋势。

派拓网络大中华区总裁陈文俊

以文章提到的某商业银行为例，其面临的安全问题主要有：首先，其传统防火墙无法识别第7层安全，所以无法应对高级威胁攻击；同时，因为频繁更改策略增加了运维成本，且缺少策略控制；其三，由于策略过多且可见性不足，可能会导致使用高风险的IP地址和端口；其四，运维灵活性差，现有的防火墙API接口不够丰富，无法集成且容错性差；其五，网络应用和威胁可视化程度较低。

派拓网络根据客户的当前环境，帮助其规划了统一的零信任解决方案，并提出了“五步法”来简化该银行零信任策略的实施：关注业务产出和相应风险、构建内外部架构设计、定义访问、检查并审计所有流量安全。

派拓网络的专业策略工具和策略优化服务已转换超过6万项旧策略，所以派拓网络可以很好地帮助该银行从传统的第4层安全过渡到第7层安全，加强对未知威胁的防御。派拓网络还为该银行的SOC团队提供了自动运维平台，将安全日志输出至大数据分析平台、并通过自动API交付安全策略，实现NGFW实时安全保护。

“零信任”需要强大的情报资源体系和技术整合

如陈文俊所说，以前我们在办公室办公，建一个“城墙”就能把办公环境保护起来。而现在，环境已经全然不同，居家办公、咖啡厅办公等等，数据无处不在，应用也无处不在，传统的边界被打破了。在混合办公环境下，有些企业内部使用的安全设备甚至有超过四十个。每一款设备的安全程度不一样，级别也不一样，到底如何判断究竟哪一个设备能够帮助解决问题？

派拓网络大中华区技术总监耿强介绍说：“为帮助金融机构应对数字化字变革带来的安全问题，派拓网络提供三大支柱——网络安全、云安全和端点安全。这三大平台协同工作、互相沟通，安全策略自动化分发，减少人工参与，从而更好地发掘潜在威胁。

派拓网络大中华区技术总监耿强

耿强再一次强调了“零信任和弹性架构”的重要性。他着重谈到了当前火热的容器化，“当我们把很多核心业务都放在容器上去实现时，容器原本的设计有没有安全机制？事实上，容器是一种开源形式，从设计上对安全缺乏考量，所以派拓网络这样的安全厂商需要在此帮助客户在云原生的架构上、网络上做全面的安全防护，这其中就包括合规、容器上的安全。并且在云端和虚拟化环境上的零信任安全策略，需要以微分段的形式，针对无服务器和他们之间的运算做相对应的防护。当端点安全延伸到数据中心安全的运营，我们需要更好的安全编排和进一步分析，并做出相对应的自动化关联，才能发现潜在的安全问题。”

做安全防护从来都离不开威胁情报，耿强认为，威胁情报就是大数据。派拓网络在全球超过九万个客户，这些客户每天都会遇到不同级别的威胁入侵，通过这些入侵的日志、行为，派拓网络就可以通过分析将有价值的情报分享给客户，进而做相对应的事件响应，配合客户自身的SOC，做到自动化运营，降低整体运营成本。

比如，派拓网络推出的Unit 42托管检测和响应(Unit 42 MDR)服务，就是将派拓网络广受好评的Cortex XDR与Unit 42行业领先的威胁情报相结合，将Cortex XDR为基础加以优化，使其不但可以优先处理警报，还能大幅减少企业收到警报的数量，有助于企业检测到比其他方式更多的可疑活动，而Unit 42的威胁情报就是基于对大量事件响应案例的洞察。

在2021年和今年上半年的几个大攻击事件中，派拓网络的Cortex XDR都做到了发现问题并将它们成功阻挡。能更快地把未知威胁变成已知威胁，从而应对未知威胁的攻击，可以说是派拓网络的独特价值。因为目前市场上扩展检测和响应 (XDR) 都还处在早期阶段。像派拓网络这样能够提供原生、交叉遥测的检测和调查，编排功能的安全厂商还屈指可数。

企业需要管理的连接和资源因为数字化进程变得繁复无比，要真正做到“持续验证，永不信任”的零信任，需要的是强大的情报资源体系和技术整合。