金融行业案例 | 未来智安XDR助力银行业客户优化安全运营体系，有效提高告警研判率

未来智安XDR成功帮助金融行业客户的安全营运团队打破了每天不得不面临海量告警的困局，将原本每天数百万的告警量有效收敛至10条以内，百倍提升安全运营效率，实际解决了不断增长的攻击威胁对数字化业务运营造成的影响。

关于客户

1、省级商业银行，数百家分支机构遍布全国。

2、年营业收入数百亿元，同类银行中增速名列前茅。

3、数字化转型中拓展多元业务版块，以科技助长营收。

深陷海量告警泥沼中，缺少有效告警治理手段

与大多数组织中的安全运营团队一样，该银行客户的安全运营团队深陷在海量告警中，缺少有效告警治理手段。系统每天单流量侧产生的告警量超过600万,数量庞大，告警分析研判工作压力极大。尽管已部署大量的异构安全设备，但对于日常安全工作中的告警仍然无法进行有效的威胁溯源,看不到攻击路径。而告警中又存在大量误报，诸如一些正常的业务SQL或老系统中无法更改的SQL，常常被误报为“SQL注入”，给安全运营工作带来了严重负担。

无法有效研判告警背后隐藏的实质影响，客户常常纠结于诸如是否要关注FTP匿名登录、SQL注入之类的问题。同时受团队规模小和整体技术水平偏薄弱的影响，使团队高度依赖安全产品,客户现场部署了多套异构的全流量威胁检测安全设备,导致在分析某一条告警时需要在不同的设备间进行跳转、分析，不但没有完全实现综合研判，还使安全工作更加复杂。重重困难下，客户的安全运营团队亟待获得自动化告警研判、分析的能力,以释放安全运营压力。

未来智安XDR扩展的威胁检测响应，比传统安全工具堆叠更有效

针对该银行客户所面临的告警量大、溯源困难、误报率高、异构安全设备多等问题，未来智安XDR扩展威胁检测响应系统通过跨端、跨流量的立体化威胁检测手段,为安全运营带来完整的上下文和威胁的可见性，提供远胜于传统安全工具堆叠的全面精准、智能高效的告警研判、分析回溯能力。

图：未来智安XDR解决方案部署

未来智安XDR具备终端和流量的全面检测能力，XDR平台智能化事件分析引擎（AiE）自动将每天千万级零散告警生成几十条完整攻击事件，攻击检测有效性提升百倍以上。XDR平台自动化安全编排技术（SOAR）实现事件响应处置的高效自动化，可将威胁事件运营效率从过去小时级提高到分钟级，运营效率提升8倍以上。未来智安XDR解决方案的落地实施，为该银行客户带来了多项关键收益。

有效收敛告警量

通过未来智安XDR告警治理进行有效的告警收敛，安全人员面对的告警量降低100倍。

完整攻击事件回溯

从每天600万的零散告警到每天10条以内的完整攻击事件呈现，让客户清楚看到包括黑客通过什么方式入侵内网，如何横向移动，如何跨网段扩散等在内的完整攻击链路。

安全防护策略“左移”

通过场景化分析，利用XDR遥测能力(上下文数据)进行偏业务安全的异常发现，如员工私搭建、违规搭建FTP站点，违规使用、自建服务器等，提前发现可能存在的安全风险。

挖掘出有价值告警

未来智安XDR威胁活动模块内置高价值告警挖掘模型，如“SQL注入之后发起的数据库提权”、“FTP匿名登录之后发起的文件下载/外发”等，自动帮助运营团队做出有价值的判断。

自动化告警研判

内置上百条告警研判剧本，并可根据客户业务现状进行调整，自动化对最新增加的告警进行研判，并修改告警状态，如核实、误报、可疑等，提高客户安全运营和告警研判效率。

多源告警关联分析

未来智安XDR能接入其他安全设备告警/数据，并进行统一研判,如XDR发现告警，则自动关联出其他安全设备发现的同一攻击，安全团队无需在相互独立的安全设备间跳转，大大提高告警处置效率。

—— END ——