CMC Markets 如何抵御零日攻击

当您的业务涉及金融服务、零售和游戏元素时，您需要一种能够结合内部资源和第三方解决方案的敏捷安全方法。在线交易公司 CMC Markets 也不例外。

在近日与 Akamai 的对话中，CMC Markets 的安全主管 Philip Yeo 解释了该公司如何持续保持警惕并在 零日 事件发生时迅速做出响应。

他还谈到了 Akamai 在保护该公司业务方面发挥的作用，以及监管机构和保险公司如何应对持续存在的 零日攻击威胁。

如需阅读完整的对话，请参阅下面的聊天内容。

Natalie Billingham（以下简称 NB）： 我很高兴能和 Phil Yeo 对话，Phil 是 CMC Markets 的安全主管。Phil，要不要介绍一下自己，然后跟我们详细讲讲您的工作内容？

Philip Yeo（以下简称 PY）： 当然，谢谢。我是 CMC Markets 的安全主管。我们是一家全球在线零售交易公司。从安全的角度来看，我们有点像零售业，因为我们有很多终端用户从许多不同类型的设备访问我们的服务。我们也有点像金融科技业，因为我们像金融服务公司一样受到监管。从某种意义上来说，我们又有点像游戏业，我们用户的很多交互对时间非常敏感。连接中断或无法建立连接都会造成不愉快的体验。 

NB： 您是如何开始与 Akamai 合作的？

PY： CMC Markets 成立多年，并在英国开发了自己的技术、平台和产品。我们现在拥有来自亚洲、欧洲许多国家/地区的客户，还有澳大利亚和加拿大的客户。这些客户需要实时价格流数据和图表并确保能够进行日内交易。连接质量和整体性能对我们来说非常重要。

我们从另一家供应商那里得到了一个初步的 CDN 实施方案，但进展并不顺利。不过，我们确实了解到我们不想自己处理边缘网络。在我们构建 WAF 技术的时候，Akamai 出现了。DDoS 和 DNS 漏洞问题也在我们的议程之列。当我们考虑 Akamai 时，我们发现我们可以将内容交付平台、数据中心、DDoS 防护、Site Shield 和 WAF 作为托管服务。这真的很简单。

我们一开始就专注于保护面向英国和澳大利亚市场的几个产品。然而，按照合同约定，一旦我们完成了棘手的部分，我们就可以让 Akamai 安全层保护一切。我们的默认策略是，让所有面向互联网和公众的事项都在 Akamai 保护之下。

网络、营销和 SEO 人员都没有遇到问题，因为我们的表现更加一致，并且内部客户的投诉也减少了。从内部安全的角度来看，这再好不过了。当营销人员和产品人员不抱怨安全性，这就是一种胜利！  

Akamai Managed Services 也帮助我们实现了这一目标。在每月调整期间，他们清楚地了解我们的风险状况。尤其是在帮助我们避免误报时，如果最终阻止了一个合法的高价值客户，这可能会是一个严重的问题。 

NB： 当您考虑金融业面临的其他网络安全挑战时，会想到什么？

PY： 有很多事情都会不如意。勒索软件威胁真实存在。我们一直都在努力阻止攻击者通过网络钓鱼和恶意软件进入我们的环境。再者，监管压力一直存在，审计制度感觉也有点苛刻。 

NB： 在金融服务领域，面临着一些特别严峻的压力。在不透露任何机密的情况下，能说说您是如何克服这些困难的吗？ 

PY： 我认为 Zero Trust 思维方式很有意义。我们考虑过部署某种特权访问管理，但这是一项繁重的工作，需要多个解决方案来实现。我们没有灵丹妙药。但是如果有人知道，请告诉我！

更积极的是那些需要管理的内部开发和本地数据中心的遗留问题。但是，我们已经经历了采用云技术的转型，以及不同业务部门尽快推出产品的情况，这就提出了另一项安全挑战。  

如果我们想获得出色的安全性，我们该如何提升我们的技术水平？我们如何做到这一点而不拖累开发生命周期？可以在自动合规性中构建许多内容，以在整个交付管道中实施治理和安全策略。然后我们可以在上面铺设 Akamai 的 WAF 边缘平台。

NB： 有许多问题一直都存在。尤其是像您的公司这样，跨越如此多的市场和不同的业务。正如您所提到的，尽管您从事金融服务行业，但也有点像游戏业。您如何应对高热度活动和消费者活动高峰？  

PY： 我们必须优先考虑容量，因为如果不能保证在线，客户可能就会去其他地方。我们有一些优秀的人员在做容量监控，他们正在关注一天中那些无比繁忙的时刻、交易的延迟以及我们需要的容量。我们做了大量的容量建模，然后确保我们在 CDN 和 DDoS 保护方面得到了外部帮助。

NB： 您之前提到了人员的问题。在安全行业，我们面临的一个挑战是如何寻找优秀的安全人员。Akamai 是如何帮助您解放内部资源，让您可以专注于更多高优先级项目的？

PY： 对于我们之前的提供商，问题是，谁来管理所有应用程序的策略？我以为我们可以做到。但到了讨论让开发团队管理其中一些策略的阶段，我们意识到这是行不通的。这是一个转折点，使我们转而采用 Kona Site Defender 作为托管服务，因此我们不必专注于调整内容。

这些年来，我和我的老板一起研究了很多外包和托管服务提供商。必须找到适合自己的方案，因为要把安全托付给别人。 

我们希望找到可以外包或与增值服务提供商合作的领域，但我们不会失去保持响应所需的控制权。如果有什么问题，我们希望立即与相关人员联系。

NB： 是的，这通常是我们与客户谈论的话题。他们想要控制权、服务和客户亲密度。但他们也希望保留自己的敏捷性和执行能力。随着安全堆栈变得更加复杂和专业化，这种值得信赖的合作伙伴关系变得更加重要。

PY： 毫无疑问。我们在考虑外包的其他一些领域也发现了这一点。我们希望能够随时覆盖、部署或回滚。如果我们不能做到这一点，那将很难做到令客户满意。另一方面，我们并不具备所有产品所需的全部技能。 

NB： 这是个好建议。如果在座还有其他 Akamai 客户，他们应该向我们或任何提供商提出什么要求来建立这种信任？

PY： Akamai 在全球享有盛誉。你们去年发生了一起事件，尽管对我们产生了一些影响，但你们对该事件的处理方式、事件后的记录以及整体的透明度，种种表现都向我们展示了你们对此事的重视。你们也在经受此事所带来的影响。

NB： 当您从安全角度考虑您的供应商环境时，是否会关注特定领域？

PY： 我在信息安全领域工作了 15 年，销售人员的言辞有时非常不靠谱。不可能在零误报的情况下提供 100% 的保护，这是不现实的。夸夸其谈没有用。我们需要供应商支持他们的主张，或者给我们提供我们需要尝试和评估的产品。

NB： 我认为这关乎找到适合自己业务的产品，不是吗？自从我们进入这个建议的领域以来，过去几年在很多方面都经历了一些不同寻常的境况。您学到了什么？您会给同行提出什么建议？

PY： 我敢肯定您没有听说过！响应速度正在加快。我们与我们的一个保险经纪公司谈到了目前的状况，这很有趣，因为有时感觉监管机构在说一件事，而标准却在说另一件事。就像保险公司正在为勒索软件攻击支付费用，而您也知道他们正在支付费用。他们就我们的安全措施提出了相当尖锐的问题。 

他们说，他们发现的其中一件事是，网络遭到入侵和坏事发生之间的时间大大缩短了。需要更迅速地做出响应。 

需要在入侵发生时尽早检测到。如果不能在合理的时间内做出响应，那就大事不妙了。留给我们控制损害影响的时间越来越短了。

如果您可以利用更广泛的信息安全社区，集思广益博采众长，这将有所帮助。这种情况下，社交媒体有时很有帮助。谁先被攻击了？找到对策了吗？有相应的规则吗？我可以部署解决方案吗？Log4J 就是一个很好的示例，大家饱受其苦。但是我们已经安装了 Akamai WAF，并且与您通了电话，这给了我们一些喘息的空间。

NB： 要处理的事情太多了，不是吗？试图做出响应，特别是在勒索软件攻击时。尤其是响应时间不断减少，而保险公司又穷追不舍。

PY： 在疫情期间，每个人都投入了大量的时间。早早起床，整天工作，然后人们开始意识到，“等等，这里面有人的因素。”我们正在以某种方式构建我们的团队，以便他们能够快速做出响应并始终保持敏锐。但是我们如何采取措施，以免疲于奔命呢？

NB： 您打算怎么做？

PY： 我一直在与管理层进行这些对话。我对他们说，“仅凭几个人像超级英雄一样行事，能侥幸逃脱几次呢？”我们希望赋予更多人权力、培养他们、指导他们并向其他人学习。 

NB： 说得非常正确。那么您对未来有什么看法呢？

PY： 基本的错误仍在不断发生。成为 Web 开发人员并没有什么障碍。30 年前犯的错误现在还在发生。高端技术变得越来越难，越来越复杂。 

我们一直在讨论网络保障和安全，这很奇怪，因为在现实世界中，会想，“难道我不应该担心我将被抢劫而我却无能为力吗？”但是，哪些政府正在一起改变这种局面呢？实际上，有很多科技公司在牵头，这很有意思。但是，我们真的希望科技公司来制定法规吗？我无法回答这个问题。 

NB： 是的，围绕制定公共政策有很多工作要做。而且，欧盟与英国和美国之间的法规各不相同。鉴于我们在乌克兰战争中所处的位置，目前这是一个极有吸引力的领域。展望未来，你们是否在考虑使用什么特别的技术？

PY： 这取决于我们的发展方向。如果我有一个新建项目，我会以非常不同的方式重新开始。我想了很多关于 Zero Trust 的问题，尤其是微分段。我对讨论无服务器工作负载可以做什么也很感兴趣。

NB： 听众朋友们，有人想对 Phil 提问吗？

听众： 关于自动化和人工智能，您在自动化路线上是否能够应付自如？自动化在您的安全环境中能走多远？

PY： 我们一点也不害怕。我们谈论的是启发式机器学习模型，这只是数学上的近似。如果您知道自己在使用什么以及在哪里使用，那么这可能是明智的，也可能不是。这取决于实际情况。可以有一个严格的规则，或者也可以有一个更复杂的规则。模式匹配在某些情况下是好的，而在另一些情况下则是个坏主意。 

作为一家企业，我们在内部所做的事情将是专有的。但我们正在寻找可以深入研究和培训的供应商。我们花费数小时试图发现异常情况，这对故障预防和容量有很大的帮助。 

我的一位同事构建了很多监控工具，用来寻找异常情况。我们不需要经典的机器学习模型，就能在这方面大有进展。因此，我认为围绕这项技术仍然存在炒作的成分。但总的来说，我不会害怕使用机器学习的服务。  

听众： 您提到了在危机情况下使用社交媒体与他人交流的方式。您认为这个社区在未来会有多重要？您认为像 Akamai 这样的供应商能发挥什么作用？

PY： 社交媒体作用很大。我不是一个特别重要的用户，但我使用这些渠道与我认识的人交谈。当有人发现一些类似于恶意字符串的内容，他们可以与社区其他成员分享，我很喜欢这种体验。相当于有多个供应商将各种信息放在一起，大家各尽其能。很多安全分析师都很优秀。他们已经掌握了安全命脉。我想向任何已经解决了问题的人学习。就我们而言，如果有任何有益于社区的内容，我们也想分享。

NB： Phil，感谢您抽出宝贵时间与我们交谈，真的非常感谢。 

PY： 谢谢！