KBC Group
如何创建具有网络抵御能力的跨国银行和保险集团
两个人谈论具有网络弹性的跨国银行和保险集团

KBC 实施 IBM Security SOAR 平台(以前称为 Resilient)后,获得了网络安全事件响应的中心枢纽。该公司现在能够将其实体中的威胁可视化,并根据众多法规的要求启动本地和集团级别的响应。

业务挑战

作为一家跨国银行和保险企业,KBC Group 需要监督和协调其网络安全响应,并满足针对网络事件的严格监管报告要求。

变革

KBC 选择 Resilient SOAR 平台来帮助全面了解其欧洲实体面临的网络安全威胁,并及时做出响应。

结果 通过单一管理平台视图
了解不同国家或地区多个实体的网络事件
允许灵活添加本地化操作
同时维护事件响应的整体标准化框架
管理对法律通知要求的遵守情况
以符合欧洲级别的众多法规
业务挑战案例
多层次网络安全的挑战

KBC 通过全资银行和保险公司在欧洲开展业务,在比利时、捷克共和国、斯洛伐克、匈牙利、保加利亚和爱尔兰等核心市场拥有高度的地方自治权。尽管金融服务监管主要由国家或地区层面推动,但这些 KBC 实体也属于欧盟 (EU) 和欧洲中央银行 (ECB) 的管辖范围。除了欧洲央行的网络弹性监督预期之外,《通用数据保护条例》(GDPR) 和《支付服务指令 2》(PSD2) 等几项新的或更新的法规对集团及其子公司报告和应对网络事件和数据泄露提出了更严格的要求。

2016 年,KBC 在比利时布鲁塞尔总部成立了网络专业知识和响应团队 (CERT)。该团队的任务是协调该集团在全欧洲的多个实体对网络威胁的响应。CERT 需要集中监督事件响应流程,但并不想为此创建一个大型的集中管理部门。该集团的各个欧洲和国际实体拥有完善的、基本上自主的安全和事件响应团队。KBC CERT 不会叠床架屋,而是在原有基础上进行补充,通过加强集团层面的意识和响应协调,最终改善集团的整体网络安全工作。

KBC 寻求一种机制,使 CERT 能够记录和可视化集团各个实体中的威胁,并根据各种法规的要求启动本地和集团报告与响应措施。

CERT 危机和事件管理主管 Kris Caron 描述了该团队与国家或地区级安全办公室的关系:“如果事件涉及多个国家或地区,或者如果当地或总部管理层要求我们实施管控,那么我们会接管,但在其他情况下,我们扮演协助和支持的角色。因此,我们需要一个全景视角,通过单一管理平台了解所有事件。”

KBC 寻求一套技术解决方案来帮助实施针对不同事件类型的事件响应运行手册,以在整个集团范围内实现一致的处理流程。这些运行手册针对特定事件提供逐步骤的响应流程,部分步骤可以自动化执行。例如,当在银行电脑中检测到恶意软件时,运行手册会列出上报、遏制和补救的步骤。

Caron 表示:“我们需要一种工具,让 CERT 能够协调应对措施,而且它能与现有技术工具集成,并自动执行某些响应环节。此外,我们需要确保响应迅速。我们有许多不同的报告规定,其中之一是欧洲央行要求在两小时内报告网络事件。”

Resilient 平台能够在银行集团内任何需要的地方自动触发危机管理任务和通知。 Kris Caron CERT 危机和事件管理主管 KBC Group
变革案例
网络安全流程编排和可视化

经过需求建议书 (RFP) 流程,其中包括多个安全报告平台的实际演示,KBC 最终选择了 IBM Security SOAR 平台(以前称为 Resilient)。IBM Security SOAR 解决方案为 KBC 组织的多个层级响应、管理、缓解各类事件提供了一个强大的基础。

Caron 表示:“我们选择 Resilient 的一个主要原因是,同我们交流的人真正了解网络安全,并且愿意与我们合作,使其适应我们的特定需求。一个关键因素是我们亲赴波士顿与他们面对面交流,握手言欢,了解组织结构。这种人与人的直接接触,奠定了我们如今携手扩大 Resilient 应用范围的坚实基础。”

IBM Security SOAR 团队帮助将该平台与客户现有的安全和 IT 基础架构集成。KBC 利用 IBM Security SOAR 平台提供的标准预加载运行手册,将其自行开发的运行手册进行转换,用于处理恶意软件、拒绝服务、网络钓鱼常见事件类型。IBM 安全顾问与 KBC 合作,将特定的法律报告触发条件添加到其运行手册中,包括 GDPR、ECB、PSD2 以及欧盟网络和信息安全 (NIS) 指令对关键基础设施的要求。此外,团队还实施了其他网络安全威胁运行手册,包括针对 KBC 的 CEO 欺诈和其他威胁的运行手册。

与 IBM Security SOAR 的合作项目始于 2017 年 10 月,并于 2018 年 2 月在 CERT 和布鲁塞尔组织首次上线。2018 年 2 月至 5 月,IBM Security SOAR 和 CERT 与其他实体合作培训人员,并将 IBM Security SOAR 运行手册集成到安全基础设施中。在此期间,KBC 增加了国家或地区级组织要求的所有本地内容。

Caron 说明了 KBC 如何利用 SOAR 平台的灵活性为集团运行手册补充本地内容:“虽然我们赋予了地方实体一定程度的自主权,但我们希望这些运行手册有一个统一的分类标准和基本任务集。他们可以针对本地流程或法规制定自己的任务,但我们需要坚持一个通用框架,以便能够与多个团队合作处理同一事件。为此,我们还改用英语作为记录操作的通用语言。”

我们需要确保响应迅速。我们有许多报告规定,其中之一是欧洲央行要求在两小时内报告网络事件。 Kris Caron CERT 危机和事件管理主管 KBC Group
案例成果
集中视图、本地和虚拟响应

IBM Security SOAR 平台现在为 KBC CERT 提供单一视图来了解不同国家或地区多个实体的网络事件。Caron 表示:“我认为,连通所有信息孤岛让我们受益最大。通过单一管理平台视图,我们可以更好地了解其他国家或地区正在发生的情况,并与相关团队协调应对措施。”

该平台专为灵活性和可扩展性而设计,允许 KBC 在运行手册中添加本地化响应,同时维护事件响应的整体标准化框架。它让安全警报变得立即可执行,提供有价值的情报和事件背景信息,并支持对复杂的网络威胁做出自适应响应。

Caron 表示:“Resilient 平台引入了‘打破玻璃’原则,即当发生重大安全事件时立即发出警报,而无需等待人工确认。它能够在银行集团内任何需要的地方自动触发危机管理任务和通知。”

KBC 现在可以更好地管理 GDPR、ECB、PSD2 和 NIS 法律通知要求的合规性。IBM Security SOAR 平台大大减轻了 KBC 网络分析师的分析负担,有助于缩短事件响应时间。诸多流程的自动化可帮助网络团队确定优先级,并快速响应最关键的事件,这也是新法规的要求。

为了测试该系统,CERT 在银行执行委员会开展的全集团金融危机演习中引入了网络威胁演习。CERT 将案例输入到 IBM Security SOAR 解决方案中,并要求做出响应。Caron 表示:“它是开箱即用的全新工具,在网络安全方面表现出色,我们的响应速度大幅提升,而所需的工作量比以往少得多。我们能将精力完全投入到危机缓解中,并且可以直接向集团快速请求额外的中间行动,无需再浪费时间联络我们的国际团队。”

KBC 在 IBM Security SOAR 平台中登记所有网络安全事件,从小型的局部事件到大型的涉及全集团的事件。集团已向该平台新增 60 名用户,并继续扩大使用范围,以帮助管理欺诈事件、电子欺诈、漏洞管理问题及其他事项。Caron 解释道:“既然我们拥有了 Resilient SOAR 平台,我们希望专门从事危机和事件管理的办公室能够为其他团队提供服务。我们的网络安全防护从纽约延伸到香港,并贯穿欧洲大陆,业务连续性和危机管理是我们接下来要解决的领域。”

KBC 徽标
KBC Group

KBC(ibm.com 外部链接)总部位于比利时布鲁塞尔,于 1998 年由两家比利时银行和一家比利时保险公司合并而成。该银行保险集团为欧洲各地的 1100 万客户提供服务,核心市场包括比利时、捷克共和国、斯洛伐克、匈牙利、保加利亚和爱尔兰。该集团在美国和亚洲也略有涉足,主要服务于其核心市场的客户。KBC 拥有 42,000 名员工,致力于通过 1,400 多家分行和各种电子渠道为集团客户提供独特且个性化的银行和保险体验。

采取下一步行动

如需详细了解本案例中介绍的 IBM 解决方案,请联系您的 IBM 代表或 IBM 业务合作伙伴。

查看 PDF 查看更多客户案例
脚注

© Copyright IBM Corporation 2020. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

2020 年 2 月在美国制作。

IBM、IBM 徽标、ibm.com 和 Resilient 是 International Business Machines Corp. 在全球许多司法管辖区注册的商标。其他产品和服务名称可能是 IBM 或其他公司的商标。www.ibm.com/cn-zh/legal/copytrade.shtml 的 “Copyright and trademark information” 部分包含最新的 IBM 商标列表。

本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。

文中引用的性能数据和客户示例仅作演示说明之用。实际性能结果可能因具体配置和操作条件而异。本文档中的信息均“按原样”提供,不涉及任何明示或暗示的保证,包括适销性、特定用途适用性的任何保证,以及不侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。

客户负责确保遵守适用的法律和法规。IBM 不提供任何法律咨询,也不声明或保证其服务或产品经确保客户遵循任何法律或法规。

良好安全实践声明:IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。