随着巴基斯坦银行业的不断演变和发展，政府监管机构通过发布新的指导方针来应对不断上升的风险和威胁，尽自己的力量来维持该行业的发展势头。其中最新的一项称为《2021 年网络安全政策》，该政策呼吁银行对现有系统和程序进行现代化改造，以检测、响应并最终阻止各种形式的网络攻击，包括恶意软件、网络钓鱼和欺骗以及从 ATM 卡中“窃取”数据。

对于巴基斯坦政府来说，制定这些新的网络安全规则的目的是让该国的银行（在此之前一直主要关注增长和盈利率）加快一个基本被忽视领域的发展。除其他措施外，新政策还要求银行维持基线安全能力，包括安全运营中心 (SOC) 和全天候工作的自动响应工具。

2019 年初，当政策仍在起草时，与巴基斯坦绝大多数银行一样，Askari Bank 只具备最基本的安全能力，安全治理有限，也没有专门的安全人员。填补这一空白是 Jawad Khalid Mirza 的首要任务，他于 3 月份加入该银行担任首席信息安全官 (CISO)。他解释说，从一开始，来自董事会的强有力支持就为他设想的转型提供了有利的环境。“我们的董事会了解世界各地的银行如何投资安全，”他说道，“他们认识到，如果没有合适的网络安全能力以及合适的专业人员，我们就无法前进。”

也许 Jawad Khalid Mirza 面临的主要挑战是需要从零开始构建 SOC 并配备工作人员。为了实现这一目标，他需要选择能够最有效且最具成本效益地满足技术需求的安全软件解决方案，包括将该解决方案与 Askari Bank 的核心银行系统集成。最重要的是，他需要组建团队来建立和管理 SOC 的日常技术运营，包括最重要的安全事件检测和处理。这项任务需要成熟的 SOC 经验，而他在 Umair Shakil 身上找到了这种经验。

就在加入 Askari Bank 担任 SOC 团队负责人几天后，Umair Shakil 与 Jawad Khalid Mirza 就最重要的平台决策进行了深入讨论。Umair Shakil 在担任之前职位（为巴基斯坦最大的电信提供商之一管理安全运营）期间部署了 IBM Security® QRadar® 解决方案，取得了显著效果。正是由于他的积极经验，IBM Security 以及 Microsoft 和 Splunk 的安全解决方案进入了候选名单。

根据每个供应商提交的概念证明，Umair Shakil 和 Jawad Khalid Mirza 基于三个核心维度进行了严格的基准测试：系统性能、互操作性和易用性。Jawad Khalid Mirza 解释说，除了这些因素之外，选择 QRadar 平台还反映了他们对 IBM 为其制定的路线图的信心。“我们认为自己与 IBM QRadar 平台的发展方向真正一致，”他说道，“对我们来说，它体现了 IBM 致力于打造更好的安全解决方案。”

在研究 QRadar 解决方案相对于 Microsoft 和 Splunk 解决方案的优势时，Umair Shakil 指出易于集成是其独特的优势之一。“QRadar 的其中一个优点是，它提供多种与我们的核心银行系统集成的方法，而不仅仅是一种方法，”他说道，“正如我们所希望的那样，这在实施过程中被证明是一个巨大的优势。”

为了提供该解决方案，Askari Bank 与 IBM 业务合作伙伴 Software Productivity Strategists, Inc. (SPS) 进行协作，后者与 Umair Shakil 及其不断壮大的 SOC 团队密切合作。对于威胁检测，该解决方案的核心组件是 IBM Security QRadar SIEM，它的安全信息和事件管理产品支持银行在单个存储库中聚集来自各种来源的日志。这反过来又使 SOC 工作人员能够对不同日志进行关联和上报，以快速识别安全事件并确定其优先级。

虽然阻止威胁演变成安全违规行为是 SOC 成功的最终衡量标准，但其效率在运营层面也很关键。这就是 Askari Bank 的自动化工作真正发挥作用的地方。借助 QRadar SIEM 消除误报的能力，该银行的 SOC 将安全事件的数量从每天大约 700 起减少到不到 20 起。此外，工作人员可以借助在 SOC 中实施的 QRadar SOAR 运行手册在平均 5 分钟内解决这些事件，而在银行安全转型之前需要多达 30 分钟。

正如 Umair Shakil 指出的那样，所有这些自动化驱动的效率改进意味着 SOC 人员可以过滤掉可能导致 SOC 疲于应对的低优先级事件和误报，而专注于解决真正的风险和搜寻漏洞。“要使 SOC 发挥作用，优先响应最紧迫的安全风险的能力几乎与检测一样重要，”Umair Shakil 说道，“在这方面，我们部署的 QRadar 解决方案使我们的团队在应对威胁方面更加有效。”

重要的是，这意味着威胁既来自银行外部，也来自银行内部。这就涉及到不仅银行而且任何组织都面临的其中一个关键安全问题：管理“内部人员”构成的安全威胁。在许多情况下，表明存在内部威胁的明显迹象包括失败的登录尝试和网络内的非典型或异常行为，例如当员工尝试访问应用程序或数据库时。为了检测这些风险，Askari Bank 使用用户行为分析 (UBA) 应用程序。通过将行为规则和分析与 QRadar 中已存储的日志和活动数据相结合，银行的 SOC 工作人员使用 UBA 应用程序能够简化监控、检测和调查，从而提高内部威胁管理的效率。此外，由于 UBA 使用分析算法来检测用户活动的偏差（而不是严格的规则），Askari Bank 已经能够使用它来减少误报事件的频率。

尽管没有单一的指标可以表明自从与 SPS 合作部署新的 QRadar 解决方案以来，Askari Bank 在改善其安全状况方面取得了多大进展，但有很多证据点。例如，三年前还不存在的 SOC 现在拥有一支由超过 20 名专家组成的团队。该银行还拥有其他以前从未有过的能力：威胁可见性。凭借 QRadar SIEM 的关联功能及其提供高保真警报的能力，Askari Bank 现在可以准确了解其全天候发生的犯罪数量。

Jawad Khalid Mirza 指出，除了大大提高威胁可见性之外，QRadar SOAR 实现的自动响应意味着 SOC 人员可以更高效、更主动地工作，以阻止当今的网络威胁以及未来新兴的网络威胁。“我们现在能够遵守巴基斯坦的网络安全法规这一事实至关重要，但这只是一个开始，”他解释道，“借助 QRadar，我们现在可以高效、灵活地适应不断变化的网络威胁形势，无论我们发展得有多快。”

Askari Bank（ibm.com 外部链接）总部位于巴基斯坦拉瓦尔品第，是一家商业和零售银行，在巴基斯坦各地设有 560 家分行，并在巴林设有一家批发银行分行。Askari Bank 成立于 1991 年，隶属于 Fauji Group，2021 年营业收入为 42 亿美元，拥有约 7,500 名员工。

IBM 业务合作伙伴 SPS（ibm.com 外部链接）总部位于马里兰州罗克维尔，在巴基斯坦伊斯兰堡设有办事处，该公司利用 AI 和云构建行业解决方案。作为企业级创新者和解决方案创建者，SPS 拥有涵盖产品设计、开发、部署、安全、运营、监控和支持各个阶段的专业知识，旨在帮助客户构建、部署和保护应用程序。其开发、质量、网络安全、培训、运营、监控和支持团队齐心协力，创建高性能、安全、可靠、可扩展和可管理的系统。