金融網(wǎng)絡(luò)安全建設(shè)更難了?看一線從業(yè)者的“實(shí)戰(zhàn)”經(jīng)驗(yàn)分享丨2023 INSEC WORLD

科技云報(bào)道原創(chuàng)。

隨著十四五時(shí)代的大幕緩緩拉開,國內(nèi)金融安全建設(shè)之路進(jìn)入下半場。

一方面,金融科技大量采用新技術(shù)實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新的同時(shí),也給網(wǎng)絡(luò)安全帶來了更多隱性風(fēng)險(xiǎn)。

另一方面,金融行業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)一步普及,大量個(gè)人隱私及資產(chǎn)信息等重要數(shù)據(jù)呈指數(shù)級(jí)上升,金融業(yè)務(wù)的復(fù)雜性使得數(shù)據(jù)安全保護(hù)體系的建設(shè)難度不斷加大。

在國內(nèi)外網(wǎng)絡(luò)安全形勢(shì)不斷演變的當(dāng)下,金融行業(yè)作為傳統(tǒng)的重監(jiān)管機(jī)構(gòu),面臨著比以往更艱巨的風(fēng)險(xiǎn)和挑戰(zhàn)。

隨著“實(shí)戰(zhàn)化”網(wǎng)絡(luò)安全建設(shè)時(shí)代的到來,金融機(jī)構(gòu)應(yīng)如何持續(xù)完善網(wǎng)絡(luò)安全體系化建設(shè),筑牢金融網(wǎng)絡(luò)安全屏障?

3月23日,在2023 INSEC WORLD世界信息安全大會(huì)的“金融科技安全”分論壇上,來自浙商銀行、東吳證券、民生銀行、中銀證券、觀成科技等多位金融科技一線從業(yè)者,從不同角度分享了金融安全建設(shè)的實(shí)踐和經(jīng)驗(yàn),上演了一場精彩紛呈的金融安全“華山論劍”。

金融數(shù)據(jù)安全,構(gòu)建多跨協(xié)同數(shù)據(jù)安全保障總體體系

如今數(shù)據(jù)已成為重要的生產(chǎn)要素,發(fā)展數(shù)字經(jīng)濟(jì)已上升到國家戰(zhàn)略層面,今年的兩會(huì)政府工作報(bào)告指出,2023年大力發(fā)展數(shù)字經(jīng)濟(jì)。

但數(shù)字經(jīng)濟(jì)的不斷提升,離不開數(shù)據(jù)安全的保障。近年來,金融業(yè)數(shù)據(jù)安全大事件不斷發(fā)生,數(shù)據(jù)安全的違規(guī)及事件成本越來越高。

我國進(jìn)一步加強(qiáng)了對(duì)金融業(yè)的監(jiān)管,陸續(xù)出臺(tái)的《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》、《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》、《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全辦法》等行標(biāo)行規(guī),及人民銀行印發(fā)《金融科技發(fā)展規(guī)劃(2022-2025年)》,一次次在行業(yè)頂層設(shè)計(jì)中重申了數(shù)據(jù)安全的重要性,迅速拉升了整個(gè)行業(yè)對(duì)數(shù)據(jù)安全的重視程度。

盡管金融數(shù)據(jù)安全的強(qiáng)監(jiān)管時(shí)代到來,但不可否認(rèn)的是,金融業(yè)數(shù)據(jù)安全保障體系建設(shè)仍存在諸多痛點(diǎn)。

在浙商銀行總行信息科技風(fēng)險(xiǎn)檢控官駱鑒看來,最大的痛點(diǎn)在于,金融業(yè)數(shù)據(jù)量極其龐大、數(shù)據(jù)泄露渠道多、內(nèi)部員工案情多、數(shù)據(jù)供應(yīng)鏈較長、數(shù)據(jù)資產(chǎn)流動(dòng)性強(qiáng)。雖然數(shù)據(jù)作為生產(chǎn)要素有巨大潛能,但同時(shí)也難以管理,因此安全保障與數(shù)據(jù)使用存在天然矛盾。此外,盡管監(jiān)管制度已出臺(tái),但相應(yīng)的措施和技術(shù)手段還未跟上。

浙商銀行總行信息科技風(fēng)險(xiǎn)檢控官 駱鑒

對(duì)此,駱鑒介紹了浙商銀行在數(shù)據(jù)安全管理方面的建設(shè)思路和實(shí)踐。他表示,核心在于“構(gòu)建多跨協(xié)同數(shù)據(jù)安全保障總體體系”,包括管理體系、技術(shù)體系、風(fēng)險(xiǎn)體系三個(gè)部分。

首先,管理體系主要是組織架構(gòu)、管理規(guī)范、流程機(jī)制。

數(shù)據(jù)安全保障管理體系不是另起爐灶,而是對(duì)已有的網(wǎng)絡(luò)安全基礎(chǔ)上進(jìn)行整合,聯(lián)通業(yè)務(wù)部門形成多塊協(xié)同的安全保障體系。

在網(wǎng)絡(luò)安全責(zé)任制的基礎(chǔ)上進(jìn)行分級(jí)分層管理,制度規(guī)范上形成政策、規(guī)定、指南的完整體系,人才梯隊(duì)方面以數(shù)據(jù)安全總體目標(biāo)需求為導(dǎo)向,通過多種手段不斷完善人才梯隊(duì)。

其次,機(jī)制體系包括大數(shù)據(jù)、AI、加密、安全技術(shù)和產(chǎn)品。

這個(gè)體系也不是另起爐灶,而是在現(xiàn)有的安全產(chǎn)品上進(jìn)行融合,通過多跨協(xié)同、多平臺(tái)聯(lián)通,推進(jìn)五個(gè)方面的能力建設(shè)如:核心泄密場景全覆蓋的防護(hù)能力;敏感數(shù)據(jù)流動(dòng)的實(shí)時(shí)監(jiān)測(cè)發(fā)現(xiàn)能力;終端、網(wǎng)絡(luò)等多層級(jí)數(shù)據(jù)采集分析能力;安全風(fēng)險(xiǎn)實(shí)時(shí)響應(yīng)能力;安全策略統(tǒng)一落地能力。

最后,運(yùn)營體系,需確保數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除、銷毀等全過程數(shù)據(jù)安全。

在管理體系指引、技術(shù)體系支撐下,結(jié)合應(yīng)用場景,將數(shù)據(jù)安全保障與生產(chǎn)業(yè)務(wù)有機(jī)融合,完成跨業(yè)務(wù)條線的運(yùn)營協(xié)同,降低泄露風(fēng)險(xiǎn)、資金安全風(fēng)險(xiǎn),保障金融數(shù)據(jù)安全。

其中,檢查評(píng)估環(huán)節(jié),圍繞數(shù)據(jù)資產(chǎn)、安全漏洞、應(yīng)急能力等要素,通過評(píng)估、演練、對(duì)抗等多種運(yùn)營動(dòng)作,筑牢數(shù)據(jù)安全保障的基礎(chǔ);

持續(xù)運(yùn)營環(huán)節(jié),從事前風(fēng)險(xiǎn)防范,到事中監(jiān)測(cè)預(yù)警,到事后應(yīng)急處置,構(gòu)建全流程的數(shù)據(jù)安全運(yùn)營體系與防護(hù)體系。

除此之外,據(jù)駱鑒介紹,目前浙商銀行還在探索數(shù)據(jù)安全共享之路,通過多方安全計(jì)算技術(shù),實(shí)現(xiàn)應(yīng)用合作方私有數(shù)據(jù)的聯(lián)合計(jì)算、建模,讓數(shù)據(jù)聚起來、動(dòng)起來、用起來、活起來,讓數(shù)據(jù)共享更安全。

金融業(yè)務(wù)安全源于全流程的安全運(yùn)營能力

縱觀金融業(yè)的數(shù)字化進(jìn)程,以銀行為例,近年來經(jīng)歷了網(wǎng)點(diǎn)信息化、網(wǎng)上銀行、手機(jī)銀行,再到今天的智能銀行,未來還可能向開放銀行發(fā)展。

目前,絕大多數(shù)銀行處于智能銀行發(fā)展階段,即利用大數(shù)據(jù)、人工智能等技術(shù)向客戶提供個(gè)性化、差異化的服務(wù)。

隨之而來,銀行業(yè)務(wù)面臨的風(fēng)險(xiǎn)場景也呈現(xiàn)多樣性變化,暴露出的被攻擊面、被攻擊點(diǎn)亦呈爆發(fā)式增長。

特別是疫情以來,各類涉賭涉詐欺詐團(tuán)伙也在加速線上化轉(zhuǎn)移,并利用AI技術(shù)等不斷升級(jí)與銀行風(fēng)控體系的對(duì)抗,高科技涉賭涉詐、洗錢案例持續(xù)呈現(xiàn)出高發(fā)態(tài)勢(shì)。

對(duì)于金融機(jī)構(gòu)而言,當(dāng)前的業(yè)務(wù)欺詐和數(shù)據(jù)泄露風(fēng)險(xiǎn)是持續(xù)加劇的。

那么,金融機(jī)構(gòu)該如何在保障安全合規(guī)的前提下,去提升用戶的體驗(yàn)和業(yè)務(wù)賦能?

對(duì)此,中國民生銀行安全經(jīng)理魏巍博士分享了民生銀行在數(shù)字化轉(zhuǎn)型背景下的業(yè)務(wù)安全能力建設(shè)實(shí)踐。

中國民生銀行安全經(jīng)理 魏巍博士

魏巍表示,整體思路是建立全流程的業(yè)務(wù)安全防御能力,包含事前、事中、事后。

事前要和業(yè)務(wù)的立項(xiàng)和需求進(jìn)行同步規(guī)劃和同步設(shè)計(jì),在這個(gè)過程中要求評(píng)估和一起制定場景化的安全策略,以及整個(gè)技術(shù)方案的安全評(píng)估,保證業(yè)務(wù)邏輯層上的安全,然后是開發(fā)層面的安全。

事中要實(shí)現(xiàn)實(shí)時(shí)檢測(cè)和快速處置,整個(gè)安全認(rèn)證策略和安全認(rèn)證工具的應(yīng)用和落地,其次是風(fēng)險(xiǎn)策略模型的識(shí)別及響應(yīng)。

事后則是基于離線挖掘模型識(shí)別黑產(chǎn)團(tuán)伙,進(jìn)行提前的防控,其次對(duì)于情報(bào)進(jìn)行監(jiān)測(cè)和使用,可以聯(lián)動(dòng)到事前形成閉環(huán)的運(yùn)營。

目前,民生銀行業(yè)務(wù)安全建設(shè)的成效主要體現(xiàn)在兩個(gè)方面:

一是交易安全,提升保護(hù)客戶交易的能力,以及提升客戶體驗(yàn)。

基于130個(gè)風(fēng)險(xiǎn)防控策略,為手機(jī)銀行、網(wǎng)上銀行、開放銀行等等線上線下渠道100個(gè)高風(fēng)險(xiǎn)交易場景提供實(shí)時(shí)防護(hù)服務(wù),通過自動(dòng)攔截,增強(qiáng)認(rèn)證等進(jìn)行交互式的保護(hù)措施來保護(hù)客戶的交易安全。

二是對(duì)黑產(chǎn)的挖掘及反制。通過建立網(wǎng)絡(luò)黑灰產(chǎn)業(yè)務(wù)主動(dòng)監(jiān)測(cè)機(jī)制,同時(shí)針對(duì)挖掘的黑產(chǎn)團(tuán)伙采取攔截、管控、反制等手段,提升防范風(fēng)險(xiǎn)的能力。

基于這幾年的業(yè)務(wù)安全防御能力建設(shè)實(shí)踐,魏巍表示有三個(gè)觀點(diǎn)可以分享:

第一,銀行的數(shù)字化轉(zhuǎn)型本質(zhì)是在于平臺(tái)、數(shù)據(jù)和業(yè)務(wù)生態(tài)的開放和融合,不斷去創(chuàng)新提升金融服務(wù)能力。

在這個(gè)過程中,銀行的業(yè)務(wù)是持續(xù)開放的,數(shù)據(jù)資產(chǎn)是持續(xù)擴(kuò)張的,攻防對(duì)抗不斷升級(jí),安全防御需求不斷增長。

第二,在這種趨勢(shì)下,銀行業(yè)務(wù)是銀行信息系統(tǒng)建設(shè)和數(shù)據(jù)資產(chǎn)流動(dòng)的根本需求來源,是網(wǎng)絡(luò)黑產(chǎn)攻擊的主要目標(biāo),是銀行安全防護(hù)及服務(wù)的中心對(duì)象。

業(yè)務(wù)安全防御能力須是銀行信息安全防御體系中的必備一環(huán)。

第三,建立全模式、全流程業(yè)務(wù)安全解決方案是業(yè)務(wù)安全防御能力建設(shè)的基石,而可持續(xù)高效的一體化閉環(huán)運(yùn)營能力是業(yè)務(wù)安全防御成好壞的關(guān)鍵因素。

攻防視角下金融安全的藍(lán)軍建設(shè)

網(wǎng)絡(luò)安全的攻與防,本質(zhì)是場博弈,俗話說“未知攻,焉知防”。近年來,為了評(píng)估企業(yè)的安全性,發(fā)現(xiàn)組織內(nèi)部的風(fēng)險(xiǎn)點(diǎn)在信息安全領(lǐng)域,“紅藍(lán)對(duì)抗”攻防實(shí)戰(zhàn)演練越來越多。

與傳統(tǒng)滲透測(cè)試相比,紅藍(lán)對(duì)抗中的藍(lán)軍演練更接近真實(shí)的攻擊,一般包含在線業(yè)務(wù)、企業(yè)人員、合作方、供應(yīng)商、辦公環(huán)境、物理樓宇、數(shù)據(jù)中心等等多樣化的攻擊形式。

其中,藍(lán)軍旨在實(shí)現(xiàn)全場景、多層次的攻擊模擬,來衡量企業(yè)人員、網(wǎng)絡(luò)、應(yīng)用、物理安全控制和防護(hù)體系在面對(duì)真實(shí)攻擊時(shí)的防御水平,另外一個(gè)重要的意義在于拓寬防守方的視野,攻守相長。

對(duì)此,中銀證券科技風(fēng)險(xiǎn)與安全負(fù)責(zé)人蔣瓊從藍(lán)軍視角,分享了證券行業(yè)藍(lán)軍建設(shè)的實(shí)踐和經(jīng)驗(yàn)。

中銀證券科技風(fēng)險(xiǎn)與安全負(fù)責(zé)人 蔣瓊

蔣瓊表示,即使在安全人員數(shù)量有限的情況下,企業(yè)也有必要進(jìn)行內(nèi)部藍(lán)軍建設(shè),主要目標(biāo)是在輕量化、可持續(xù)的過程中去主動(dòng)發(fā)現(xiàn)企業(yè)內(nèi)部的安全風(fēng)險(xiǎn)。

輕量化,指的是整體投入有限,畢竟任何攻擊都是有成本的,企業(yè)需要在考慮資源稟賦的情況下選擇最佳實(shí)踐。

同時(shí),輕量化也是一種可持續(xù)化的保障,隨著金融科技的可持續(xù)投入,安全運(yùn)營體系也能夠體現(xiàn)出可持續(xù)性。

關(guān)于如何建設(shè)企業(yè)藍(lán)軍,蔣瓊表示有四個(gè)原則:

一是操作可審計(jì),數(shù)據(jù)不泄露。一個(gè)好的平臺(tái)對(duì)做好整體安全運(yùn)營非常有效,包括模擬攻擊工具、攻擊操作審計(jì)、檢查回溯等。

二是高度重視藍(lán)軍建設(shè)。藍(lán)軍必須得到企業(yè)內(nèi)部的高度重視,有時(shí)甚至授權(quán)比安全組還要高。

由于要在整個(gè)企業(yè)內(nèi)部不斷發(fā)現(xiàn)風(fēng)險(xiǎn),需要具備獨(dú)立性,因此信任很重要。

三是人才隊(duì)伍建設(shè)。人性是很多地方的突破口,一定要招募在各自領(lǐng)域的精干人才,保證在組織里能夠在各個(gè)領(lǐng)域進(jìn)行配合。

四是復(fù)盤機(jī)制。當(dāng)安全事件發(fā)生時(shí),內(nèi)部能夠有沙盤去做攻防推演,去形成一種慣例,對(duì)事件進(jìn)行復(fù)盤和響應(yīng),并且能夠做到攻防上的靈活切換。

蔣瓊認(rèn)為,安全工作的目標(biāo)是“潤物細(xì)無聲”,無論企業(yè)安全建設(shè)是大SOC還是小SOC,一定要像軍隊(duì)一樣有分工、有協(xié)同,并且不斷通過外化的吸收,去沉淀自身的戰(zhàn)斗力。

實(shí)戰(zhàn)化、可信化趨勢(shì)下,金融安全建設(shè)需多維度發(fā)展

在當(dāng)天的“金融科技安全”分論壇上,還有其他演講嘉賓分別從安全檢測(cè)、可信安全等視角,分享了對(duì)金融安全建設(shè)的經(jīng)驗(yàn)。

北京觀成科技有限公司副總經(jīng)理劉晨曦表示,如今網(wǎng)絡(luò)威脅已全面轉(zhuǎn)向加密化,金融作為擁抱新技術(shù)比較靠前的行業(yè),面臨更多網(wǎng)絡(luò)層面的攻擊。

北京觀成科技有限公司副總經(jīng)理 劉晨曦

攻擊者一般會(huì)經(jīng)歷初始信息收集、初始打點(diǎn)、橫向移動(dòng)、命中目標(biāo)等幾個(gè)階段,在這些階段中都會(huì)產(chǎn)生不同的加密流量。

針對(duì)加密流量帶來的挑戰(zhàn)和威脅,劉晨曦認(rèn)為應(yīng)采用包含AI在內(nèi)的綜合決策體系去做檢測(cè)。

首先,通過收集惡意軟件使用的加密流量數(shù)據(jù),從其中的協(xié)議、證書等內(nèi)容出發(fā),拆解出多維度的相關(guān)異常特征。

其次,訓(xùn)練機(jī)器學(xué)習(xí)模型,用多個(gè)模型組合來進(jìn)行相關(guān)威脅判斷。

第三,由于安全威脅的特殊性,機(jī)器學(xué)習(xí)往往也存在一定局限,所以需綜合觀測(cè)其行為、指紋、特征等要素,進(jìn)行綜合決策。

東吳證券信息安全管理團(tuán)隊(duì)負(fù)責(zé)人徐俊超表示,網(wǎng)絡(luò)安全技術(shù)只有自主可控才能安全可信,自主可控不僅是國家的戰(zhàn)略,同時(shí)也是當(dāng)今形勢(shì)下推動(dòng)國家經(jīng)濟(jì)發(fā)展的一個(gè)新動(dòng)能。

東吳證券信息安全管理團(tuán)隊(duì)負(fù)責(zé)人 徐俊超

為了保障網(wǎng)絡(luò)安全技術(shù)本身的安全可信,建設(shè)可信防護(hù)體系核心能力至關(guān)重要。

對(duì)此,東吳證券在可信防護(hù)領(lǐng)域全面進(jìn)行了安全創(chuàng)新體系建設(shè),實(shí)現(xiàn)基于主機(jī)的可信防護(hù),面對(duì)未知威脅的有效抵御,如同人體自身免疫系統(tǒng)一般實(shí)現(xiàn)攻擊、入侵行為的自主對(duì)抗。

首先是安全體系架構(gòu)創(chuàng)新,構(gòu)建了多免疫可信計(jì)算環(huán)境,對(duì)應(yīng)用程序提供主動(dòng)免疫、安全可信的保障,主動(dòng)攔截系統(tǒng)操作運(yùn)行要素,根據(jù)預(yù)定的策略規(guī)則進(jìn)行可信判定,及時(shí)發(fā)現(xiàn)并且禁止不符合預(yù)期的行為,保證全程安全穩(wěn)定運(yùn)行。

第二是可信計(jì)算密碼技術(shù)創(chuàng)新,采用算法全面替代當(dāng)前持續(xù)免疫系統(tǒng)使用的加密算法,保證了安全可信和自主可控。

第三是可信網(wǎng)絡(luò)連接創(chuàng)新。在集中管理的網(wǎng)絡(luò)安全環(huán)境中,采用三圓三層可信連接架構(gòu),有效防范內(nèi)外合謀攻擊。

結(jié)語

數(shù)字經(jīng)濟(jì)為金融業(yè)帶來發(fā)展機(jī)遇的同時(shí),也對(duì)金融安全帶來了巨大挑戰(zhàn)。

在國家加強(qiáng)金融安全建設(shè)的趨勢(shì)下,金融機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)正一步步向著“重實(shí)戰(zhàn)”的方向走去。

在2023 INSEC WORLD“金融科技安全”論壇的這場觀點(diǎn)碰撞和交鋒中,相信能給金融科技從業(yè)者們帶去一份思考和感悟。

來源:科技云報(bào)道

免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個(gè)人觀點(diǎn),與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2023-03-29
金融網(wǎng)絡(luò)安全建設(shè)更難了?看一線從業(yè)者的“實(shí)戰(zhàn)”經(jīng)驗(yàn)分享丨2023 INSEC WORLD
金融網(wǎng)絡(luò)安全建設(shè)更難了?看一線從業(yè)者的“實(shí)戰(zhàn)”經(jīng)驗(yàn)分享丨2023INSECWORLD

長按掃碼 閱讀全文