金融行业的安全风险核心仍在数据,“科技”是数据的“外衣”。互联网金融在业务开展过程中积累了大量信息和数据,这些也经常成为网络攻击的重灾区。而随着新技术在金融业中的广泛和深入应用,新一轮的金融科技安全拉锯战也愈发热烈。
金融科技安全专场一如既往是CIS大会的关注点。2020年12月30日,CIS 2020网络安全创新大会金融科技安全专场论坛邀请了国家信息技术安全研究中心金融安全处副处长曹岳、工商银行业务研发中心专家/安全攻防实验室负责人苏建明、光大银行安全管理处处长牟健君、上海市信息安全行业协会金融科技安全专业委员会秘书长秦峰担任出品人,协同10位演讲嘉宾,在本次大会中共论金融科技安全的理论思考与落地实践。
工商银行业务研发中心专家/安全攻防实验室负责人苏建明远程演讲
目前,银行业务系统面临Web攻击风险、客户端风险、第三方框架的组件风险等种种威胁,此外,还有复杂的业务逻辑中隐藏的安全隐患。作为银行从业者,苏建明表示逻辑绕过、欺诈劫持、羊毛作弊等更是经常碰到的安全问题。
在银行业应用安全体系建设实践中,安全架构设计应该是非常关键的一环,目前主要架构还是以技术类驱动,比如SABSA企业安全架构,可以指导业务安全需求和安全技术的融合,但关于规范信用关系、风险评估、策略定义等在架构设计中的应用,相关方法论在银行业还是缺失的。
在架构设计后面是建立身份认证模型,包括手机口令卡、U盾、登陆密码等,这一过程中需要考虑的是如何把这些措施组合到一起能够平衡业务便利性和整体安全性的需求。此后,苏建明又分享了安全加固工具的迭代及兼顾性能和兼容性,通过对安全工具进行整体的规划而实践安全检测和安全监控,以及溯源响应方面的一些经验。
天威诚信资深技术专家陈大鹏远程演讲
陈大鹏认为,从基础设施到软件应用,以及可信的TLS证书都是所有安全的基石。而伴随着时事动态的演变,国际CA提供服务受到影响,国家层面对网络安全信创的要求与市场需求,SSL证书也需要国产化、安全强化。
目前在证书安全管理上普遍存在的问题包括证书过期不及时处理、证书过多难以维护,证书本身有误等问题,最后直到TLS网站被攻击才发现安全管理上的漏洞。对于数字证书的安全管理,陈大鹏提出金融企业TLS安全管理解决方案,通过获取证书并对其进行自动化生命周期监控、全站扫描并生成综合性全站扫描报告等手段,解决证书过多的安全管理问题。
这一解决方案也反映出全球TLS自动化趋势。在全球证书逐年增长、人工管理成本越来越高、证书最大签发年限由2年变成1年等背景下,自动化趋势是必然的,从自动化部署、自动化更新,都将为企业的安全带来更多保障,为行业带来新的价值驱动。
从应用安全走向业务安全,需要我们深入了解应用和业务。F5亚太区安全架构师陈玉奇先生带来主题分享《设备指纹与闭环AI防欺诈引擎》,为我们介绍了如何及时发现并阻止针对业务的欺诈行为。
F5亚太地区安全架构师陈玉奇
数字化转型对网络安全行业来说,确实又是机遇又是挑战。如今各种安全事件层出不穷,我们会发现应用层相关安全问题突出,对在线业务的欺诈攻击占比越来越大。
陈玉奇提到,当我们把社会身份影射到数字身份的时候,会有很多新的问题出现。比如我们的身份证、用户名、口令、虹膜信息等,这些数字信息被撞库了吗?有没有人接管我们的信息?太多的社会身份影射出无数的数字身份,每个站点、每个服务,我们都有着不同的数字身份,而那些已经休眠的数字身份对我们有巨大的风险。
有人会问,设备指纹和标识符可以防欺诈吗?当然没那么简单。我们要做的是三件事情:
第一是判断访问的这个人是人类用户吗?不是机器人,不是脚本,不是仿冒了脚本的模拟器。
第二,你这个人是你宣称的人吗,你是拿你自己帐户在你自己合法设备上登陆这个设备,而不是别人拿了你的帐户或者你拿了别人的帐户进行访问。
第三,你进来是不是按照我所设计的业务逻辑在进行处理,而不是还没有登陆就开始准备结帐的状态。
这三点解决之后,在设备指纹的帮助下,我们在防欺诈上可以做更多工作。
不仅是企业,防欺诈这件事也与每一个普通人息息相关。个人金融信息如果没有得到妥善保护,金融欺诈事件很容易就会找上门。各种广告骚扰、电话诈骗之类的相信大家或多或少都有遇到过,那么,怎么样保护自己金融信息呢?
来自广发证券的周轶伦先生带来了《个人金融信息保护与骚扰电话治理》主题分享,尝试为我们用生动的语言解释这个问题。
广发证券信息安全工程师周轶伦
周轶伦问大家,有没有接到过推荐股票的骚扰电话?相信大家都接到过,他这个证券行业的也不例外。他指出,从2016年起此类骚扰电话数量开始攀升,2018-19年达到高峰,2020年起虽有所下降,但仍保持在一个高位。
随后,周轶伦介绍了一个他们协助当地警方破获的真实案例,某运营商话费结算人员,利用话费结算系统的系统维护权限结合黑客技术,大量调取证券公司的电话的呼叫记录用以实施诈骗,这是一起典型的内鬼作案。
除了真实黑产案例以外,他还介绍了广发证券的数据安全治理经验。首先制定数据治理管理办法为纲,下面有不同类型的实施细则作为目,辅以DLP、APP全站HTTPS、去标识化、数据库审计、数据脱敏、堡垒机等不同类型的防护措施。
绿盟科技天枢实验室高级安全研究员张润滋
随着攻击技术的升级,张润滋认为防守方、防守平台理念也要智能化地升级。安全智能化过程中也会遇到各种各样的问题,比如日常运营、平台、技术本身。在这一背景之下,张润滋分享了AISecOps技术体系总结。
安全运营是资源协同过程,是一个风险驱动的,为我们整个资源合理配置,降低企业风险过程,是人、技术和流程三要素交织的过程,这是大家习惯说的安全运营SECOPS。
而互联网产业现在比较火的,无论研究界还是工业界——智能运维,AIOPS在产业界有一个比较好的生态。AISEC则是在样本上下功夫,进行样本模型训练等。张润滋表示AISecOps智能安全运营的关键是把数据当成根本,基石要素放到SECOPS流程当中来,支撑大家做传统的检测、传统溯源,支撑大家做风险评估、做自动化。
事实上,张润滋表示提出AISecOps,以智能化的方式支撑自动化。最终的目标是使平台和技术更自动化,降低对专家的依赖。让整个平台和运营流程可拓展、可持续。人的精力有限,不能7×24小时执守的。
光大银行科技部安全处高级安全运营工程师马晨怡
马晨怡表示当前安全形势对安全态势感知平台的建设提出了新的要求,并结合光大银行自身的实践经验分享了一些安全态势感知平台的建设思路。从当前的形势背景入手,全球网络安全形势进一步严峻,网络安全上升为国家安全;国内网络安全政策和法律法规进一步完善;整体的金融行业态势感知方向也进一步明确;网络攻防对抗进一步对抗。
在这些背景因素下,我们需要从三个维度进行升级。首先,理念升级,重新明确安全运营与态势感知的关系,安全运营不等于安全态势感知,安全运营范围更加广泛,是一个工作领域。安全态势感知不是独立产品,更不是某一家厂家产品,而是包含多个版块,各自分工。
其次,技术升级,对安全运营态势感知平台技术架构进行重构,重构方向分为四个层面,自下而上是安全计算与存储平台、安全数据中台,安全感知场景层面,安全指挥与决策层面。马晨怡对此作了进一步解释与分析。
最后,除了理念升级和技术升级,还需要配备人员组织架构升级。之前以攻防人员为核心,调整之后,应该涵盖攻防人员和数据人员,数据人员涉及数据挖掘、数据分析、人工智能。马晨怡还提出了对未来方向的思考,如计算与存储效率化、安全数据治理精细化、安全感知场景丰富化、前后台应用解耦化等。
斗象科技企业事业部技术总监马军
马军在一上场就提及了今年的13部网络安全法律法规,其中多数法律标准都和金融安全息息相关。出台法律法规进一步说明网络安全已经上升到了国家层面。安全威胁形式愈发严峻。
马军总结了信息安全面临的威胁和挑战,如互联网经济犯罪高居不下、行业高级威胁不断加剧、基础设施和通用软件安全不可控、移动弄设备和支付安全问题凸显、泄露窃密性攻击步入高发期。
如何应对金融安全威胁,马军给大家展示了一张安全运营体系全景图。归根结底,可以总结为“搭城墙”、“守城门”、“建城楼”三个步骤。第一步“搭城墙”即早期的单点防护,第二步“守城门”针对流量检测进行潜在的威胁分析,第三步“建城楼”即现在的态势感知拓展和安全分析。
目前攻防演练呈现常态化,自动化和体系化,攻击方越来越了解业务,并利用近源攻击手段。攻防常态化以后,给我们的安全运营提出新的要求。建设思路从初级防护到基础防护,到体系化控制,在攻防常态化以后,应更注重提高后两个维度。最后,马军结合攻防演练中的两个案例分析安全运营建设,并对未来的安全运营建设提出了标准化、自动化等安全指标。
极盾数科CEO丁杨
安全决策是大家常听到的一个名词,可是智能安全决策又是什么,极盾数科CEO丁杨和大家一起分享了这个“新词”。数据提炼价值,决策指引方向。
智能安全决策,即对应安全领域,利用来自日志、流量或是用户行为的数据,依据规则或者模型方式做决策。总结来说,在分析和决策的大框架下,定义智能安全决策。
安全运营不断迭代是需要形成闭环体系的,能够不断地适应新的攻击。利用安全智能决策平台,需要具备定量和定性的能力,即围绕数据流程做决策分析和利用人做安全的经验。
此外,丁杨还阐述了智能安全决策平台的五大优势:
1.单点增强,领域细分,赋能更强的安全决策能力
2.打破安全场景间的数据孤岛,协调投入精力
3.利用平台进行安全经验沉淀和复用
4.数据中台,不仅强调打破数据孤岛,更强调数据汇聚和可复用
5.高性能实时计算平台,满足当前安全场景的“实时”响应需求
最后,丁杨认为安全运营的未来其实应该就是安全的智能决策。提及安全精细化运营,实际上可以说是安全规则的运营。安全运营规则和AI模型相比,具有四个显著特点:可解释性;独立性,互相之间不影响,规则相互独立;专家经验的沉淀,用规则固化;团队协作性。安全运营未来会逐步精细化、自动化、生态化、共享化。
安言咨询副总经理钱伟峰
在本次分享中,该议题内容可分为三个模块,合规要求的快速总览,个人信息包括隐私的影响,分析评估的标准概要以及企业在该领域的实践经验。钱伟峰表示:“用合规去震撼我的客户!合规是底线。”钱伟峰分析了开展个人信息安全影响评估的两份标准,第一份是ISO29134版,第二份是GB/T39335。结合这两份标准做PIA,即隐私影响评估。
他对PIA作了进一步详细的分析,在确定PIA的必要性,需要开展PIA。PIA可以分为三个阶段,准备阶段、执行阶段、跟进阶段,最后要确定风险源。从数据处理活动本身对PII主题权益造成的影响以及数据泄、篡改、非授权访问的威胁对主体造成影响进行判断,影响维度包含影响个人自主决定权、引发差别性待遇、个人名誉受损和遭受精神压力、个人财产损失,取四个维度的最大值。
天融信科技集团华东安服总监匡江华
和很多人一样,天融信科技集团华东安服总监匡江华一上场就分享了买车注册信息,却有很多厂商打电话,由此可见,信息泄露在人们对生活中无处不在。随后匡天华介绍了金融行业风险特点,如信用风险和信息安全风险并重。信息安全风险即数据存储安全和大数据下信息本身的安全,信任风险则是由于金融机构的商业模式和业务架构都基于信任体系而建立,信任体系决定了互联网金融能否快速发展。
在黑灰产产业链的快速膨胀的背景下,金融行业一直都是网络安全攻击的重灾区。匡江华从网络钓鱼邮件、薅羊毛、登录场景风险、金融支付风险等四个场景进行金融行业风险分析。针对风险痛点,匡天华提出了纵深防御体系,可以解决安全架构问题。其次,完善开发安全策略与流程,威胁建模;最后,利用攻防演练提升安全运营能力。
最后,他认为基于红蓝对抗安全运营体系提升能力,明确红蓝对抗的目标。利用红蓝对抗的手段时刻检验金融信息安全工作的有效性。时刻检验金融安全应对安全威胁响应能力,检验在威胁应对上安全协同、应急响应、应急处置综合能力,发现金融环节漏洞和不正当攻击面,最后总结提出改进建议。
阳光信用保证保险信息安全部负责人谢文博
“安全挑战无处不在。” 阳光信用保证保险信息安全部负责人谢文博在演讲一开场分享了个人做安全的“难”。基础安全岗、数据安全岗、应用安全岗、安全合规岗、安全开发岗等,这些对于并非安全出身的他来说,是一种挑战。
如何应对目前的安全挑战呢?谢文博从六个维度给出了解决方案,如层出不尽的新技术、永远不够的资源、复杂的业务、合规要求、SDLC-C落地,数据安全/客户隐私保护,终端安全。
最后,谢文博提出了自己对未来的安全趋势判断,如动态安全网关;数据能力前置;安全能力更加自动化;应用弹性部署和自动调度;风险自动治愈;更多新技术工程化引入自研项目等,
本场金融科技安全专场论坛围绕金融行业的安全运营、AI人工智能算法等前瞻性热点开展,国家层面、企业层面、个人层面均有涉及,演讲嘉宾结合企业和个人的经验分享提出了不一样的建设思路,从不同维度给予了现场观众一些借鉴,进一步引发大家对金融科技安全领域的关注,一个前沿性话题将我们聚在一起,期待明年的这场“思想风暴”。