“安全是个孤立的部门,很难和其他部门协作。”参会嘉宾汪永辉一句话总结了做安全的感受,赢得场下观众频频点头。
6月4日,FreeBuf 企业安全俱乐部系列沙龙活动金融行业网络安全运营论坛在上海顺利举行,9名行业专家和学者与大家共同探讨金融安全领域的热点问题。安全态势感知、应急响应能力、代码安全分析、隐私保护计算等话题在现场屡屡被提起。
我们整理了现场演讲的精彩内容供大家回顾:
“数据最大的特征是流动,只有流动的数据才能创造价值。”公安部第三研究所网络安全专家樊苑在现场表示,金融行业的数据尤其需要安全合规运营,数据安全是金融业务连续、高可用的必要条件。
对于金融行业来说,数据安全主要有三个需求:保障数据不被破坏、保障数据不被非法访问、保障数据不被合法滥用。“但传统的防护手段无法对风险快速响应与识别,”樊苑表示,目前金融行业数据的安全建设主要面临以下5个难点:(1)金融行业相关标准更新频繁,要确保合规要求(2)业务系统分散、数据种类复杂(3)如何平衡用户体验和安全性要求(4)内部管理中如何确保数据自主可控(5)国际化趋势下如何做好数据受控传输。
樊苑还提到,金融行业2020年度数据泄露事件频发,客户数据泄露是企业面临的最大挑战。例如中信银行违法泄露某脱口秀艺人个人隐私、浙江一家银行泄露客户信息被罚30万元等等。
“没有100%的网络安全工作,也没有100%的网络安全保障手段方案。”樊苑表示,企业还是需要加强数据安全管控手段、体系建设、数据审计、风险评估、细粒度管理和数据备份协同。
“大型支付企业面临的困境主要是部门多、信息系统多、信息资产暴露面广”某大型支付企业信息安全团队牵头人钱勤慎总结了支付企业面临的安全困境。
他表示,现在支付业务90%以上通过互联接入,业务场景丰富、风险暴露面大,想要解决资产暴露面问题需要接入层集中收敛,设置三道防线,并在总后方启用安全态势感知。
他建议,企业要部署安全大数据分析系统,将各类安全设备的日志、流量信息集中到一起,进行日志筛选、集中监控、统计关联分析,高效、准确地识别出真正的安全风险,最终达到安全态势感知的境界。
IBM大中华区安全事业部高级顾问张冠群提到,在IBM发布的The 2021 CEO Study报告中,数据泄露的平均响应时间为280天,远程工作则提高了数据泄露的成本和响应事件。
他提到,平均每家企业使用的安全工具超过25种,不仅无法保证安全性,还会影响效率。所以现代安全保护需要一个统一的方法供团队连接数据和工作流。
他表示,SOAR(安全业务流程自动化和响应工具)是一场安全的修行,它具备效率、协作、合规、完备四个特点。IBM SOAR覆盖了检测、调查和响应环节,可以通过实时检测快速发现定位混合多云环境中的威胁,然后应用AI技术加速安全事件调查,通过自动化、流程编排等方式协调跨团队、工具和系统的快速安全事件响应。他还强调,平台内置了全球180多个国家的法规,可满足所在地合规要求。
“安全是个孤立的部门,很难和其他部门协作”中国平安壹钱包安全架构师汪永辉在开场描述了在支付企业做安全的感受。
汪永辉提到,应急响应环节的事前预案要接地气,因为金融安全行业的人员流动性大,预案制定时要考虑能快速上手。此外,在应急响应阶段,企业还存在事中高危告警应接不暇和事后缺乏根因分析等情况。
壹钱包对于海量告警有一个控制台对接商业产品的API接口,识别风险和响应之后可以进行数据关联分析、降噪、闭环。
最后,汪永辉表示,体系运转离不开专项安全意识与技能培训。
“以前还没有进行安全建设,遇到很简单的DDoS攻击,企业都不知道如何处理。”斗象科技技术支持总监王涛根据自身经验,总结了企业安全建设经历的四个阶段。
2015年以前是混沌阶段,企业安全建设还处在“不知攻,不知防”。2015年至2016年则是“遇到问题解决问题”的救火时代。但随着安全发展的演进,2017年,企业们已经开始进入建设时代,开始学习安全,满足合规要求例如等保要求。2019年以后则是寻求体系建设的运营时代。
他补充,目前的攻防形式下有四大趋势,供应链攻击、自动化体系化作战、深入了解业务、近源攻击。他补充,物联网办公设备如打印机、咖啡机都是近源攻击的突破口。
“未来的安全运营会转被动为主动,结合结合大数据、机器学习、AI、自动化等技术理念,形成动态化的安全综合体系架构,人+技术+管理的共同运作。“王涛总结。
信通院安全研究所数字产业安全研究部副主任郭飞在会场表示,隐私保护计算技术在应用时,要注意衡量个人隐私保护和创新型隐私保护技术的关系 。
个人信息保护的具体合规要求包含数据最小化、数据分级分类、数据匿名化、知情同意、规范操作、应急补偿等多项要求。
当前,隐私保护计算技术有联邦学习、安全多方计算、机密计算、差分隐私、同态加密、综合评价都是隐私保护计算的关键技术,其中大多数技术是创新型技术。
“实现数据精细化管理的前提是数据分级分类。”郭飞表示,分级分类的标准可以是数据中是否含有标识符。
郭飞还介绍了信通院隐私保护计算相关成果,“已形成1个平台(金融数据安全融合平台)、1套规范(金融场景隐私保护计算平台测施规范)和3项研究报告(数据安全融合系列研究报告)的体系化金融数据安全融合成果。“
天融信科技集团金融行业技术总监肖松表示,金融科技时代网络安全运营面临以下挑战和机遇:在云计算环境下,软件正定义网络边界,安全运营延申到云内资源,分布式架构对安全运营造成挑战。
在大数据平台与应用层面,大数据系统自身需要安全防护和敏感信息保护,越来越多大数据技术应用在安全运营中。
在移动支付和交易环节,客户敏感信息保护、有线和无线通信网络安全态势、实时交易反欺诈、风控。
肖松表示,金融科技与政策背景下,安全运营既要外防风险构建智能化协同,也要内重合规,强化数据安全治理与行为管控,形成“人+情报+平台+探针多位一体”的体系。
“我们的应用环境发生了巨大转变,多云时代到来、DevOps兴盛、架构技术剧烈变化、IT服务化、数据与洞察驱动、开放能力与互联程度提高。”神州云科应用交付技术总监程雷表示。
他强调,很多企业未进行API认证授权,这是企业最容易忽视的问题之一。特别是在加密攻击成为新常态的当下,API安全更不容忽视。数据显示,68%恶意软件的站点使用了加密证书,93%的钓鱼域名提供安全加密的链接。
程雷强调,要构建弹性安全架构体系,增强型的WAF在应用层级的保护,构建最完整有效的API安全防护架构。
“92%的漏洞来自应用层而非网络层,”北京大学软件工程国家工程中心副教授马森引用2019年Gartner的数据点明代码安全分析的重要性。
他表示,现在90%的公司在成品阶段才进行应用安全检测,平均需要191天才可修复一个缺陷。但如果将代码分析提前到研发阶段,那修复一个缺陷的成本会比成品阶段低100倍。
SAST(静态分析)、SCA、IAST、DAST(动态分析)是目前应用安全的四大主流技术,Gartner预测2025年中国应用安全市场规模约为19.01亿美元。
马森也提到,目前静态分析工具还存在程序分析图构建、执行路径生成面临的路径爆炸问题,它也是程序分析的根本性计算难题。还有代码不完整、跨语言分析与增量分析的现实性需求以及函数摘要的静态分析求解困难问题。在选择代码安全分析工具时,需要综合考量。
“90%的第三方代码库存在已知漏洞,98%的公司不知道自己的程序中使用了哪些第三方库。”马森补充到,67%的第三方代码库存在许可证冲突,33%的第三方代码库没有许可证,他提醒一旦应用产品需要出国,则存在法律风险。
在上海为期一天的高峰论坛上,9位分享嘉宾和数百位与会观众就金融行业如何做安全运营互相探讨经验,场场分享干货满满。与会者不仅交流了业务经验,还收获了同业的“战友”,共同建设安全行业。
以下是现场精彩花絮: