①金融用戶數(shù)量持續(xù)攀升,大量支付數(shù)據(jù)、個(gè)人身份信息及交易記錄等持續(xù)產(chǎn)生,這些高價(jià)值的數(shù)據(jù)資產(chǎn)容易引發(fā)黑灰產(chǎn)覬覦,安全建設(shè)面臨前所未有的新挑戰(zhàn)。 ②在監(jiān)管要求與行業(yè)自身發(fā)展的雙重驅(qū)動(dòng)下,金融機(jī)構(gòu)安全防護(hù)加速常態(tài)化,“治未病” 理念深入人心。
財(cái)聯(lián)社12月8日訊(記者郭子碩)隨著國(guó)內(nèi)數(shù)字化進(jìn)程加速,數(shù)字經(jīng)濟(jì)已成為國(guó)內(nèi)經(jīng)濟(jì)發(fā)展的核心驅(qū)動(dòng)力之一。然而,在金融數(shù)字業(yè)務(wù)創(chuàng)新拓展、服務(wù)效能提升的同時(shí),安全風(fēng)險(xiǎn)亦呈升級(jí)態(tài)勢(shì),金融機(jī)構(gòu)的數(shù)字安全面臨新的考驗(yàn)。
騰訊云副總裁胡利明在本周的2024騰訊云金融安全峰會(huì)中介紹,數(shù)字安全已經(jīng)越來(lái)越成為數(shù)字金融的底座工程,面對(duì)高危漏洞、復(fù)雜攻擊、數(shù)據(jù)泄露甚至勒索問(wèn)題等多重挑戰(zhàn),需要政府、科技企業(yè)、金融機(jī)構(gòu)共同參與,形成合力,共同構(gòu)建金融行業(yè)的數(shù)字安全屏障。
當(dāng)前,金融行業(yè)的數(shù)字安全建設(shè)處于什么階段,如何構(gòu)建穩(wěn)固的安全體系?對(duì)此,騰訊金融云副總經(jīng)理王豐輝、騰訊安全副總經(jīng)理李濱以及騰訊安全副總經(jīng)理聶森就此接受了包括財(cái)聯(lián)社記者在內(nèi)的媒體采訪,各方將共同探討金融數(shù)字化轉(zhuǎn)型中的安全應(yīng)對(duì)之策,為金融行業(yè)安全穩(wěn)定發(fā)展探尋方向。
金融機(jī)構(gòu)安全建設(shè)應(yīng)考慮“全?!?/strong>
“金融用戶數(shù)量持續(xù)攀升,大量支付數(shù)據(jù)、個(gè)人身份信息及交易記錄等持續(xù)產(chǎn)生,這些高價(jià)值的數(shù)據(jù)資產(chǎn)容易引發(fā)黑灰產(chǎn)覬覦,安全建設(shè)面臨前所未有的新挑戰(zhàn)?!敝袊?guó)信通院云計(jì)算與大數(shù)據(jù)研究所所長(zhǎng)何寶宏指出。
李濱與聶森進(jìn)一步表示,當(dāng)前黑灰產(chǎn)利用大模型、人工智能技術(shù)偽造信息,對(duì)金融機(jī)構(gòu)風(fēng)控與業(yè)務(wù)系統(tǒng)發(fā)動(dòng)攻擊的趨勢(shì)顯著上升。同時(shí),攻擊者借助供應(yīng)鏈渠道滲透的現(xiàn)象愈發(fā)常見(jiàn),釣魚(yú)攻擊等傳統(tǒng)手段亦難以防范,這些均成為金融機(jī)構(gòu)安全防護(hù)的棘手難題。
“信息技術(shù)自主創(chuàng)新發(fā)展過(guò)程中的軟件供應(yīng)鏈安全,已成為年內(nèi)監(jiān)管重點(diǎn)關(guān)注領(lǐng)域,如攻防演練中提及的安全左移與可信組件源等關(guān)鍵問(wèn)題?!蓖踟S輝進(jìn)一步解釋,業(yè)務(wù)代碼中若開(kāi)源組件比例較高,一旦爆發(fā)漏洞影響將很大。另一方面,金融機(jī)構(gòu)使用外包與第三方軟件越多,也越可能存在安全漏洞引入風(fēng)險(xiǎn),包括落實(shí)包括實(shí)時(shí)掃描、規(guī)范確立與貫徹等問(wèn)題。
王豐輝指出,依據(jù) “木桶原理”,金融機(jī)構(gòu)安全水平取決于最短的安全短板,且自主創(chuàng)新過(guò)程中的安全并非單點(diǎn)問(wèn)題,而是涵蓋芯片、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)等多領(lǐng)域的全棧性挑戰(zhàn)。
在金融機(jī)構(gòu)實(shí)踐上看,全棧層面的挑戰(zhàn)也意味著更高的融合、銜接難度。李濱認(rèn)為,由于安全涉及社會(huì)運(yùn)營(yíng)管理中所有的業(yè)務(wù)系統(tǒng)和基礎(chǔ)設(shè)施,維度分散且復(fù)雜度高,不同技術(shù)間的連接和融合也存在阻礙。
“金融機(jī)構(gòu)有大量的存量系統(tǒng)與數(shù)據(jù),由于各方面的約束和限制,新舊系統(tǒng)在銜接到接入統(tǒng)一的安全體系都會(huì)遇到一系列問(wèn)題,帶來(lái)較大的安全建設(shè)阻礙。這些系統(tǒng)不能簡(jiǎn)單廢除,所以安全架構(gòu)如何保護(hù)、兼容舊系統(tǒng)與老資產(chǎn)成為關(guān)鍵。”李濱解釋,越是大型機(jī)構(gòu)做數(shù)據(jù)融合跟安全鏈接,越難處理系統(tǒng)銜接問(wèn)題,包括兼容性、連通性的問(wèn)題。
在此背景下,金融機(jī)構(gòu)構(gòu)建安全防線的關(guān)注點(diǎn)至關(guān)重要。王豐輝指出,金融機(jī)構(gòu)需對(duì)自身安全資產(chǎn)實(shí)施精準(zhǔn)分類分級(jí)管理,深入洞察網(wǎng)絡(luò)邊界薄弱環(huán)節(jié),強(qiáng)化內(nèi)部人員安全培訓(xùn)。常見(jiàn)的釣魚(yú)郵件也是黑客的慣用手段。當(dāng)外部難以突破時(shí),黑客往往試圖從內(nèi)部人員入手。金融機(jī)構(gòu)必須全方位查漏補(bǔ)缺,才能切實(shí)筑牢安全壁壘。
金融機(jī)構(gòu)從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)防御
在監(jiān)管要求與行業(yè)自身發(fā)展的雙重驅(qū)動(dòng)下,金融機(jī)構(gòu)安全防護(hù)加速常態(tài)化,“治未病” 理念深入人心。
王豐輝在采訪中透露,從今年的安全演練政策可以看出,監(jiān)管在不斷地迭代和變化,金融機(jī)構(gòu)也從“被動(dòng)防御”演變?yōu)橐燥L(fēng)險(xiǎn)為導(dǎo)向、以結(jié)果為度量的“主動(dòng)防御”策略?;凇凹僭O(shè)損失”原則,假設(shè)攻擊一定發(fā)生,如何把最優(yōu)資源保護(hù)最有價(jià)值資產(chǎn),以此推演防護(hù)框架和能力的規(guī)劃和建設(shè)。
李濱認(rèn)為,金融機(jī)構(gòu)從被動(dòng)響應(yīng)向主動(dòng)規(guī)劃轉(zhuǎn)型過(guò)程中,企業(yè)建設(shè)需構(gòu)建安全攻防態(tài)勢(shì)與防御體系的成熟度階梯。一方面,綜合檢測(cè)難度、攻擊規(guī)模、黑客攻擊趨勢(shì)等多維度因素,劃分金融機(jī)構(gòu)安全問(wèn)題的等級(jí);另一方面,甲方及管理者可設(shè)立能力成熟度表,依據(jù)設(shè)備產(chǎn)品、人員水平、安全治理流程等維度評(píng)定等級(jí)。當(dāng)互聯(lián)網(wǎng)攻擊態(tài)勢(shì)低于機(jī)構(gòu)自身防御能力層級(jí)時(shí),這可以幫助機(jī)構(gòu)判斷、有效過(guò)濾低等級(jí)攻擊。
“從騰訊安全的實(shí)踐經(jīng)驗(yàn)來(lái)看,我們?cè)谂c金融客戶緊密協(xié)作過(guò)程中,通過(guò)紅藍(lán)對(duì)抗主動(dòng)引入攻擊者進(jìn)行滲透測(cè)試,開(kāi)展攻擊面與暴露面管理工作,將資產(chǎn)梳理至前沿,力求在最早時(shí)間化解潛在攻擊風(fēng)險(xiǎn)?!崩顬I補(bǔ)充。
聶森進(jìn)一步指出,AI大模型也是金融機(jī)構(gòu)當(dāng)前提升安全能力的核心驅(qū)動(dòng)力,比如處理數(shù)據(jù)的分類分級(jí)管控,安全事件的分析和過(guò)濾,威脅情報(bào)的輔助分析,以及在安全事件綜合性方面等幫助很大。