技术变革视角下的金融安全:新挑战、新路径、新常态
文/陈锋
编辑/子夜
古希腊神话里的西西弗斯,每天会辛辛苦苦推石头上山,第二天石头又会落下来,但需要把它再推上去,如此周而复始。
网络安全产业链条里的任何一环、每个角色,某种程度上也在经历着这个过程:
从云计算到AI到大模型,全行业数字化转型持续深入的过程中,每一轮的技术变革中,“矛”与“盾”的持续对抗,在形式、态势上,都在变化。
对身处其中的每个行业里的每家公司而言,安全建设都没有终点,需要西西弗斯式的坚守。
聚焦到当下来看,伴随着AI大模型加速落地到各行各业,其高效泛化内容生成的特点,也会让黑客以更低的门槛和成本,发动更密集的攻击,防守方则需要更缜密的逻辑关联、更精确的溯源能力,等等。比如AIGC的迅猛发展衍生出来的AI欺诈、AI仿冒等问题,也成了很多企业新的痛点。
这一背景下,企业在AI时代,该如何更好地应对不断变化的安全挑战?
金融行业在安全建设上的趋势、挑战、实践、路径和思考,尤为值得探讨——金融行业一边是走在数字化变革最前沿的领域,另一边也是对安全风险容忍度最低、对安全合规要求最高的行业。
12月6日,腾讯云举办了2024首届腾讯云金融安全峰会,参会嘉宾包括了数字金融机构、商业银行、资管机构等企业安全技术的负责人,多方共同探讨了不同业务场景下的金融安全建设实践。
在这次峰会上,连线Insight注意到,随着技术的不断变革,金融行业的安全挑战,呈现出了不同的态势,在金融行业的安全建设上,以腾讯为代表的互联网厂商,也沉淀出了一些新思考,并加速探索企业安全建设新路径。
1、从攻防演练新态势,看金融行业的安全挑战
过去数年,金融行业面临着相对更高的安全风险。
一方面,金融行业离“钱”更近,更敏感,也就更容易被不法分子“盯上”;
另一方面,由于业务场景更多、个体或单位使用金融服务的频率更高、数据资源更丰富,此前大数据、云计算等技术加速产业数字化转型时,金融行业也走在前列。包括数字化营销、个性化推荐与精准服务、风控模型的建立与完善、资源的整合及利用等等,都离不开大数据和云计算。
这一过程中,更大规模的组织上云、数据上云、业务上云,乃至供应链上云,其实也滋生了新的安全挑战。
原因在于,在全行业数字化转型时,新技术的出现总有两面性。
一面是技术的赋能作用,它让效率更高、让成本更低、也让安全水位更高;另一面则是,在不法分子的手里,这些技术又会成为他们丰富、强化攻击手段与方式的工具。
尤其是在当下,金融行业正处在新一轮技术推动数字化纵深的周期中——云计算从1.0阶段的金融信息化、2.0阶段的互联网金融、金融科技,过渡到3.0阶段的金融与科技的深度融合后,如今正加速迈向4.0阶段,数字金融。
这背后,云原生生态的不断扩大、AI技术的加速变革和应用,一定程度上拓宽了持续数字化的想象力,但同时也在加剧金融安全风险。
来看两个实际的案例。
今年1月,香港某跨国公司的财务员工,被骗子利用Deepfake换脸技术冒充公司CEO进行视频会议后,被诈骗了2500万美元;今年5月,某跨国贸易公司的一名职员,收到仿冒为英国总公司CFO的WhatsApp信息,期间深伪技术生成的“假上司”指示这名职员将近400万港元转款至一个本地账户。
2024首届腾讯云金融安全峰会上,腾讯安全副总裁、玄武实验室负责人于旸也从技术视角出发,进一步解析了当前金融行业面临的攻防对抗态势变化。
腾讯安全副总裁、玄武实验室负责人于旸
他认为,通过迂回攻击、曲线攻击绕过企业现有防御网络,或通过供应链通路、数据托管、权限委托等单点上形成突破口,进而威胁到企业数字资产,是近年来攻防演练呈现出的新“脆弱点”。
此外,在攻击工具上,也有新变化。
“一开始大家用一些开源工具免费工具,一般来说这些工具都是单兵工具,就是‘步枪’‘手枪’。这些年一来是每个攻击队都开始开发工具,二来是这些工具也在转向平台化、协作化,变成‘航空母舰’了。而且随着平台化水平的提高,可以很大程度上提高整个攻击队的水平。”于旸如此说道。
他进一步介绍,这些平台也可以通过引入自动化技术,乃至AI技术、大模型技术,来进一步提高攻击效率。
与此同时,中国信通院云计算与大数据研究所所长何宝宏提到,近些年,金融云的安全威胁也在加剧,集中体现为两大挑战。
第一个挑战是,随着数字金融用户的持续增加,云端金融风险在持续攀升。
第二个挑战则是,高价值资产频遭数据泄露和勒索软件攻击,暴露出金融机构在数据安全、系统安全和隐私保护等方面尚存在短板。
比如今年10月,某家互联网金融机构,大量用户通讯录信息被泄露,包括联系人姓名、号码等等;今年1月,某家金融公司遭遇网络攻击,导致130万客户数据泄露,等等。
不难发现,当下金融行业的安全形势,在变得日益严峻。
对金融机构而言,数据流转的加速、业务关联性的加深、系统规模的扩大和迭代频率的提升、日益复杂的访问主体、场景和行为、金融业务的边界拓展,等等,几乎每一个环节,都存在潜在的安全隐患。
2、化被动为主动、从单点到立体,金融安全“1”比“0”更关键
上述背景下,金融行业的安全建设,到底该怎么做?
面对当前无孔不入的安全挑战,金融行业的安全建设,需要的是更立体式的防御机制,而不是单点式去发现问题、解决问题,也需要更主动性的安全建设理念,而不是“等问题出现再解决”。
今年11月27日,中国人民银行等七部门联合印发了《推动数字金融高质量发展行动方案》,其中提到,到2027年底,要基本建成与数字经济发展高度适应的金融体系。
在这背后,金融云安全体系,是保障金融服务安全性、支撑数字金融生态繁荣与发展的底层支撑。
对云厂商和安全厂商而言,安全产品如何与云平台实现紧密结合,实现真正的云原生安全、一体化安全,正是金融云安全体系持续优化和升级的一个关键。
结合这几点,在这次峰会上,连线Insight观察到,腾讯在金融领域的安全实践,提供了一个思路。
简单拆解,腾讯云和腾讯安全的实践,可以从两个层面来看:
一方面,是保障云平台本身的安全稳固,为金融行业提供高效的一体化安全供给。
腾讯安全副总裁、云鼎实验室负责人董志强表示,基于腾讯云平台过去多年在合规建设、安全防护、安全运营等方面的经验,腾讯云将自身安全建设的经验沉淀成了一套新理念——高安全等级架构。
腾讯安全副总裁、云鼎实验室负责人董志强
这也是腾讯云安全建设的思路和目标。“我们希望,通过更高安全等级架构这样的思路,倡导所有团队能够为了这样的目标去努力。”董志强如此说道。
他进一步介绍,企业要想达成高等级的安全架构,需要具有可信的底层、原生的能力、智能的安全运营水平,以及出厂的默认安全。
基于此,腾讯云自下而上,为云业务自身和租户安全,都构建起了纵深防御的体系,沉淀出了一套具备可复制性的、云原生的高安全等级架构,通过服务器硬件安全优化、可信计算技术与供应链安全保证云基础设施安全等多重机制,来保障云基础设施的一体化安全。
另一方面,则是在产品维度,腾讯安全整合构建了“4+N”体系,为所有私有云、公有云、混合云等不同业务形态客户提供全面的产品供给。腾讯安全副总裁方斌介绍,腾讯安全的独特优势,是在情报能力的基础上,基于四道防线逐级增加防御节点,再进一步扩展到N个业务外延,实现基础安全和业务安全的同步提升。
腾讯安全副总裁方斌
其中,“4”指的是“数据安全、主机安全、Web应用防火墙、云防火墙”这四道防线,指向的是通用安全,希望解决的是企业面临的在批量攻击、合规、安全运营、复杂攻击等方面的问题;
“N”指向的则是场景化安全,面向不同行业提供针对性更强的特色化解决方案。比如面向金融行业,腾讯安全提出了“防AI仿冒可信身份解决方案”“金融反电诈解决方案”“金融风控大模型”“零信任网络访问”“安全数据湖”“小程序网关”等等场景化解决方案。
图源腾讯安全官方微信公众号
目前,腾讯云金融安全这套“4+N”体系,正加速在金融行业落地。
比如,某具有百年历史的某集团旗下的证券公司,通过安全体检和这四道安全防线,搭建起了安全有效、平台+战略结合的纵深防护体系,提升了安全运营水平。
据腾讯云介绍,重保期间,云防火墙、WAF帮助客户拦截了超过1900万次攻击。
与此同时,期间这四道防线帮助客户发现了1977个漏洞,阻止了2万余次漏洞利用,同时有1190次高危命令执行通过主机安全得到了阻断。
再比如,某资管公司在中国大陆30个省、自治区、直辖市拥有200多个证券营业部,在人员、组织众多、多分支接入等复杂的网络场景下,遇到了在远程办公上的安全和效率挑战。
在和腾讯安全的合作中,这家资管公司采用了腾讯安全的零信任iOA全功能模块,保障了员工在内网办公或远程办公场景下的安全性、办公效率和使用体验。
其中,腾讯安全重点以iOA杀毒管控模块,实现了对国外Symantec这一终端安全软件的替换,安全合规数据作为零信任访问引擎的决策数据源,全面动态来判断访问的可信状态,以一个客户端软件,解决了之前多个客户端才能达到的安全防护。
结合上述几点,不难发现,腾讯做安全,其实正是在依托云的能力进行安全建设,由此来保障安全产品与云平台实现紧密结合。
而无论是面向金融行业安全建设的思考和路径,还是产品或解决方案,都源自腾讯自身的实践——
从早些年QQ时代为了保护用户自主研发出首个反病毒引擎TAV,到后来在更多的“自我测试”中积累下来天幕(网络入侵防护)、御界(高级威胁检测)、东风(溯源反制)等产品,再到如今AI、大模型技术浪潮下的最新安全探索,在网络安全这件事上,腾讯已经积累了超过20年的经验。
3、金融安全新常态:合作才能带来更大共赢
2022年7月2日,美国迈阿密一家叫Kaseya的网络软件公司,遭遇了一群自称“REvil”的俄罗斯黑客发起的攻击,对方利用Kaseya的VSA软件中的几个漏洞来传输勒索软件。
短短三天时间后,应用这一软件的100多万台电脑受到感染,瑞典最大的连锁超市之一Coop,因供应商Visma被攻击,导致其在全球的近800家门店,不得不暂停营业。
这是全球范围内迄今为止发生的最大的一次供应链攻击事件。
从这起案例不难发现,现如今网络安全的建设早已牵一发而动全身,围绕网安建设,没有一家企业应该心存侥幸。
聚焦到金融行业来看,数字金融时代的安全体系建设,其实也并非一家或几家科技企业、一家或几家金融机构就能推动实现的。
当前态势下,安全厂商与金融机构,尤其是大规模金融机构的关系,亟待升级。原因在于,他们之间的合作,并非一个简单的产品交付和服务交付的过程。
比如腾讯安全副总经理、云鼎实验室专家李滨向连线Insight表示,越大的金融机构,在做数据融合、做安全链接时,可能越容易碰上棘手的难题。
一方面,金融机构存在大量的存量系统、数据,安全厂商在辅助他们做安全建设时,这些系统一来不能简单地废除掉,二来基于这些老的资产、旧的系统,在技术和新系统之间从衔接到接入时也存在难度。
另一方面,金融安全建设,涉及到几乎所有的业务系统、基础设施,维度高度分散,复杂度高,给技术连接和融合也带来了难题。
如何更好地应对这些挑战?一个解法是,安全厂商和金融机构,需要跳出过去单一的“甲乙方”的视角,而是沟通前置、链接做深、风险共担、安全共建。
某种程度上,这也反映了腾讯在安全能力建设上的理念。
腾讯金融云副总经理王丰辉向连线Insight表示,对大的金融机构而言,他们本身有比较庞大的安全团队,有安全专家,也会去做各种顶层的设计、架构的设计,甚至在专业性上不一定弱于安全厂商,但安全厂商还是需要和金融机构有关于安全建设的交流和探讨。
因为视角不一样。
“金融机构的视角里,他们更多会聚焦到做自己的业务,在腾讯的视角里,我们会做安全产品、服务..……大家实际上是一个共建的过程,在交互中一起迭代和进步,这也是我们能够和他们取得共识的一个点。”王丰辉进一步表示。
长远来看,腾讯在安全建设上的这一理念,有望加速成为行业共识。
腾讯云副总裁胡利明
“我们认为,安全能力体系的建设,包括生态的建设是一个系统性的工程,需要政府、科技企业、金融机构的共同参与,形成合力,共同应对金融数字安全的挑战。”腾讯云副总裁胡利明如此说道。