近几年,不谈点金融科技安全似乎都有些“落伍”了。如果说钱在哪里,攻击就在哪里,那么最有钱的不外乎金融了,貌似是一句玩笑之语,但也说明了金融面临的现状:钱多、信息价值高、网络威胁严重。
11月28日,金融科技安全专场在魔都接连阴雨天里爆场举行,本次会议出品人为国家信息技术安全研究中心金融安全处副处长曹岳、平安集团首席信息安全官陈建、太平金科信息安全负责人薛忠胜、上海市信息安全行业协会金融科技安全专业委员会秘书长秦峰,共邀请业内嘉宾10人,就金融科技安全畅谈。
曹岳:两个体会,两个变化
“在11月底举办的金融科技安全会议,有一个承上启下的一个过程。”
对于国家信息技术安全研究中心金融安全处副处长曹岳来说,2019年有2大体会,一是合规工作忙,在网络安全法的框架下,等保2.0、数据安全、隐私保护等等一系列的法规工作都在推行中。二是对抗压力大,在金融安全对抗的演练压力下如何去做信息安全,这是大家都关注的事情也是压力所在。
国家信息技术安全研究中心金融安全处副处长 曹岳
此外,曹岳还提出了2019年网络安全领域发生的两个变化。首先是高管认知层面的变化,从金融层面到合规、对抗,传统金融高管对于科技、安全合规等存在一定认知落差,而2019年会是高管补齐落差的一个时机。第二个变化来自组织机构,金融科技安全机构对安全人员的需求呈2-5倍的速度增长,开始组建独立的安全技术部门,这都是机构的突破。
变化一直在发生,如何应对变化,则是留给各个企业的思考题。
应用安全风险监测
不管是代码审计、评估,还是各类的检查检测都是阶段性的工作,而监测是一个常态化的不中断的风险评估。
安言咨询副总经理钱伟峰提出,应用安全风险监测可以按照因果维度划分成因、安全缺陷和影响,也可以按照时间维度划分事前、事中和事后三个阶段的监测指标。
安言咨询副总经理 钱伟峰
需要注意的是,风险监测指标正在从定性转向定量,从事后转向事前,从孤立转向联系。而实践的前提是足够的数据,数据积累到一定量级之后才会产生价值。如果企业数据质量、精细度不够,那么依赖没有降噪的数据很难去做这样的监测。
钱伟峰认为指标设计要依据合规要求和最佳实践,数据选取原则:全面覆盖、数据可得、指标可控。同时,根据关键风险指标体系的建设情况,完善关键风险监测方案、确定各指标数据的收集、提交,一旦指标值超过阈值范围,那么安全部门就要注意了。
安全运营六脉神剑 VS 安全统筹性
从5个人到几十人,到建立6大运营体系,来自华泰证券的工程效率与应用安全团队负责人庄飞认为通过引入六大运营体系:网络空间入侵对抗、数据黑灰产对抗、业务黑灰产对抗、隐私保护、项目与架构安全运营、安全基础设施运营,打造精细化的安全运营体系。
华泰证券工程效率与应用安全团队负责人 庄飞
安全运营要做好,指标非常重要。在庄飞看来每一个运营体系必须有指标,执行都是由指标驱动的,然后不断地提升指标的成熟度,比如威胁响应时间。那么指标怎么实现?主要依靠自研工具、引入自动化平台的形式来支撑。
德勤中国风险咨询网络安全总监 马红杰
如果对于指标成熟度有一定困惑的话,听了德勤中国风险咨询网络安全总监马红杰的《提升金融机构网络安全成熟度: 风险管理领先实践》应该有所收获,通过调研,德勤提出企业在网络安全整体的成熟度的特征所在,包括企业管理层在安全业务中的参与、企业在安全中的投入等,为企业提升网络安全成熟度提供了一些思路。
平安集团安全平台部负责人 董晓琼
回到安全运营,同一个主题,平安集团安全平台部负责人董晓琼从再谈“安全运营”之能力升级切入。
我们去制定安全目标过程中,企业风险的承受能力,或者是对于损失的可接受能力有没有提升?
安全投入了大量人力物力资源,转化出来的业务价值有多少?
安全和业务价值之间应该以什么样的比例达到这个平衡?
三连问下,董晓琼提出,安全管理是从每个细节上做相应的控制和策略,而真正的安全运营团队更多的是执行这些策略,包括安全的防护、预警、监控、分析、事件的响应处置等。安全运营团队的价值,第一是主动发现安全预警的占比,第二个是能够了解企业资产属性、资产状况。 安全运营的未来,应该是要平台+数据能力的提升,是要强化安全“洞察力”、“统筹性”。
小赢科技安全负责人 赖东方
小赢科技安全负责人赖东方分享:如何在成本有限的情况下做好安全运营。对于很多中小型企业来说,在安全中投入的成本是有限的。
首先要明确的一个观点就是,包括业务应用、安全产品、情报数据、成果输出等所有的建设都应该围绕安全运营进行。安全运营具体工作包括了风险分析、安全防御、安全产品和内容输出,工作复杂繁多。
在人力不足的情况下,赖东方认为,企业可以纵向梳理漏洞来源;梳理各产品线和风险的贴合度;忽略迭代不会出现的风险;充分利用调研、灰盒手段;从发现漏洞调整为评估风险;外部测试服务作补充(反查效果);关注存在隐患的需求清单,结合上线后的安全攻击日志;与其他团队的配合(环境、进度、赋能)。
黑客白帽之加密流量的利用
加密技术成为通信主流,超越65%的互联网流量采用https通信。恶意软件近年来也是频频被提及,而两者的碰撞,带来的网络威胁是倍增的。
斗象科技高级安全专家 张志鹏
由恶意软件生成的加密流量
加密流量中携带恶意软件
斗象科技高级安全专家张志鹏表示,恶意软件产生的加密流量主要分为:C&C直连、检测主机联网环境、母体正常通信、白站隐蔽中转、蠕虫传播通信、其它等六类。而斗象科技通过流量包深度解析方式提取HTTPS流量中的足够信息日志 解决加密流量中恶意软件的检测 、基于连接4元组的特征识别、 模型构建到产品工程进行加密流量检测。此外,基于PRS-NTA和F5-SSLO,斗象科技与F5合作推出联合解决方案。
F5资深安全架构师 陈玉奇
安全设备与网络紧耦合、所有流量流过所有设备导致噪音、设备难以增删、企业安全策略不敢轻易调整、安全设备扩容只能做整体替换都是安全从业人员面临的显示问题。
如果说张志鹏更多的是从加密流量恶意软件分析切入,那么F5资深安全架构师陈玉奇则是从加密如何帮助企业解放安全系统能力的角度进行分享。通过加解密解决可视性的问题,通过智能流量调度帮助企业处理流量的效能提升,这都是PRS-NTA和F5-SSLO的作用所在。
性能不够是常态,流量只会越来越多,金融行业安全业务系统做好优化与编排是当务之急。
谈数据安全和隐私保护
不管是国际还是国内,对数据安全和隐私保护都非常重视,那么科技领域怎么来做数据安全和隐私保护?蚂蚁金服基础安全部安全智能负责人薛峰介绍了蚂蚁金服的实践:使用TED ENGINE引擎。
蚂蚁金服基础安全部安全智能负责人 薛峰
Tag:敏感数据智能打标技术,通过事先打标,分类后识别敏感数据,主要是用NLP、CV、C-ML技术,还有标准化服务。
Enhace:AI安全增强技术,用差分、可信硬件保护数据、模型
Detection:智能威胁识别技术,主要围绕内部威胁、
Bot Detection反爬、经典安全问题、AI Attack Detection
安全离不开人,但人性的漏洞难以修复
安信证券安全总监 李维春
安信证券安全总监李维春提出了:安全离不开人,也不能完全相信的这一观点。科技领域从业十几年,目前又在安信证券这样体量的平台负责安全运营,通过对安全运营的理解和实战,李维春认为:
1、以终为始,强调解决问题、可执行,强调解决问题和预防问题两手抓
2、尊重人性。人是最靠不住的,但是安全运营也最离不开人
3、尊重墨菲定律,尽快堵住可能出问题的口子
4、不要被新概念、新工具迷惑
5、以攻促防,让攻防演练成为常态
网商银行安全负责人 张欧
网商银行安全负责人张欧则指出:人性的漏洞难以修复,最典型的就是钓鱼邮件,只要模型得够像,一定会有员工中招。尽管大多数企业会做好检测和响应,但其实还是存在来不及的情况,只有做好事前纵深防护,才能最大程度地避免损失。
从零信任网络到可信网络,张欧指出,企业对于所有访问都需要判断,不管是办公后台系统还是生产网内部,其次是仅允许符合预期的访问,这也是可信计算的一个思路。
小结
相较于去年,今年全天制的金融科技安全论坛在会场规模、参会人数上都大有所突破,甚至开启了一再加座的爆场模式。安全从业人员对于金融科技安全的重视程度不断加深,面对新型金融模式下的新的网络威胁,不管是政府还是企业,传统金融还是科技金融其实都在寻求安全解决方法,此次论坛,来自各个垂直领域的嘉宾深刻分享了其在金融科技安全上的实践与思路,也让笔者再一次想到开幕式上,杨海军先生所说:“一花独放不是春,百花齐放春满园!”
CIS 2019大会PPT合辑
链接: https://pan.baidu.com/s/1DDvHRwkGTyM2MnllucqCzw
提取码: n6aq