財聯(lián)社記者郭子碩
2024-12-10 
如何應對黑灰產(chǎn)覬覦?金融機構數(shù)字安全面臨新挑戰(zhàn),被動響應正逐漸轉向主動防御
12月8日訊(記者郭子碩)隨著國內(nèi)數(shù)字化進程加速,數(shù)字經(jīng)濟已成為國內(nèi)經(jīng)濟發(fā)展的核心驅動力之一。然而,在金融數(shù)字業(yè)務創(chuàng)新拓展、服務效能提升的同時,安全風險亦呈升級態(tài)勢,金融機構的數(shù)字安全面臨新的考驗。
騰訊云副總裁胡利明在本周的2024騰訊云金融安全峰會中介紹,數(shù)字安全已經(jīng)越來越成為數(shù)字金融的底座工程,面對高危漏洞、復雜攻擊、數(shù)據(jù)泄露甚至勒索問題等多重挑戰(zhàn),需要政府、科技企業(yè)、金融機構共同參與,形成合力,共同構建金融行業(yè)的數(shù)字安全屏障。
當前,金融行業(yè)的數(shù)字安全建設處于什么階段,如何構建穩(wěn)固的安全體系?對此,騰訊金融云副總經(jīng)理王豐輝、騰訊安全副總經(jīng)理李濱以及騰訊安全副總經(jīng)理聶森就此接受了包括記者在內(nèi)的媒體采訪,各方將共同探討金融數(shù)字化轉型中的安全應對之策,為金融行業(yè)安全穩(wěn)定發(fā)展探尋方向。
金融機構安全建設應考慮“全棧”
“金融用戶數(shù)量持續(xù)攀升,大量支付數(shù)據(jù)、個人身份信息及交易記錄等持續(xù)產(chǎn)生,這些高價值的數(shù)據(jù)資產(chǎn)容易引發(fā)黑灰產(chǎn)覬覦,安全建設面臨前所未有的新挑戰(zhàn)。”中國信通院云計算與大數(shù)據(jù)研究所所長何寶宏指出。
李濱與聶森進一步表示,當前黑灰產(chǎn)利用大模型、人工智能技術偽造信息,對金融機構風控與業(yè)務系統(tǒng)發(fā)動攻擊的趨勢顯著上升。同時,攻擊者借助供應鏈渠道滲透的現(xiàn)象愈發(fā)常見,釣魚攻擊等傳統(tǒng)手段亦難以防范,這些均成為金融機構安全防護的棘手難題。
“信息技術自主創(chuàng)新發(fā)展過程中的軟件供應鏈安全,已成為年內(nèi)監(jiān)管重點關注領域,如攻防演練中提及的安全左移與可信組件源等關鍵問題。”王豐輝進一步解釋,業(yè)務代碼中若開源組件比例較高,一旦爆發(fā)漏洞影響將很大。另一方面,金融機構使用外包與第三方軟件越多,也越可能存在安全漏洞引入風險,包括落實包括實時掃描、規(guī)范確立與貫徹等問題。
王豐輝指出,依據(jù) “木桶原理”,金融機構安全水平取決于最短的安全短板,且自主創(chuàng)新過程中的安全并非單點問題,而是涵蓋芯片、服務器、操作系統(tǒng)、數(shù)據(jù)庫等多領域的全棧性挑戰(zhàn)。
在金融機構實踐上看,全棧層面的挑戰(zhàn)也意味著更高的融合、銜接難度。李濱認為,由于安全涉及社會運營管理中所有的業(yè)務系統(tǒng)和基礎設施,維度分散且復雜度高,不同技術間的連接和融合也存在阻礙。
“金融機構有大量的存量系統(tǒng)與數(shù)據(jù),由于各方面的約束和限制,新舊系統(tǒng)在銜接到接入統(tǒng)一的安全體系都會遇到一系列問題,帶來較大的安全建設阻礙。這些系統(tǒng)不能簡單廢除,所以安全架構如何保護、兼容舊系統(tǒng)與老資產(chǎn)成為關鍵。”李濱解釋,越是大型機構做數(shù)據(jù)融合跟安全鏈接,越難處理系統(tǒng)銜接問題,包括兼容性、連通性的問題。
在此背景下,金融機構構建安全防線的關注點至關重要。王豐輝指出,金融機構需對自身安全資產(chǎn)實施精準分類分級管理,深入洞察網(wǎng)絡邊界薄弱環(huán)節(jié),強化內(nèi)部人員安全培訓。常見的釣魚郵件也是黑客的慣用手段。當外部難以突破時,黑客往往試圖從內(nèi)部人員入手。金融機構必須全方位查漏補缺,才能切實筑牢安全壁壘。
金融機構從被動響應轉向主動防御
在監(jiān)管要求與行業(yè)自身發(fā)展的雙重驅動下,金融機構安全防護加速常態(tài)化,“治未病” 理念深入人心。
王豐輝在采訪中透露,從今年的安全演練政策可以看出,監(jiān)管在不斷地迭代和變化,金融機構也從“被動防御”演變?yōu)橐燥L險為導向、以結果為度量的“主動防御”策略。基于“假設損失”原則,假設攻擊一定發(fā)生,如何把最優(yōu)資源保護最有價值資產(chǎn),以此推演防護框架和能力的規(guī)劃和建設。
李濱認為,金融機構從被動響應向主動規(guī)劃轉型過程中,企業(yè)建設需構建安全攻防態(tài)勢與防御體系的成熟度階梯。一方面,綜合檢測難度、攻擊規(guī)模、黑客攻擊趨勢等多維度因素,劃分金融機構安全問題的等級;另一方面,甲方及管理者可設立能力成熟度表,依據(jù)設備產(chǎn)品、人員水平、安全治理流程等維度評定等級。當互聯(lián)網(wǎng)攻擊態(tài)勢低于機構自身防御能力層級時,這可以幫助機構判斷、有效過濾低等級攻擊。
“從騰訊安全的實踐經(jīng)驗來看,我們在與金融客戶緊密協(xié)作過程中,通過紅藍對抗主動引入攻擊者進行滲透測試,開展攻擊面與暴露面管理工作,將資產(chǎn)梳理至前沿,力求在最早時間化解潛在攻擊風險。”李濱補充。
聶森進一步指出,AI大模型也是金融機構當前提升安全能力的核心驅動力,比如處理數(shù)據(jù)的分類分級管控,安全事件的分析和過濾,威脅情報的輔助分析,以及在安全事件綜合性方面等幫助很大。
相關推薦
- 免責聲明
- 本文所包含的觀點僅代表作者個人看法,不代表新火種的觀點。在新火種上獲取的所有信息均不應被視為投資建議。新火種對本文可能提及或鏈接的任何項目不表示認可。 交易和投資涉及高風險,讀者在采取與本文內(nèi)容相關的任何行動之前,請務必進行充分的盡職調(diào)查。最終的決策應該基于您自己的獨立判斷。新火種不對因依賴本文觀點而產(chǎn)生的任何金錢損失負任何責任。
