文/何启翱
凡是过往,皆为序章。
这是一个最好的时代,这是一个最坏的时代,这是属于金融科技的时代。
专题导读:
疫情之下,农行科技人云聚首,召开2021年度中国农业银行技术大会,通过主题演讲、分论坛研讨、发布报告等多种形式,预判金融科技发展趋势,提升全行科技部门技术创新能力。《洞见》沿着大会地图,推出专题文章,共同“洞见”未来。
壹 引言
伴随着互联网的蓬勃发展,网络诈骗、安全事件“肆虐”,网络空间博弈愈演愈烈。国家不断强化网络安全治理,银行业监管部门的监管手段呈现技术化、常态化的新趋势。近年来,农行一直密切关注和跟踪业界各种技术发展动态,以全行数字化转型战略为导向,积极推动信息安全管理工作逐步从“被动响应”向“主动预防和价值输出”方向转型。
贰 网络安全面临的整体形势
01 国家网络安全战略的发展和升级
1994年4月20日,中科院物理所的一台服务器,通过一根64K铜制双绞线,首次接入国际互联网。自此,中国正式进入互联网时代。到了2020年,经过30年发展,中国移动互联网用户占的全球的32.17%,4G基站占全球一半以上,数字经济的规模达全球第二,我国已经是不折不扣的网络大国。
图1:国家网络安全战略的发展和升级
随着网络产业的蓬勃发展,与之相对的是,网络安全的挑战也在不断升级。2013年“棱镜门”事件引发了各国政府对网络空间对抗的高度关注。在此背景下,我国不断强化网络安全治理。我国于2014年成立网络安全与信息化领导小组,2018年改组为中共中央网络安全和信息化委员会办公室,陆续颁布《网络安全法》等一系列法规标准。
02 银行网络安全面临的主要威胁和压力
银行业面临的网络安全挑战来自多个方面,既包括带有政治目的的黑客组织活动,还包括趋利性的网络黑产集团。与此同时,银行业面临监管部门为提升产业整体安全能力提出的合规要求。
图2:银行网络安全面临的挑战
■“国战”背景下的银行网络安全威胁
目前,我国IT基础工业的核心仍建立在外来技术基础上。西方企业掌控着IT产业链的上游,这些企业可以通过在产品中预置漏洞的方式形成0DAY(即尚未公开,无法防控的漏洞)。2020年12月,网上爆出某国黑客组织利用供应链攻击手段,窃取了某国顶级安全公司的渗透攻击工具,还造成大范围的客户信息泄露。
从目的来看,“国战”包括两类。一是瘫痪信息基础设施以引发社会秩序的混乱,其中最极端的就是DDOS攻击(又称拒绝服务攻击),利用僵尸网络或者肉鸡进行服务过载,高级的DDOS会利用BGP等基础协议的天然漏洞,造成网络瘫痪。二是长期潜伏实施信息的监听和窃取,例如APT(即高强度持续性攻击),通过对弱口令、漏洞和0DAY的综合利用,甚至整合对人员的社会工程等线下手段,获取对目标系统的控制权。除此之外,还有一些过去大家只能在电影看到的黑科技,例如风扇监听、激光红外线监听等,目前也发生过真实的攻击案例。
■规模化、专业化的黑灰产业
网络黑产的发展已经形成了规模化和产业化的形态,每年黑产造成的损失都到了以亿为单位统计的规模,同时呈现出专业化分工的特点。例如,主要负责获取身份养号和寻找攻击目标的上游,还有专门负责攻击武器开发和战术设计的中游,以及负责攻击实施和资金转移的下游。
对于银行来说,首要面对的黑产攻击是交易欺诈。随着银行安全防护体系的不断升级。黑产交易欺诈的手段也在不断升级。攻击者早期通过电信欺诈获取受害者的账号和交易密码,后通过短信嗅探等方式利用快捷支付进行资金窃取,现利用AI技术进行生物认证伪造破解指纹、人脸等智能识别技术。其次是薅羊毛。具不完全统计,仅2019年前三季度,全国薅羊毛所造成的损失就达到千亿级别。除此之外,近年来商业银行被高度关注的一类安全事件是数据窃取。暗网上数据贩卖情况猖獗,虽然大多数情况下数据为伪造、拼接而成,但也给商业银行带来了巨大的监管和舆论压力。
■监管合规的新手段与新趋势
除了“国战”和黑产之外,银行网络面临的第三压力就是合规。随着网络安全形势的变化,近年监管对于银行的网络安全合规不仅停留于纸面上的管理合规,会采用更多技术性手段对银行实际技术合规能力进行测评,例如组织开展实战攻防演练、不定期实施远程渗透测试、打造行业级网络安全态势感知平台等。
叁 商业银行应对思路建议
面对严峻的网络安全挑战,商业银行应按照习近平总书记关于网络安全工作的指示精神,从制度约束、技术支撑、机制保障、人才培养等多个方面多管齐下,重点从提升治理漏洞能力、优化运营机制流程、强化线上业务风险和数据安全管控等多个领域入手,积极推动网络安全体系从“被动防御”向“主动预防和价值输出”转型。
图3:整体工作思路
01 开展全方位漏洞治理,全面压降漏洞数量
漏洞治理是一切网络安全防护的基础。在漏洞全生命周期闭环管理的基础上,通过引入智能化技术,实现对资产视图的自动识别和补全,也能根据资产类型进行智能分析,匹配相关的漏洞信息和处置建议,支持一体化的全流程管理。将大幅度提升漏洞治理的效率和效果。
表1:漏洞的类型、来源、影响及治理方式
02 通过打造新一代安全运营中心,提升安全运营效能
安全运营中心(SOC)是安全运营体系的核心。通过建立安全运营中心,对安全设备的告警信息进行集中采集和集中分析,进行智能化告警,同时,与漏洞管理系统和资产信息联动,实现自动化的事件处置和调度。在未来,商业银行还应向互联网公司学习,利用云平台实现对网络流量的直通式采集和检测,建立自主化的网络安全监测模型,提升安全设备告警的准确率和效果。同时,还应逐步整合身份认证、加密管理、数字证书等安全服务功能,按照“安全即服务”的理念对外实现价值输出。
03 构建“红蓝”对抗机制,持续挖掘防护短板
红蓝对抗体系的建立代表着一家企业对安全漏洞主动发掘能力的构建。商业银行应推动实战化、常态化、体系化的红蓝对抗体系建设,不断检验安全运营体系的有效性,按照“以攻促防”的思路,不断推动安全防护能力的提升。
图4:2021年中国农业银行“大圣伏魔杯”信息安全比赛
04 强化线上业务风险防控,保障客户信息和资金安全
线上业务风险防控的难点在于海量的正常交易中要识别出薅羊毛、交易欺诈等可疑交易数据。商业银行可研究通过UEBA(用户实体行为分析)的模式,将用户交易过程中留下的设备终端信息、交易流水信息、网络报文信息、系统日志信息等等,通过数据分析方法,对各类客户行为进行聚类和分类,识别可疑样本产生的孤立利群样本点,对可疑业务行为实施预警。
图5:用户实体行为分析(UEBA)框架
05 参考零信任理念,构建0DAY防御能力
零信任是基于设备的通讯行为模式,利用数据分析方法,对网络空间按照“最小单位隔离和最小行为的验证”。完整的零信任体系由网关、微隔离和主机IDS技术三部分构成。目前业界并没有成熟的零信任实施案例,最佳实践为google公司的Beyond corps体系,也仅实现了零信任网关对移动办公的支持。因此,未来商业银行应积极跟进零信任技术的发展情况。
06 管理技术两手抓,强化数据安全管控
首先管理方面,应建立完整的制度体系,并要对敏感性数据识别和分级分类,在此基础上,要梳理不同场景下不同级别敏感性数据管控规则。对于技术方面,由于数据是虚拟实体,无法直接管控,技术管控的对象只能是数据的载体,包括纸质、磁盘介质和网络流量。因此,针对电子载体的磁盘和流量部署防泄漏工具,实现对敏感信息的实时监控和处置。
肆 结束语
保障网络安全,是国家赋予的政治任务,是维护国家金融安全、社会稳定的重要举措,也是商业银行稳健经营、持续发展的压舱石。因此,农业银行将提高政治站位、强化责任担当,坚持风险底线思维,以维护网络安全为己任,不断强化网络安全保障能力,切实保障农行客户资金和数据安全。
作者介绍
何启翱,科技与产品管理局信息安全与风险管理处处室负责人,在金融大数据和信息安全领域拥有丰富工作经验,具有CISSP、CISA等国际认证,多次获得人民银行科技发展奖等奖项。
轮值总编:闵佳
责任编辑:徐进晓
美 编:涂锐
技术支持: 陈文建
声明:本文来自我们的开心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
