當前位置:
首頁 > 最新 > 平安金融安全研究院發布《2017金融科技安全分析報告》

平安金融安全研究院發布《2017金融科技安全分析報告》

最新 04-04

唐?德里羅曾說,「技術的意義在於一邊創造對不朽的渴望,一邊威脅著毀滅世界」。今天,新技術的發展顛覆了整個時代,大數據、雲計算、人工智慧、區塊鏈等新興科技創造出新金融,金融與技術的深度融合促使金融科技進一步演變,與此同時,威脅、隱患、風險等高敏因素也隨著技術革新躍升至新高度,金融安全事件頻繁發生且愈演愈烈,在進化與威脅的激烈衝擊下,金融安全邁入3.0時代,探索及構建「金融安全3.0」時代的安全生態圈於發展而言勢在必行。

3月29日,由平安集團金融安全研究院、CISO發展中心聯合主辦、綠盟科技協辦的「金融安全3.0」時代的安全生態圈構建暨《2017金融科技安全分析報告》發布會在深召開,標誌著平安集團自2017年成立平安金融安全研究院及首次提出「金融安全3.0」理論以來,在「金融安全3.0」推廣落地及安全生態圈構建方面初獲豐收。

平安集團信息安全運營部&專家服務部總經理、平安科技首席安全官、平安金融安全研究院執行副院長李洋博士攜平安金融安全研究院、平安集團信息安全運營團隊、平安集團信息安全專家服務團隊出席此次會議,CISO發展中心秘書處主任嚴冬梅、綠盟科技高級副總裁葉曉虎、Cloudera大中華區技術總監劉隸放等近140餘位安全行業及金融行業人士與會。會上大家積極探討了金融科技新時代的安全發展,並共同見證由平安金融安全研究院及綠盟科技合作撰寫的《2017金融科技安全分析報告》的正式發布。

2017年大規模爆發了網路安全事件,金融行業被大肆攻擊,《2017金融科技安全分析報告》以1591份覆蓋到金融行業和安全行業的調查數據及真實案例分析了當前金融安全的現狀以及態勢,詳細解說了金融科技主要面臨的網路安全、數據安全、業務安全等方面的威脅,除傳統威脅之外,報告中對新技術帶來的新威脅進行了深入分析,提到人員安全成為威脅因素之一。

平安集團信息安全運營部&專家服務部總經理/平安科技首席安全官/平安金融安全研究院執行副院長 李洋博士

在金融科技領域,A(Artificial Intelligence人工智慧)、B(Blockchain區塊鏈)、C(Cloud雲)、D(Big Data大數據)作為四大革命性技術,為金融科技提供基礎服務功能,因此ABCD的安全是金融行業防範風險的核心所在。李洋博士介紹,平安集團以ABCDES模式構建「金融安全3.0」生態,以金融業務安全為導向,以底層的金融信息基礎設施安全保障為基石,為金融科技ABCD提供立體化安全保障,並結合產學研生態體系構建金融安全生態E(Ecosystem安全生態),促進行業金融安全S(Security安全)健康大環境的形成。

自平安金融安全研究院提出「金融安全3.0」理論以來,其實踐落實到平安集團安全運營的保障、安全專家服務的賦能以及安全創新的研究三大層次中。安全運營支撐金融安全,實現技術平台與機制的無縫銜接,是保障金融信息安全的核心。在金融安全實踐成果中,其最具代表性、最基礎、最核心的是平安金融雲。會上,平安集團信息安全運營部經理王軍旺展開了平安金融雲安全架構、雲安全建設、雲安全合規等方面的分享。

平安集團信息安全運營部經理 王軍旺

《2017金融科技安全分析報告》表明,在金融行業中,60%的機構使用了各類雲服務,大部分使用的是私有雲,超過20%使用公有雲或混合雲。金融行業使用雲業務時最關心的風險除了數據及隱私保護外,還有業務的訪問許可權控制。因此,雲安全架構設計之時,需要縱觀考慮雲平台自身安全和雲平台服務安全。王軍旺指出,雲平台自身安全涉及到物理安全、虛擬化平台與管理層安全、應用安全、數據安全以及業務安全等層面,符合最高安全合規標準的平安金融雲的安全能力全方位涵蓋事前主動防禦,事中態勢感知、應急響應和事後全面檢查,覆蓋了雲平台自身安全90%以上的安全層面。而雲平台服務安全包括租戶安全層面和網路安全層面,入駐的租戶在平安金融雲平台安全服務目錄里可選擇與其業務需求相適應的雲安全服務。

雲安全建設以雲安全架構為基礎,最終是為租戶輸出雲安全服務。網路安全層面的DDoS高防、主機安全層面的主機入侵檢測(HIDS)、應用安全層的WEB應用防火牆(WAF)、數據安全層面的雲加密是平安金融雲有效防控雲業務風險的實踐成果,且租戶能夠在安全態勢感知平台掌握網路、主機、應用、數據等多層面的安全狀態,切實把控金融業務安全。

平安集團信息安全運營部經理 唐秀江

2017年安全威脅規模持續擴大,平安集團信息安全運營部經理唐秀江以WannaCry為例分析得出,勒索病毒具有目的性地攻擊金融服務業務,且攻擊時效越來越快,從感染到發出勒索贖金需求只需要15分鐘,金融安全的外部環境正在惡化,而企業內部安全受人員、系統、業務等因素影響,在這種內外環境都存在威脅的局面中,企業安全運營面臨嚴峻挑戰。

安全運營整體架構的設計對信息安全、業務安全、企業安全的影響是直接性的,平安安全運營中心PASOC(Ping An Security Operation Center)整體框架設計從安全規劃、建設運維、安全防護、監控分析以及響應處置等方面著手安全運營部門的人員配置,從實時監控威脅、防護阻斷威脅、威脅發現時進行應急響應以及日常安全運維等方面進行流程規劃,從數據採集、數據處理、數據綜合分析、綜合展現等方面要求技術保障。

唐秀江介紹到,平安安全運營中心PASOC(Ping An Security Operation Center)不是一個單一平台,而是由人員、流程和技術構成的有機體。並且在整體方案構成上,由以前只關注傳統安全日誌延展到網路實時流量日誌分析,從只關心內部安全開始關注外部威脅情報,由只關注威脅特徵到開始關注用戶行為。

平安集團信息安全專家服務部經理 王金錠

安全建設的關鍵在於人,金融科技引入的各方面不確定風險仍需研究,這些不確定風險加劇了信息安全的威脅,面對網路攻擊、黑灰產、系統及應用漏洞攻擊,金融企業需要專業的安全團隊支撐應急及防禦,監管部門亦提出金融行業需要快速建立企業安全能力的要求。平安集團信息安全專家服務部經理王金錠分享了金融企業專業安全團隊的實踐。

平安積累多年豐富的全牌照金融安全運營經驗,已建設成成熟的專業安全團隊,除了為平安集團及其子公司的金融安全賦能外,對外亦輸出安全專家服務。平安金融安全專家服務團隊由三種類型專家組成,一是提供安全風險、安全管理體系諮詢服務的安全諮詢專家,二是解決業務實際安全需求的安全技術專家,三是提供基礎安全研究支撐的安全方案專家。安全專家需要深入了解客戶實際需求,在安全方案設計、安全加固防禦、風險規避、安全體系建設、監管合規落地以及前沿方案輸出等方面實現服務價值能力,幫助客戶提升安全。

在具體操作上,企業金融安全規劃及治理的方向首先要輸入需求,如監管要求、外部威脅、內部需求等信息,而人、流程和技術是支撐企業開展安全工作的三大要素,縱深於底層技術安全、業務安全及企業信息安全治理的各個環節。目前,平安金融安全專家團隊已在銀行、保險、智慧城市等眾多領域輸出了服務價值。

綠盟科技高級副總裁 葉曉虎博士

「安全應該成為業務自身的屬性,而不只是業務保障的屬性。」這是綠盟科技高級副總裁葉曉虎博士在會上提出的觀點,他認為,一方面金融科技新時代下的安全使命轉變為協助企業開發安全的業務,另一方面為應對業務快速增長的情況和業務彈性需求,資源配置方式轉變為彈性架構配置安全資源。

如今,網路安全形勢愈發嚴峻,金融行業頻繁遭遇大規模數據泄露、盜刷資損、薅羊毛、安全漏洞攻擊等攻擊。葉曉虎博士指出,當前攻擊方強度愈來愈大且攻擊成本低,而作為防守方的防守成本卻很高,面對攻防發展不平衡的局面,尤其是在業務快速增長的情況下,防守方在技術層面以及安全協作層面需要進一步改進。以大數據安全技術作為支撐,以企業、監管機構、專業安全廠商之間的社會化威脅安全情報信息共享作為協同,以智能的安全態勢感知平台、流程、框架增強企業安全團隊管理能力,增強業務的自身安全能力和安全保障能力。

Cloudera大中國區技術總監 劉隸放

大數據於企業而言,一方面即希望通過大數據的有效利用更好地把握市場變化,拓展業務發展渠道,提高企業效益,另一方面又擔心嚴峻的數據風險,如數據湖變成數據沼澤、數據泄露引發企業負面新聞、違反數據合規等風險,再者,企業在解決這些風險問題時,又擔心系統性能、部署機制、用戶生產力和管理受到影響。針對這些情況,Cloudera大中國區技術總監劉隸放提出「不妥協的安全」,即在必須的安全管控下,在安全平台中合理有效利用安全機制,這個安全機制首先要保證到企業數據如何能夠不被惡意訪問,其次是如何控制好平台的訪問,還要掌握事後信息,這需要從認證、授權、審計以及合規等方面綜合考慮。

平安金融安全研究院網路安全研究所所長 王曉箴博士

會上,各個分享者從網路安全、數據安全、業務安全、人員安全等方面講解了金融安全所面臨的問題,我們已經了解到新科技對大金融的衝擊是極具顛覆性和利害性的,正如《2017金融科技安全分析報告》里所訴,天下熙熙皆為利來,天天嚷嚷皆為利往。平安金融安全研究院網路安全研究所所長王曉箴博士對報告進一步解說,金融行業的特殊屬性吸引了眾多攻擊者,其核心訴求即是獲利。

從1591份《2017中國企業金融科技安全調查問卷》的數據反饋以及對攻擊者獲利的思考中,《2017金融科技安全分析報告》得出了一些結論:

在網路安全威脅層面,金融行業主要受DDOS攻擊、殭屍網路、網路勒索攻擊、APT攻擊。2017年的DDOS攻擊總流量大幅上升,攻擊總流量達到64萬TBytes。由於物聯網的廣泛應用,殭屍網路的數量和規模不斷擴大,2017年8月份全球受控主機數量比上月的增長高達320%。網路勒索成攻擊趨勢,報告指出,平均每天有4000起勒索軟體攻擊,危及金融機構網站安全,導致敏感數據泄露,亞洲則成為2017年遭遇勒索軟體攻擊最多的地區。

在數據安全威脅層面,主要涉及資料庫漏洞、內部數據泄露和雲上數據竊取。黑客常利用資料庫暴露的漏洞勒索金融業,其中MySQL漏洞暴露最為嚴重,且漏洞數量增長較快。金融行業是數據泄露高發的行業,內部人員管控是重要成因,王博士表示,在調查中,有35%的員工認為如果籌碼足夠會考慮出賣公司數據。因此,數據泄露這方面已經不止是技術問題,需要安全管理團隊採取控制機制的措施。此外,調查反饋有61.3%的人認為,數據及隱私保護是雲計算安全最需要關注的安全問題。

業務安全威脅是金融業的關注重點,風險來源有許多,如使用不安全的函數或協議,繼承了有缺陷的SDK、Web插件、伺服器程序或者業務流程上的邏輯缺陷等。金融企業機構面對互聯網業務風險聚焦在三方面,一是自身資產是否存在漏洞,二是自有資產開放高危埠與服務情況,三是是否存在信息泄露風險。

最後王博士表示,金融科技風險的未來關注點將聚焦在監管合規新要求、內部安全培訓、新技術應用風險、開發安全管控、高風險網路攻擊、數據安全等六個方面。王博士強調,金融科技的可持續發展必須注重安全建設,需從安全意識教育、安全設備部署、安全服務引入、安全人才儲備、安全預算投入等方面提升整體安全能力。

(新聞稿 2018-04-02)


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 桅詩 的精彩文章:

裸機雲服務能否成為雲計算未來新常態?

TAG:桅詩 |