趙夢虎:數據驅動金融科技安全
來這裡找志同道合的小夥伴!
金融科技創新網
360企業安全銀行事業部行業技術總監 趙夢虎
2018年8月3日,由中國互聯網協會互聯網金融工作委員會、金融科技創新聯盟主辦,由金融科技創新聯盟金融網路安全專業委員會主任單位國泰君安證券股份有限公司承辦的金融科技創新論壇(第八期)暨金融網路安全專業委員會第一次工作會議在上海國泰君安證券股份有限公司總部成功舉辦。
本次會議以「金融網路安全技術與挑戰」為主題,360企業安全銀行事業部行業技術總監趙夢虎就《數據驅動金融科技安全》作主題演講。
以下為趙夢虎發言實錄:
尊敬的各位領導,各位業界同仁,大家下午好!
接下來我演講的主題是數據驅動金融科技安全2.0我們360公司主要的方向還是講安全的,因為我們360主要是做安全方向的,我講一下我們的理念。剛才在開篇的時候,聽到陳靜司長,也聽到俞總這邊關於很宏觀的戰略視角和分析都是偏大的,接下來我會找幾個方向視角來切入講講我們這邊對於咱們的主題,今天是FINTECH,金融科技,我們是怎麼來看待金融科技的,我們認為金融科技里應該做哪幾塊的安全來提供更加可靠的環境。
我本人趙夢虎,我是從業於360企業安全集團的,因為今天大家知道,金融科技是很大的話題,它的範疇很廣,可以說是趨近於無限大,今天時間有限,我著重講一講想傳達的理念彙報給各位。如果哪塊講得不夠深入,不夠清楚,下來之後歡迎各位隨時與我溝通。
第一頁主要想陳述的是金融科技和安全的關係是什麼樣的,就回到剛才主題了,因為我們是做安全的,現在是新的時代,這幅圖大家理論上都不陌生,很容易理解,我們一般的術語叫做雲大物移,雲計算、大數據、物聯網、移動,移動科技、移動支付這些都是,這是新興的技術。一般會帶來新興的挑戰,恰好我們的金融科技現在非常非常火,非常非常成功,它底層的技術就是基於上面我所述新興的技術。
在此之前,我看到一個新聞,就是咱們上海建設銀行這邊有一個無人銀行,我估計本地很多的領導,咱們的行業朋友應該都去過,我一直想去看看,也一直沒有機會。從我這麼多年的從業經驗來說,我個人覺得第一個無人銀行從技術上來說,不見得一定是非常完美的,我相信還有很多的地方,大家覺得有點糙,這是很正常的,現在是有和無的問題。隨著下一步的發展金融科技的興起和技術不斷地完善,它將來會越來越好,很重要的是現在它已經有了,這是非常重要的。
因為我們服務很多銀行,我們都知道,每個大的銀行都有自己非常強的安全體系和自己的安全理念。其實包括建設銀行他們也是一樣的。所以,在整個的金融科技里,我們應該如何做好安全,這是他們之前溝通過很多事情。
除此之外,包括現在的工總行也是,之前我們說銀行是最安全的地方,兩地三中心,最近工總行那邊實現了同城雙活的架構,我們在很多地方與很多的客戶溝通這個方案怎麼樣實行,如何達到的情況。
所以我們可以看到金融科技背後的大量技術支撐,每一個技術要深究的話,都有它的安全隱患以及安全的挑戰,應該如何去做。
從這裡面,我們可以看到,隨便舉一個例子,比如雲計算就是很新的技術,它給我們帶來彈性的空間。雲計算技術來自2007、2008、2009年,它的模式是亞馬遜提出來的,最早是谷歌實現的。雲計算之父,目前依然就職在谷歌,最早算太陽系統的CEO嘲笑谷歌的雲計算系統就是拿膠帶粘起來的技術,後來他們的帝國就是被這個交代粘起來的技術給推翻的,足見雲計算是非常的強大。
傳統網路採用傳統的安全設備就可以做好防護,但是雲計算架構不行。。因為它的數據交互方式發生根本的改變,因為都在雲的主機裡面,所以我們說它的變化不是來自於新的攻擊的問題,而是新興技術導致的功能失效,不是說功能不完善,它失效了,它什麼都看不見了,根本就防不了。
那雲計算問題怎麼辦?很多的東西都是這樣的,大數據的安全,我最早是跟銀行去聊,大概是2016年,他們說他們想了解大數據這塊的安全技術,但是那時候很遺憾,那時候真的沒有。我不知道在座的各位有沒有知道的,那時候我們業界溝通了好多,確實沒有很成熟的方案,直到2017年的ISC大會,我在展台來回走,我看到一個廠商他們她出了大數據安全方案,但是我們聊的話,很多還是在理念層面,很多還是在嘗試層面,還沒有真正的到商業的推廣。
其實移動包括物聯網都是一樣的,移動經常提的概念就是BYOD,到現在我們基本不怎麼提這個概念了。因為在移動的科技里有很多東西跟我們的理念是不一樣的,我們金融科技今天的情況如何去做好安全?還有前面我要跟各位彙報的情況,左下角的圖,我們以前比如說各位很多的CIO去做防護,我們防護好網路,保護好我們的伺服器就OK了。隨著今天越來越多的數字傳媒,很多的傳統企業,包括我們的服務為了便利,都會上越來越多的應用,那你應用越來越多,我們的數據資產就越來越多,這時候你防護的範圍就越來越大,也就是說你的漏洞可能性就越來越大。
這是我們現在面臨非常大的挑戰,我們在實際情況與很多的客戶聊的時候,要做好安全梳理它的資產,很多的客戶說不知道自己有多少的資產,這是目前面臨很大的一個群眾性的挑戰,屬於大多數人都會遇到的,這種情況特別多,這都是我們當前面臨非常大的問題。
可能我們覺得數字資產有那麼重要嗎?其他有很好的舉例,剛才的嘉賓說到長城,中國的長城咱們叫萬里長城,主要是為了防守北部的游牧民族。一定要修得特別長,因為我們中國太大了,從東到西,尤其是唐朝那時候更大。大家可能知道在英格蘭的北部地區,還有一個長城叫哈德良長城,我們的長城是萬里長城,大概是六千多公里,真的是一萬兩千多里,而那個長城長度約一百二十多公里,因為它島國的寬度面兒小,所以只防很小的一面就可以了,這與我們現在的數字資產是一樣的,你的數字資產越大、越寬,你越不好防護,我們對外暴露的東西就越多,這也是我們的安全隱患。
再除此之外就是我們右下角的邊際有點模糊,我們要防護安全,在過去我們的理念是我放到互聯網的出口、數據中心的出口對接的地方,今天我們可以想一下,一個從技術上,我們帶著手機,我們有4G上網卡,我們去到哪個地方可以通過這個非常快地上網,我人已經進入這個區域了,我雖然不能連你的網線,也可以上網,通過U盤等各種途徑都可以傳進來,這是第一部分區域的模糊地帶。
第二個就是我們的行政組織上,到現在為止我們屬於高效的合作化,每個單位都有外包等等的措施,可能會導致有些數據的丟失。這不是說一定的,只是說風險,從風險的角度上來說。
所以,基於剛才的情況,包括雲計算,包括流量有很多是不流出來的,所以導致我們現在要想防護我們的金融科技,要想做好安全,我們必須把我們的視角放在主要的問題上,抓主要的矛盾。
主要的矛盾有哪些呢?大概有幾類,我們簡單地稱呼它,大盜、小偷、內鬼三類,比較好理解。
大盜就是APT,因為APT做了很多很多事件,其中有很多是盯著金融行業的我前幾天剛給一個會議做彙報,包括APT等等的,大概有一個排名,除了政府,除了科研領域,第三大領域被攻擊的就是我們的金融行業。所以,被盯得非常非常緊。這個APT就是其中之一,有很多APT是專門攻擊金融領域,有的專門攻擊銀行,還有勒索人的,這個是大盜。
因為第一個都是面對的機構,第二個是面對個人了。我估計在座的各位都受到過這種騷擾,簡訊你轉錢吧,我的賬號、卡號變了,這有可能是通過運營商發過來的,還有可能通過偽基站,這個人騎著小車繞著周邊幾公里之內,你就會收到他的簡訊。這時候有一個網址,基本上一點就中招了,所以我們這個一般叫做小偷,其實再大一點的還包含了現在的羊毛黨,薅羊毛。
第三個就是內鬼,一般就是我們有一些內部的成員跟外邊的人裡應外合把數據泄露,這樣造成的損失,這是最主要的幾類。
當然我說的也不全,我們就沿著剛才的原則,因為這個面太大了,主要就是來源於這三類。
接下來就是一個理念,360公司經常會有四大假設的論調,在很多的會上我們也會跟各位專家探討,各位聽一聽是不是有這種情況在。
第一個是業務一定有未發現的漏洞。
第二個假設,一定有已發現但是未修補的漏洞。
第三個,業務已經被滲透,這是指已經被滲透我們還不知道。
第四個就是內部人員不可靠,因為內部人員的問題,我們之前已經出了很多事,我估計這個在座各位是認同的。
基於剛才的這些,我們經常來說我們自己比較重要的模型,這個模型是跟剛才李總他們發布的模型展示的是安全能力的疊加,它屬於越往右能力越強,但是想強調的是它並不代表的左邊沒有用。咱們的左邊比如架構安全、被動防禦這些都是很重要的,它們是基礎。有它們在,右邊的這些技術基於左邊的這些基礎會越來越強,所以並不是一個淘汰的演進,它是一個疊加的演進。
最左邊的架構安全,我們可以理解成我們不吃任何葯,該靠強身健體去健身房鍛煉。技術上比如我們的管理體系做好規劃,做好安全領域劃分一些最小的特權,然後加固,這樣來強身健體,這是第一個。
第二塊就是被動防禦,我們寄希望於一些純的安全設備,網路的、終端的由他們來幫我們做好安全。我們的目的是縮小攻擊面,提升黑客,或者是一些有惡意的人他們的攻擊成本,並不是把他們完全給擋住,能夠防70%就是勝利了。
接下來第三個和第四個,我們都把它叫為比較主動的防禦方式,這兩個經常是連起來做的。積極防禦主要靠的是人,人在裡面該做持續監測和響應。在我們的客戶里有好多專門成立了監測室24小時不換人的,持續地監測和響應,由人的參與來做好防控體系做得更加的完善。
但是只靠人又不行,我們必須有情報,就像過去的古戰場的探子一樣,有了情報,基本上我們就是穩操勝券了。
所以,積極防禦,威脅情報是很重要,最右邊的進攻反制,可以斷網,把網給停到,比如網信可以把服務關停,還有國家這套,可以訴諸於法律,一般從技術手段我們不過多地考慮最右邊。
我們這個場景大家估計都不陌生,這是一個電影的照片,就是一個案件線索牆,我覺得2000年左右,香港電影好多的破案懸疑都會看到這樣的場景,ISC2017大會期間,我們請了華人神探李昌鈺,我估計在座的各位對他都很熟,他當時排隊售書,隊都排到樓下了,人特別多,他也講了當年破案的方法,總之我們在這裡面第一我們能看到他收集了很多很多線索,因為每一條線索都可以只靠那一條線索,對於我們做大的破案沒有幫助,我們一定需要線索很多,就像線索牆一樣。
第二點,他可能還需要他的分析能力,如果只是有一牆的線索,可能換做非專業人員也許分析不出什麼來,但是這個人可能是專家,他腦子裡有很多的方式方法,有分析的模型,他就可以做到這一些。所以我們可以知道大數據是很重要的,情報很重要,模型很重要,方法很重要。
這個在無論是物理世界,還是虛擬的網路世界,這都是一樣的,道理是相通的。
所以,說到我們的安全理念上,因為是做安全,很多時候跟破案是很類似的。很多時候當有一些被中招了,然後找我們能不能溯源一下查問題在哪,思路是非常的雷同。首先我們會想到數據驅動安全的大數據,有了這個大數據之後我們就可以做很多很多的事情,比如我們可以通過威脅情報和態勢感知結合大數據,當威脅情報之後,我們知道我們抓的一個IP他是好還是不好,這個IP比如兩個月前做過什麼樣的事情,我可以知道。態勢感知是我知道我自己本身的問題在哪,比如說我哪塊補丁沒有打,哪塊有漏洞,態勢感知都可以告訴我。
除此之外,我結合大數據,大數據的來源非常多,海量的數據、業務的數據、中間件等等的數據可以去做建模,做好跟剛才的態勢感知威脅情報做一個協同,這是我們大致的理念,跟剛才線索牆的破案方式是如出一轍的。
今天這個時代所面臨的一些問題,也知道了我們的理念,針對於主要的一些問題點,大盜、小偷、內鬼我們應該分別怎麼辦。剛才說的大盜是APT組織非常多,最近應該也至少是幾十個。因為有很多都是國際先發,有一小部分是自己首發的,我們就列一個很典型與我們行業有關係的。大家都熟知的我們跟行業相關的黃金眼,這是一個代號,對它的名字不見得一樣,對於這個事基本都是雷同的。
我們看下面的組織,它的人是非常多,分成好多不同的小團隊,它是一個APT組織,可以干很多的事情。首先組織里有寫木馬的,這個木馬不是一般的木馬,而是科技性非常強,基本上不弱於國家級的APT木馬能力。測試是必要的,要不然什麼事都辦好了,木馬不給力也達不到他們的目的。
第三個就是免殺測試、穩定性測試,因為現在的安全軟體非常多,要保證最起碼市面上常見的軟體殺不了它。為什麼穩定性很重要?大家知道一個APT的潛伏期大概是在少則幾年,多則十幾年,非常的厲害。我寫的黃金眼首發是在2004年有的,但是我們第一次感知到這個木馬是2016年,也就是說它潛伏了12年,大家可以想像到這個組織的堅固性和先進性非常的可怕。
除此之外還需要社會工程學,需要特定的人員其他能力的配套都能把這個事干成。
最後他們干成了,幹得非常厲害。我們在這裡面有一個大概簡要的介紹,黃金眼整個行動最後的效果是實時地獲取證券交易企業的核心數據,包括交易委託記錄,基本上都有。除此之外怎麼獲利呢?就是長期地進行利率控制,然後讀取數據,在資本市場自己可以去掙這個錢,隨著大的形勢去買進賣出,除此之外這個工作做得很好,還把自己的木馬拿到黑市和暗網上去賣,也就是他們這段時間賣了很多錢。後來這個組織被發現之後,整個的過程大概分這麼幾步,檢測、處置、取證、拓展、研判、回溯等等,一定要基於有大數據的能力和專業的人員才能分析出來。這裡面情報很重要,我們用的右邊這套標準情報,可以在八個維度上去做控制。
對於內鬼來說,內鬼一般是從內部,他可以查一些東西去賣,在金融里有一些信息是賣的,現在我們接到騷擾電話是定向地打電話,說明你的信息已經被販賣了。我們怎麼發現內部的人員呢?我們大概有幾個方案,首先最左邊的收集信息,然後從不同的維度上去分類這些信息,通過我們的不斷優化規則、模型等等這樣的技術分析出來可疑的行為,最後做成可疑的事件。他到最後發現的是違規查詢徵信介面,這就違反了內部的規定。
我說的這個方式在業界來說一般叫做UEBA,用戶與實體行為分析,這是很重要的技術點,強調的是從不同的技術、不同的維度基於大數據,這邊寫的是數據湖以及數據倉儲等等的東西,我們來實現最終的UEBA的效果。
基本上下來是四個步驟,第一個是數據的收集,第二塊是數據畫像、用戶畫像,他的畫像是很必要的一步,因為只有你畫像畫得成功,才能真正到最後基於用戶的行為,基於畫像找到跟大眾的行為不太一樣的就是有問題的,我們基於時間維度、空間維度以及行為的情況來發現這個問題。
再就是通過機器學習的演算法有基於內部的演算法來發現不同的用戶跟其他的大眾用戶之間的不一致性,最後果斷地發現異常檢測發現。
我們用戶1、用戶2、用戶N,每一個用戶的行為是不一樣的、時間點是不一樣的,但是如果有其他的大部分都不一致的,那很可能就是有問題的。
這是我們對於內鬼判斷的方式,剛才我說我們一共有三個在FINTECH主要的問題點,咱們剛剛也大致解釋了,無論你是薅羊毛的還是發偽基站的,實際上也要通過大數據的方式進行。首先有一些數據都有了,通過風控的規則、模型這些方式有一個大致的方向來走。
其實我們一般一說數據,大家想到的好比如硬體資產的數據、安全數據、基礎服務數據等等日誌都是有的。這些可能不一定達到很好的效果,比如我們十來年都在踐行的SOC,但是最終的效果,大量存在誤報,也缺少了人在裡面登錄的分析。所以,我們認為應該做更多維度的信息收集,就是包括我們可以看後邊終端和網路以及業務,尤其是終端和網路,我們收集網路上面的數據,收集終端的行為數據,這個不同的維度,我們一般稱呼網路的真相存在於終端和網路當中,所以我們這兩個是非常非常重要的。
我們從那麼多的數據當中來找我們的方式去分析它的共性在哪裡,從技術的維度、數據的維度、人員的維度,找到合理的業務場景,從這裡面推斷到底哪些是正常的,哪些是非正常的,找到大家的共性所在。
防羊毛黨的方式就是從這樣的方式里來的,因為羊毛黨里有大量的不太正常的訪問,所以通過這種方式是比較容易的。
首先是數據的收集這是沒有問題的,接下來是特徵工程,很多的就是建模,你提取了哪些數據出來去做建模做成表,我們有用戶行為的信息,業務事件的頻率,註冊多少次,交流多少次,很顯然是有問題的,不是正常的用戶,業務事件的異常度等等都有,所以包括登錄的時間、地域等等都是有問題的。基於特徵工程的提取,我們做出來一個模型可以篩選出來團伙、羊毛黨等等的。
在互聯網金融的一些企業可能是涉足比較多一些,因為經常會搞一些活動,這是對於羊毛黨。
第二塊就是反欺詐,經常有一些非本人交易的情況存在,我們對於這種情況怎麼處理呢?現在沒有一個百分之百能夠解決的辦法,但是我們正在從中不斷地優化。現在我們的客戶大銀行里有非常成熟的模型,叫做規則引擎,可以防70%到80%的問題,而且速度非常快,我們要通過引入機器模型來發現潛在的欺詐行為,我們通過機器學習來學習就可以分析出來正常行為和非正常行為。
接下來是服務理念,我們到現在為止說安全就是我們可以去買服務、買安全模型回來,再到以後,一些走得比較靠前的客戶他們的想法是非常的超前,他們不直接買市面上的模型拿回來用,因為他們自己的模式在改,可能很多的模型今年適用,明年不適用了,他們非常希望自己能不能開發模型,以後我們再招人,一定要招有科技背景的金融人,這種人來了之後,是可以自己去寫腳本的,所以他就特別希望有這樣一個平台,能夠讓我們自己在這個平台上自己去建模。
所以現在360也是基於這些需求,新的方向我們在做普惠模式的事,就是從服務精英到服務大眾,將來讓有一定腳本語言能力的人在這個平台上自己去開發他所需要的模型,這個客戶不需要非常精深的技術能力,同時他懂技術、懂業務是特別難得的,就可以去做這件事了。
最後我這邊還有兩個理念的東西跟各位彙報,一個是大數據對於安全的重要性,這一頁是互聯網的公司在做安全的時候,實際上都是趨向於用大數據做的,數據本身做互聯網本身就有數據的優勢,只是這個數據本身是沒有罪的,看這個數據怎麼去用,保護數據的安全性。到現在為止,數據本身還是非常大的,我們通過大數據來做更好的情報也好,或者通過大數據的方式來辨別有問題的、可疑的行為,所以這是列了一些大數據的公司,有些排名在這。
除了大數據之外,還有一個理念就是人,我們在2017年講到,萬物皆變,人是安全的尺度,因為之前我們太強調技術了,到後來又強調的是大數據新興的能力,再到後來我們發現所有的一切都離不開人。當時老周跟我講,他去美國的公司去考察,本來那邊的技術是非常強的,結果去到那邊一看,發現那裡有幾百人的研究團隊在那分析二進位的代碼,到後來一打聽才知道,那邊有大量的都是靠人來分析出來的,所以今天完全沒有一套技術能完全脫離開人的,人是安全的尺度,這是我們重新對人的一個定義。
也是基於這個,我們發現了很多很多問題,又有大盜又有小偷。小偷和內鬼都比較好畫像,難的是大盜,它是一個組織是隱形的,它可以偷走你的數據,也可以毀掉你的應用,我們就通過一些技術抓到這些APT,就是通過我們人去做。
這裡大家有熟悉的也有不熟悉的,海蓮花、肚腦蟲大家都熟悉,對於我們整個網路信息安全來說是離不開人的參與。
基本上內容就是這麼多,謝謝各位。
TAG:金融科技創新網 |