正在閱讀:

風(fēng)險(xiǎn)敞口放大、攻防態(tài)勢(shì)變化,數(shù)字時(shí)代如何保護(hù)金融安全?

掃一掃下載界面新聞APP

風(fēng)險(xiǎn)敞口放大、攻防態(tài)勢(shì)變化,數(shù)字時(shí)代如何保護(hù)金融安全?

“現(xiàn)在就是采用以風(fēng)險(xiǎn)為導(dǎo)向,以結(jié)果為度量的積極主動(dòng)的安全策略?!?/p>

韓宇航HYH · 來(lái)源:界面新聞

圖片來(lái)源:界面圖庫(kù)

界面新聞?dòng)浾?| 韓宇航

界面新聞編輯 | 江怡曼

隨著數(shù)字時(shí)代的到來(lái),數(shù)據(jù)安全、網(wǎng)絡(luò)安全成為嚴(yán)峻議題。

面對(duì)日趨升級(jí)的安全威脅,企業(yè)應(yīng)如何順應(yīng)變化構(gòu)建創(chuàng)新穩(wěn)固的金融安全防線,滿足合規(guī)及國(guó)產(chǎn)升級(jí)的需求,保障金融產(chǎn)品的性能穩(wěn)定及金融服務(wù)的高質(zhì)量增長(zhǎng)?近日,在2024騰訊云首屆金融安全峰會(huì)上,業(yè)內(nèi)專家圍繞上述問(wèn)題分享了最新的發(fā)現(xiàn)和思考。

業(yè)務(wù)線上轉(zhuǎn)移,金融行業(yè)安全挑戰(zhàn)重重

金融行業(yè)作為數(shù)字化、智能化和信創(chuàng)的排頭兵,隨著數(shù)智化升級(jí)的加速,越來(lái)越多業(yè)務(wù)依靠互聯(lián)網(wǎng)完成,大量新技術(shù)、新業(yè)務(wù)的發(fā)展,帶來(lái)了更復(fù)雜的IT架構(gòu)和快速增長(zhǎng)的攻擊面。

總體來(lái)看,APT攻擊成為網(wǎng)絡(luò)空間社會(huì)影響最廣、防御難度最高的突出風(fēng)險(xiǎn)源。APT攻擊即高級(jí)可持續(xù)威脅攻擊,指某組織對(duì)特定對(duì)象展開的持續(xù)有效的攻擊活動(dòng)。攻擊目標(biāo)通常是政府機(jī)構(gòu)、金融行業(yè)等具有高價(jià)值的公司,主要目的是竊取情報(bào)、破壞關(guān)鍵基礎(chǔ)設(shè)施。

中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所所長(zhǎng)何寶宏在會(huì)上表示,金融用戶持續(xù)增加,用戶的支付數(shù)據(jù)、個(gè)人身份信息,交易記錄等等,安全保護(hù)面臨著前所未有的新的挑戰(zhàn)?!氨热缃衲?0月份金融用戶大量的通信信息被泄露的問(wèn)題,1月份的時(shí)候金融公司的網(wǎng)絡(luò)遭到攻擊130萬(wàn)客戶數(shù)據(jù)泄露等等,我們的數(shù)字金融,云端金融還是存在一些短板?!?/span>

安全水位升高,攻防態(tài)勢(shì)風(fēng)云變幻

騰訊安全副總裁、玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示,從攻擊的視角來(lái)看,隨著攻防演練不斷開展,大家對(duì)安全了解得越來(lái)越深入。安全水位不斷提高,容易被發(fā)現(xiàn)的漏洞基本上被發(fā)現(xiàn)完畢,漏洞挖掘的難度增加,所以漏洞挖掘的目標(biāo)也隨著攻防的發(fā)展也在不斷變化。

“金融行業(yè)在所有的行業(yè)里面,安全水位是比較高的,大家的安全在所有行業(yè)里其實(shí)是算比較好的。最近這些年的攻防演練里面,我們還是能看到有一些公司是能夠被攻破的?!?/span>于旸在指出金融行業(yè)安全建設(shè)的特點(diǎn)后分享了常見的攻擊威脅類型。

一是迂回攻擊、曲線攻擊。通常攻擊者一看到是金融行業(yè)的目標(biāo),不會(huì)去硬碰硬,他知道這個(gè)非常困難。所以是迂回攻擊,從小銀行攻入金融城域網(wǎng),從金融城域網(wǎng)再打大行,這就是種迂回的思路的體現(xiàn)?!?/span>

是從海外的分支機(jī)構(gòu)入侵。目前大家用了一些在安全上還不太成熟的SaaS和私有化產(chǎn)品,這些產(chǎn)品本身給系統(tǒng)引入了一些新的安全風(fēng)險(xiǎn),我們看到的一些辦公軟件、遠(yuǎn)程桌面、中間件等等,有很多的威脅是由于這些引入的。”于旸解釋稱。

第三種類型則是通過(guò)供應(yīng)鏈通路、數(shù)據(jù)托管、權(quán)限委托等方面形成突破口,被突破之后會(huì)威脅到金融行業(yè)的數(shù)字資產(chǎn)。

安全觀念更新,從治已病到治未病

騰訊安全副總經(jīng)理、云鼎實(shí)驗(yàn)室專家李濱對(duì)界面新聞?dòng)浾呓忉屃税踩I(lǐng)域中理論上已病和未病的差別和聯(lián)系:我們?cè)诂F(xiàn)實(shí)生活當(dāng)中看到有已病的問(wèn)題,也有未知的問(wèn)題,實(shí)際的工作當(dāng)中這兩者也是交疊的。我們說(shuō)的未病,其實(shí)是已病的問(wèn)題在發(fā)展過(guò)程當(dāng)中,因?yàn)楣粲谐掷m(xù)性,有步驟,有不同的難度。所以說(shuō)很多未病會(huì)有已病的表征先出來(lái)。

他表示,2023年騰訊安全提出“數(shù)字安全免疫力”模型。數(shù)字安全免疫力以更積極、主動(dòng)的安全觀,用“治未病”的思路替代“治已病”,前置預(yù)判、及時(shí)響應(yīng)處置安全風(fēng)險(xiǎn),才能維護(hù)品牌價(jià)值、保障健康發(fā)展。

騰訊金融云副總經(jīng)理王豐輝對(duì)界面新聞?dòng)浾弑硎?,因?yàn)榻鹑跈C(jī)構(gòu)是一個(gè)嚴(yán)監(jiān)管的狀態(tài),所以有政策以及合規(guī)的驅(qū)動(dòng),在原來(lái)攻擊沒(méi)有那么多的情況下,會(huì)更多關(guān)注流程,關(guān)注各個(gè)節(jié)點(diǎn)是否有部署。但監(jiān)管也是不斷迭代和變化的,從今年的安全演練的政策來(lái)看就帶有一定要打破以前運(yùn)動(dòng)式的被動(dòng)防御,要實(shí)現(xiàn)安全應(yīng)急響應(yīng)的常態(tài)化。“現(xiàn)在就是采用以風(fēng)險(xiǎn)為導(dǎo)向,以結(jié)果為度量的積極主動(dòng)的安全策略?!蓖踟S輝總結(jié)。

未經(jīng)正式授權(quán)嚴(yán)禁轉(zhuǎn)載本文,侵權(quán)必究。

評(píng)論

暫無(wú)評(píng)論哦,快來(lái)評(píng)價(jià)一下吧!

下載界面新聞

微信公眾號(hào)

微博

風(fēng)險(xiǎn)敞口放大、攻防態(tài)勢(shì)變化,數(shù)字時(shí)代如何保護(hù)金融安全?

“現(xiàn)在就是采用以風(fēng)險(xiǎn)為導(dǎo)向,以結(jié)果為度量的積極主動(dòng)的安全策略?!?/p>

韓宇航HYH · 2024/12/09 19:56來(lái)源:界面新聞

圖片來(lái)源:界面圖庫(kù)

界面新聞?dòng)浾?| 韓宇航

界面新聞編輯 | 江怡曼

隨著數(shù)字時(shí)代的到來(lái),數(shù)據(jù)安全、網(wǎng)絡(luò)安全成為嚴(yán)峻議題。

面對(duì)日趨升級(jí)的安全威脅,企業(yè)應(yīng)如何順應(yīng)變化構(gòu)建創(chuàng)新穩(wěn)固的金融安全防線,滿足合規(guī)及國(guó)產(chǎn)升級(jí)的需求,保障金融產(chǎn)品的性能穩(wěn)定及金融服務(wù)的高質(zhì)量增長(zhǎng)?近日,在2024騰訊云首屆金融安全峰會(huì)上,業(yè)內(nèi)專家圍繞上述問(wèn)題分享了最新的發(fā)現(xiàn)和思考。

業(yè)務(wù)線上轉(zhuǎn)移,金融行業(yè)安全挑戰(zhàn)重重

金融行業(yè)作為數(shù)字化、智能化和信創(chuàng)的排頭兵,隨著數(shù)智化升級(jí)的加速,越來(lái)越多業(yè)務(wù)依靠互聯(lián)網(wǎng)完成,大量新技術(shù)、新業(yè)務(wù)的發(fā)展,帶來(lái)了更復(fù)雜的IT架構(gòu)和快速增長(zhǎng)的攻擊面。

總體來(lái)看,APT攻擊成為網(wǎng)絡(luò)空間社會(huì)影響最廣、防御難度最高的突出風(fēng)險(xiǎn)源。APT攻擊即高級(jí)可持續(xù)威脅攻擊,指某組織對(duì)特定對(duì)象展開的持續(xù)有效的攻擊活動(dòng)。攻擊目標(biāo)通常是政府機(jī)構(gòu)、金融行業(yè)等具有高價(jià)值的公司,主要目的是竊取情報(bào)、破壞關(guān)鍵基礎(chǔ)設(shè)施。

中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所所長(zhǎng)何寶宏在會(huì)上表示,金融用戶持續(xù)增加,用戶的支付數(shù)據(jù)、個(gè)人身份信息,交易記錄等等,安全保護(hù)面臨著前所未有的新的挑戰(zhàn)。“比如今年10月份金融用戶大量的通信信息被泄露的問(wèn)題,1月份的時(shí)候金融公司的網(wǎng)絡(luò)遭到攻擊130萬(wàn)客戶數(shù)據(jù)泄露等等,我們的數(shù)字金融,云端金融還是存在一些短板。”

安全水位升高,攻防態(tài)勢(shì)風(fēng)云變幻

騰訊安全副總裁、玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示,從攻擊的視角來(lái)看,隨著攻防演練不斷開展,大家對(duì)安全了解得越來(lái)越深入。安全水位不斷提高,容易被發(fā)現(xiàn)的漏洞基本上被發(fā)現(xiàn)完畢,漏洞挖掘的難度增加,所以漏洞挖掘的目標(biāo)也隨著攻防的發(fā)展也在不斷變化。

“金融行業(yè)在所有的行業(yè)里面,安全水位是比較高的,大家的安全在所有行業(yè)里其實(shí)是算比較好的。最近這些年的攻防演練里面,我們還是能看到有一些公司是能夠被攻破的?!?/span>于旸在指出金融行業(yè)安全建設(shè)的特點(diǎn)后分享了常見的攻擊威脅類型。

一是迂回攻擊、曲線攻擊。通常攻擊者一看到是金融行業(yè)的目標(biāo),不會(huì)去硬碰硬,他知道這個(gè)非常困難。所以是迂回攻擊,從小銀行攻入金融城域網(wǎng),從金融城域網(wǎng)再打大行,這就是種迂回的思路的體現(xiàn)?!?/span>

是從海外的分支機(jī)構(gòu)入侵。目前大家用了一些在安全上還不太成熟的SaaS和私有化產(chǎn)品,這些產(chǎn)品本身給系統(tǒng)引入了一些新的安全風(fēng)險(xiǎn),我們看到的一些辦公軟件、遠(yuǎn)程桌面、中間件等等,有很多的威脅是由于這些引入的?!?/span>于旸解釋稱。

第三種類型則是通過(guò)供應(yīng)鏈通路、數(shù)據(jù)托管、權(quán)限委托等方面形成突破口,被突破之后會(huì)威脅到金融行業(yè)的數(shù)字資產(chǎn)。

安全觀念更新,從治已病到治未病

騰訊安全副總經(jīng)理、云鼎實(shí)驗(yàn)室專家李濱對(duì)界面新聞?dòng)浾呓忉屃税踩I(lǐng)域中理論上已病和未病的差別和聯(lián)系:我們?cè)诂F(xiàn)實(shí)生活當(dāng)中看到有已病的問(wèn)題,也有未知的問(wèn)題,實(shí)際的工作當(dāng)中這兩者也是交疊的。我們說(shuō)的未病,其實(shí)是已病的問(wèn)題在發(fā)展過(guò)程當(dāng)中,因?yàn)楣粲谐掷m(xù)性,有步驟,有不同的難度。所以說(shuō)很多未病會(huì)有已病的表征先出來(lái)。

他表示,2023年騰訊安全提出“數(shù)字安全免疫力”模型。數(shù)字安全免疫力以更積極、主動(dòng)的安全觀,用“治未病”的思路替代“治已病”,前置預(yù)判、及時(shí)響應(yīng)處置安全風(fēng)險(xiǎn),才能維護(hù)品牌價(jià)值、保障健康發(fā)展。

騰訊金融云副總經(jīng)理王豐輝對(duì)界面新聞?dòng)浾弑硎?,因?yàn)榻鹑跈C(jī)構(gòu)是一個(gè)嚴(yán)監(jiān)管的狀態(tài),所以有政策以及合規(guī)的驅(qū)動(dòng),在原來(lái)攻擊沒(méi)有那么多的情況下,會(huì)更多關(guān)注流程,關(guān)注各個(gè)節(jié)點(diǎn)是否有部署。但監(jiān)管也是不斷迭代和變化的,從今年的安全演練的政策來(lái)看就帶有一定要打破以前運(yùn)動(dòng)式的被動(dòng)防御,要實(shí)現(xiàn)安全應(yīng)急響應(yīng)的常態(tài)化?!艾F(xiàn)在就是采用以風(fēng)險(xiǎn)為導(dǎo)向,以結(jié)果為度量的積極主動(dòng)的安全策略?!蓖踟S輝總結(jié)。

未經(jīng)正式授權(quán)嚴(yán)禁轉(zhuǎn)載本文,侵權(quán)必究。