对话|恒丰银行+瑞数信息将安全嵌入到业务中
瑞数信息 06/06

随着互联网+的深入,越来越多的企业数字化转型与创新深入到市场推广、在线交易、在线支付、在线供应链等层面,数字化信息安全成为企业数字化转型的重要保障。

今天,来自恒丰银行科技开发部安全中心高级经理王兆文先生与瑞数信息CSO马蔚彦女士为大家带来互联网+时代企业如何做好业务安全防护问题的精彩分享。


恒丰王兆文:

现在金融行业所面临的安全威胁比较严峻。随着互联网不断发展,银行的很多的业务都转移到线上,业务的转移带来了新的威胁。针对银行业务的攻击呈现组织化,持续化的特点。一种最常见的情况就是APT威胁。由于银行保存着客户一些重要的信息,以及资金,这一点也被攻击者看中。因此,银行对于APT也极为关注。

另外,去年的6月1日,国家发布了网络安全法,对于我们金融有很大的指导意见;同时,我们也在逐步的向法律法规、合规性去对齐,这是外部整体的一个情况。

瑞数马蔚彦:

正如王总所讲,从大的形势上来讲,互联网安全威胁呈现组织化、规模化,以及使用的工具和手段智能化。例如APT针对企业有价值的信息、数据等,不法分子利用新的手段去进行攻击,造成规模化的破坏。

作为专业安全的厂商,我们接触到的客户除了金融行业,还包括政府、央企、国企等,根据客户的情况,我们发现除了以上变化还有一种趋势:攻击者不仅仅针对IT基础设施,而是更关注攻击目标的数据和业务。

从方向和趋势上来讲,现在大量的业务交往、业务交互,使得数据流动的广泛度远远超过过去,应用安全、数据安全和业务安全成为一个特别重要的方向。特别是针对银行,更愿意去实践对于数据方面的防御,因为交易数据、经营数据和客户数据,既是企业也是攻击者关注的重点。

再有一块就是业务欺诈,因为威胁和风险越来越快,规模大、效率高、快,所以必须要通过加强技术手段实现风控前置,快速甄别风控并加以控制。

恒丰王兆文:

我们的新上线业务或者一些营销的场景是纯粹互联网化的。这部分业务会面临恶意注册的情况。我们会通过一些风控系统,和实时分析系统来对这些行为进行分析,解除在业务推广的场景下会面临的威胁。

瑞数马蔚彦:

银行业务风险包括恶意开卡、套现等。这些都是针对线上互联网化的业务,例如通过线上办卡促销活动,抢占本应到达用户手中的优惠资源,甚至在系统外进行流转,再另外套现。这就是我们通常讲的薅羊毛,这种现象普遍存在于企业的促销活动中。

这类企业业务安全威胁的原理是利用企业的正常业务逻辑,制造虚假业务流量,导致企业资源不能到达有效用户手中。其特点是攻击者利用程序化的、自动化的、工具化的方式进行模拟业务操作,使得攻击更高效、更快速,令传统防御手段难以应对。

瑞数则通过提供一种创新的动态安全技术,改变传统基于规则的防御手段,可以有效识别这种模拟业务操作的恶意行为。

恒丰王兆文:

互联网金融机构和电商平台在开办业务的时候,常常会面临这些风险,例如羊毛党,比如说我注册会送你50块钱优惠卷,有一些电商平台送这个优惠卷之后,就会出现恶意注册这个情况,这是比较常见的一种攻击行为。

瑞数马蔚彦:

我们以往的防护手段常常通过风控来解决,通常是大数据分析技术为主,包括一些同业数据、信用数据的这种信誉数据的核查,相对来讲是比较偏滞后,它要发生一段时间,然后再来借助于数据,借助于异常行为模型建模然后进行分析。

今天,企业可以利用一些新的技术,如AI、机器学习等都是加快对这种风险的控制,可以实现积极地主动防御。关于主动防御,我们刚才讲到的是大数据、信誉库基于用户行为的分析手段。还有一种就是基于移动目标的动态防御,通过这项技术可以更实时、有效识别人机行为,在线交易过程当中,业务操作过程当中,就已经将恶意行为识别出来,这样的动态防御可以跟现在银行的功能系统去结合,来加快和加速风控前置的效果。

瑞数马蔚彦:

瑞数的动态安全技术可以主动识别“机器”还是人。攻击者利用工具的攻击行为是一个程序,有一个执行逻辑和过程,当它的这个执行逻辑访问你的系统时,瑞数的动态安全技术会通过对被访问系统返回给访问者的网页做一系列的变形,每次回复给攻击者的东西都有不同变化,这样攻击者的程序逻辑就执行不下去。

恒丰王兆文:

恒丰银行作为一家全国股份制商业银行,现在是在做全运营架构的一个搭建和实施,目前已经基本完成,那么在整个过程当中,我们安全的体系也在逐步的进行优化,以适应这种全运营架构。

恒丰的全运营架构采用私有云的模式,是很多资源的一个结合,可以实现业务的快速供给和资源优化。针对云端我们要重新进行考量并做一些落地的防护。比如上线测试的快速跟进,还有一些动态防护的技术,动态的检测技术,我们也都在研究和落地,当然是在我们整体的安全框架之下,结合我们新的业务场景,以及这些新的技术来做一个整合之后,逐步去落地。另外,对于云隔离我们也在逐步推进。这部分是我们在云环境下面临的新的挑战。

瑞数马蔚彦:

云计算的应用已经成为大势所趋,金融行业其实不完全是公有云,它其实是一个行业云,不仅仅是满足银行自己内部业务集中化和快速上线、快速服务的要求,这个应用服务能力可以再进一步的输出,给一些中小银行和一些中小基金机构提供更多服务。

在这个过程当中,大家都会关注到一个安全问题——安全防护如何在云端快速部署、弹性的扩展和利用。

首先,我们要快速的把防御功能,以及安全的检测功能,快速的部署到云平台上,实现对云架构环境的充分适应。

其次,从业务应用层面来看,要快速躲避攻击。应用一上线通常就会遇到大量的漏洞扫描,来探测应用上面有没有漏洞,包括通过应用看你后面的系统有没有漏洞。探测漏洞往往是攻击业务的第一步,因为现在的扫描器、漏洞探测往往趋于工具化,因此更加规模化和高效率。

针对这种工具行为,瑞数可以通过动态安全技术来进行防护。比喻来讲,瑞数的动态安全技术就好像一个大门,即使企业应用中有一些漏洞还没有来得及补,但是这个大门挡在前面,黑客利用工具来探测漏洞的时候,瑞数的动态安全技术把漏洞隐藏住了,可令攻击者无法发现漏洞,一定程度上起到了躲避被攻击的作用。

恒丰王兆文:

我们一直在对业务进行安全的支撑。从落地实践的角度来说,一方面要和业务人员主动的去进行沟通,比如说现在我们一些新的威胁的形式,这样的话可以在进行业务创新和业务流程设计的时候,会充分考虑到安全的因素。也可以说是将安全前置,跟业务创新主动的结合起来。最后就是使用更新型、跟更有效的安全技术、工具和设备,构建一个强大的整体的体系化安全防护,实现对业务的整体防控。

此外,数据安全一直是银行特别关注的一点,从数据治理的角度,无论从监管合规,还是内部对数据的重要性,都会将数据安全不断地去提升。

瑞数马蔚彦:

将安全嵌入到业务,不管是业务的开发过程、业务的管理过程,还是业务的运维过程都需要得到安全保障。瑞数提供的安全工具和安全技术,实际上也是要结合这些方面,我们是在业务逻辑的过程当中,或者业务的运维过程当中,把安全加入进去,在解决安全问题的同时,更要保障业务的高可用性。

另外,在安全技术的选择,或者安全平台工具的实践及交付给客户的过程当中,我们的目标是要轻量级,不要让它有大量的运维工作,要减轻运维负担。

安全永远存在着道高一尺、魔高一丈,伴随新的防护手段出现,就会出现另外一些新的手段再绕过你的防御技术。安全是永远伴随着整个业务发展、安全发展,新的技术发展的进程。

未来对于企业来讲必须要从多角度去防护,把安全嵌入到业务(业务的开发、管理、运维过程)才能真正高效保护到业务。而瑞数的目标就是提供轻量级的防御手段,并不断和同业去沟通、交流、学习,研究更领先的技术领域,为企业提供更适合的防护方式和方法。

 

 

 


本文由新知号原创发布,转载请注明来源。
联系方式:system@shangyexinzhi.com
2000+知识点 7000+案例
商业新知助力数字化转型
下载