随着数字时代的到来,数据安全、网络安全成为严峻议题。

  面对日趋升级的安全威胁,企业应如何顺应变化构建创新稳固的金融安全防线,满足合规及国产升级的需求,保障金融产品的性能稳定及金融服务的高质量增长?近日,在2024腾讯云首届金融安全峰会上,业内专家围绕上述问题分享了最新的发现和思考。

  业务线上转移,金融行业安全挑战重重

  金融行业作为数字化、智能化和信创的排头兵,随着数智化升级的加速,越来越多业务依靠互联网完成,大量新技术、新业务的发展,带来了更复杂的IT架构和快速增长的攻击面。

  总体来看,APT攻击成为网络空间社会影响最广、防御难度最高的突出风险源。APT攻击即高级可持续威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。攻击目标通常是政府机构、金融行业等具有高价值的公司,主要目的是窃取情报、破坏关键基础设施。

  中国信通院云计算与大数据研究所所长何宝宏在会上表示,金融用户持续增加,用户的支付数据、个人身份信息,交易记录等等,安全保护面临着前所未有的新的挑战。“比如今年10月份金融用户大量的通信信息被泄露的问题,1月份的时候金融公司的网络遭到攻击130万客户数据泄露等等,我们的数字金融,云端金融还是存在一些短板。”

  安全水位升高,攻防态势风云变幻

  腾讯安全副总裁、玄武实验室负责人于旸表示,从攻击的视角来看,随着攻防演练不断开展,大家对安全了解得越来越深入。安全水位不断提高,容易被发现的漏洞基本上被发现完毕,漏洞挖掘的难度增加,所以漏洞挖掘的目标也随着攻防的发展也在不断变化。

  “金融行业在所有的行业里面,安全水位是比较高的,大家的安全在所有行业里其实是算比较好的。最近这些年的攻防演练里面,我们还是能看到有一些公司是能够被攻破的。”于旸在指出金融行业安全建设的特点后分享了常见的攻击威胁类型。

  一是迂回攻击、曲线攻击。“通常攻击者一看到是金融行业的目标,不会去硬碰硬,他知道这个非常困难。所以是迂回攻击,从小银行攻入金融城域网,从金融城域网再打大行,这就是种迂回的思路的体现。”

  二是从海外的分支机构入侵。“目前大家用了一些在安全上还不太成熟的SaaS和私有化产品,这些产品本身给系统引入了一些新的安全风险,我们看到的一些办公软件、远程桌面、中间件等等,有很多的威胁是由于这些引入的。”于旸解释称。

  第三种类型则是通过供应链通路、数据托管、权限委托等方面形成突破口,被突破之后则会威胁到金融行业的数字资产。

  安全观念更新,从治已病到治未病

  腾讯安全副总经理、云鼎实验室专家李滨对界面新闻记者解释了安全领域中理论上已病和未病的差别和联系:我们在现实生活当中看到有已病的问题,也有未知的问题,实际的工作当中这两者也是交叠的。我们说的未病,其实是已病的问题在发展过程当中,因为攻击有持续性,有步骤,有不同的难度。所以说很多未病会有已病的表征先出来。

  他表示,2023年腾讯安全提出“数字安全免疫力”模型。数字安全免疫力以更积极、主动的安全观,用“治未病”的思路替代“治已病”,前置预判、及时响应处置安全风险,才能维护品牌价值、保障健康发展。

  腾讯金融云副总经理王丰辉对界面新闻记者表示,因为金融机构是一个严监管的状态,所以有政策以及合规的驱动,在原来攻击没有那么多的情况下,会更多关注流程,关注各个节点是否有部署。但监管也是不断迭代和变化的,从今年的安全演练的政策来看就带有一定要打破以前运动式的被动防御,要实现安全应急响应的常态化。“现在就是采用以风险为导向,以结果为度量的积极主动的安全策略。”王丰辉总结。