技术变革视角下的金融安全:新挑战新路径新常态

古希腊神话里的西西弗斯,每天会辛辛苦苦推石头上山,第二天石头又会落下来,但需要把它再推上去,如此周而复始。

网络安全产业链条里的任何一环、每个角色,某种程度上也在经历着这个过程:

从云计算到AI到大模型,全行业数字化转型持续深入的过程中,每一轮的技术变革中,“矛”与“盾”的持续对抗,在形式、态势上,都在变化。

对身处其中的每个行业里的每家公司而言,安全建设都没有终点,需要西西弗斯式的坚守。

聚焦到当下来看,伴随着AI大模型加速落地到各行各业,其高效泛化内容生成的特点,也会让黑客以更低的门槛和成本,发动更密集的攻击,防守方则需要更缜密的逻辑关联、更精确的溯源能力,等等。比如AIGC的迅猛发展衍生出来的AI欺诈、AI仿冒等问题,也成了很多企业新的痛点。

这一背景下,企业在AI时代,该如何更好地应对不断变化的安全挑战?

金融行业在安全建设上的趋势、挑战、实践、路径和思考,尤为值得探讨——金融行业一边是走在数字化变革最前沿的领域,另一边也是对安全风险容忍度最低、对安全合规要求最高的行业。

12月6日,腾讯云举办了2024首届腾讯云金融安全峰会,参会嘉宾包括了数字金融机构、商业银行、资管机构等企业安全技术的负责人,多方共同探讨了不同业务场景下的金融安全建设实践。

在这次峰会上,连线Insight注意到,随着技术的不断变革,金融行业的安全挑战,呈现出了不同的态势,在金融行业的安全建设上,以腾讯为代表的互联网厂商,也沉淀出了一些新思考,并加速探索企业安全建设新路径。

1、从攻防演练新态势,看金融行业的安全挑战

过去数年,金融行业面临着相对更高的安全风险。

一方面,金融行业离“钱”更近,更敏感,也就更容易被不法分子“盯上”;

另一方面,由于业务场景更多、个体或单位使用金融服务的频率更高、数据资源更丰富,此前大数据、云计算等技术加速产业数字化转型时,金融行业也走在前列。包括数字化营销、个性化推荐与精准服务、风控模型的建立与完善、资源的整合及利用等等,都离不开大数据和云计算。

这一过程中,更大规模的组织上云、数据上云、业务上云,乃至供应链上云,其实也滋生了新的安全挑战。

原因在于,在全行业数字化转型时,新技术的出现总有两面性。

一面是技术的赋能作用,它让效率更高、让成本更低、也让安全水位更高;另一面则是,在不法分子的手里,这些技术又会成为他们丰富、强化攻击手段与方式的工具。

尤其是在当下,金融行业正处在新一轮技术推动数字化纵深的周期中——云计算从1.0阶段的金融信息化、2.0阶段的互联网金融、金融科技,过渡到3.0阶段的金融与科技的深度融合后,如今正加速迈向4.0阶段,数字金融。

这背后,云原生生态的不断扩大、AI技术的加速变革和应用,一定程度上拓宽了持续数字化的想象力,但同时也在加剧金融安全风险。

来看两个实际的案例。

今年1月,香港某跨国公司的财务员工,被骗子利用Deepfake换脸技术冒充公司CEO进行视频会议后,被诈骗了2500万美元;今年5月,某跨国贸易公司的一名职员,收到仿冒为英国总公司CFO的WhatsApp信息,期间深伪技术生成的“假上司”指示这名职员将近400万港元转款至一个本地账户。

2024首届腾讯云金融安全峰会上,腾讯安全副总裁、玄武实验室负责人于旸也从技术视角出发,进一步解析了当前金融行业面临的攻防对抗态势变化。

腾讯安全副总裁、玄武实验室负责人于旸

他认为,通过迂回攻击、曲线攻击绕过企业现有防御网络,或通过供应链通路、数据托管、权限委托等单点上形成突破口,进而威胁到企业数字资产,是近年来攻防演练呈现出的新“脆弱点”。

此外,在攻击工具上,也有新变化。

“一开始大家用一些开源工具免费工具,一般来说这些工具都是单兵工具,就是‘步枪’‘手枪’。这些年一来是每个攻击队都开始开发工具,二来是这些工具也在转向平台化、协作化,变成‘航空母舰’了。而且随着平台化水平的提高,可以很大程度上提高整个攻击队的水平。”于旸如此说道。

他进一步介绍,这些平台也可以通过引入自动化技术,乃至AI技术、大模型技术,来进一步提高攻击效率。

与此同时,中国信通院云计算与大数据研究所所长何宝宏提到,近些年,金融云的安全威胁也在加剧,集中体现为两大挑战。

第一个挑战是,随着数字金融用户的持续增加,云端金融风险在持续攀升。

第二个挑战则是,高价值资产频遭数据泄露和勒索软件攻击,暴露出金融机构在数据安全、系统安全和隐私保护等方面尚存在短板。

比如今年10月,某家互联网金融机构,大量用户通讯录信息被泄露,包括联系人姓名、号码等等;今年1月,某家金融公司遭遇网络攻击,导致130万客户数据泄露,等等。

不难发现,当下金融行业的安全形势,在变得日益严峻。

对金融机构而言,数据流转的加速、业务关联性的加深、系统规模的扩大和迭代频率的提升、日益复杂的访问主体、场景和行为、金融业务的边界拓展,等等,几乎每一个环节,都存在潜在的安全隐患。

2、化被动为主动、从单点到立体,金融安全“1”比“0”更关键

上述背景下,金融行业的安全建设,到底该怎么做?

面对当前无孔不入的安全挑战,金融行业的安全建设,需要的是更立体式的防御机制,而不是单点式去发现问题、解决问题,也需要更主动性的安全建设理念,而不是“等问题出现再解决”。

今年11月27日,中国人民银行等七部门联合印发了《推动数字金融高质量发展行动方案》,其中提到,到2027年底,要基本建成与数字经济发展高度适应的金融体系。

在这背后,金融云安全体系,是保障金融服务安全性、支撑数字金融生态繁荣与发展的底层支撑。

对云厂商和安全厂商而言,安全产品如何与云平台实现紧密结合,实现真正的云原生安全、一体化安全,正是金融云安全体系持续优化和升级的一个关键。

结合这几点,在这次峰会上,连线Insight观察到,腾讯在金融领域的安全实践,提供了一个思路。

简单拆解,腾讯云和腾讯安全的实践,可以从两个层面来看:

一方面,是保障云平台本身的安全稳固,为金融行业提供高效的一体化安全供给。

腾讯安全副总裁、云鼎实验室负责人董志强表示,基于腾讯云平台过去多年在合规建设、安全防护、安全运营等方面的经验,腾讯云将自身安全建设的经验沉淀成了一套新理念——高安全等级架构。

腾讯安全副总裁、云鼎实验室负责人董志强

这也是腾讯云安全建设的思路和目标。“我们希望,通过更高安全等级架构这样的思路,倡导所有团队能够为了这样的目标去努力。”董志强如此说道。

他进一步介绍,企业要想达成高等级的安全架构,需要具有可信的底层、原生的能力、智能的安全运营水平,以及出厂的默认安全。

基于此,腾讯云自下而上,为云业务自身和租户安全,都构建起了纵深防御的体系,沉淀出了一套具备可复制性的、云原生的高安全等级架构,通过服务器硬件安全优化、可信计算技术与供应链安全保证云基础设施安全等多重机制,来保障云基础设施的一体化安全。

另一方面,则是在产品维度,腾讯安全整合构建了“4+N”体系,为所有私有云、公有云、混合云等不同业务形态客户提供全面的产品供给。腾讯安全副总裁方斌介绍,腾讯安全的独特优势,是在情报能力的基础上,基于四道防线逐级增加防御节点,再进一步扩展到N个业务外延,实现基础安全和业务安全的同步提升。

腾讯安全副总裁方斌

其中,“4”指的是“数据安全、主机安全、Web应用防火墙、云防火墙”这四道防线,指向的是通用安全,希望解决的是企业面临的在批量攻击、合规、安全运营、复杂攻击等方面的问题;

“N”指向的则是场景化安全,面向不同行业提供针对性更强的特色化解决方案。比如面向金融行业,腾讯安全提出了“防AI仿冒可信身份解决方案”“金融反电诈解决方案”“金融风控大模型”“零信任网络访问”“安全数据湖”“小程序网关”等等场景化解决方案。

目前,腾讯云金融安全这套“4+N”体系,正加速在金融行业落地。

比如,某具有百年历史的某集团旗下的证券公司,通过安全体检和这四道安全防线,搭建起了安全有效、平台+战略结合的纵深防护体系,提升了安全运营水平。

据腾讯云介绍,重保期间,云防火墙、WAF帮助客户拦截了超过1900万次攻击。

与此同时,期间这四道防线帮助客户发现了1977个漏洞,阻止了2万余次漏洞利用,同时有1190次高危命令执行通过主机安全得到了阻断。

再比如,某资管公司在中国大陆30个省、自治区、直辖市拥有200多个证券营业部,在人员、组织众多、多分支接入等复杂的网络场景下,遇到了在远程办公上的安全和效率挑战。

在和腾讯安全的合作中,这家资管公司采用了腾讯安全的零信任iOA全功能模块,保障了员工在内网办公或远程办公场景下的安全性、办公效率和使用体验。

其中,腾讯安全重点以iOA杀毒管控模块,实现了对国外Symantec这一终端安全软件的替换,安全合规数据作为零信任访问引擎的决策数据源,全面动态来判断访问的可信状态,以一个客户端软件,解决了之前多个客户端才能达到的安全防护。

结合上述几点,不难发现,腾讯做安全,其实正是在依托云的能力进行安全建设,由此来保障安全产品与云平台实现紧密结合。

而无论是面向金融行业安全建设的思考和路径,还是产品或解决方案,都源自腾讯自身的实践——

3、金融安全新常态:合作才能带来更大共赢

2022年7月2日,美国迈阿密一家叫Kaseya的网络软件公司,遭遇了一群自称“REvil”的俄罗斯黑客发起的攻击,对方利用Kaseya的VSA软件中的几个漏洞来传输勒索软件。

这是全球范围内迄今为止发生的最大的一次供应链攻击事件。

从这起案例不难发现,现如今网络安全的建设早已牵一发而动全身,围绕网安建设,没有一家企业应该心存侥幸。

聚焦到金融行业来看,数字金融时代的安全体系建设,其实也并非一家或几家科技企业、一家或几家金融机构就能推动实现的。

当前态势下,安全厂商与金融机构,尤其是大规模金融机构的关系,亟待升级。原因在于,他们之间的合作,并非一个简单的产品交付和服务交付的过程。

比如腾讯安全副总经理、云鼎实验室专家李滨向连线Insight表示,越大的金融机构,在做数据融合、做安全链接时,可能越容易碰上棘手的难题。

一方面,金融机构存在大量的存量系统、数据,安全厂商在辅助他们做安全建设时,这些系统一来不能简单地废除掉,二来基于这些老的资产、旧的系统,在技术和新系统之间从衔接到接入时也存在难度。

另一方面,金融安全建设,涉及到几乎所有的业务系统、基础设施,维度高度分散,复杂度高,给技术连接和融合也带来了难题。

如何更好地应对这些挑战?一个解法是,安全厂商和金融机构,需要跳出过去单一的“甲乙方”的视角,而是沟通前置、链接做深、风险共担、安全共建。

某种程度上,这也反映了腾讯在安全能力建设上的理念。

腾讯金融云副总经理王丰辉向连线Insight表示,对大的金融机构而言,他们本身有比较庞大的安全团队,有安全专家,也会去做各种顶层的设计、架构的设计,甚至在专业性上不一定弱于安全厂商,但安全厂商还是需要和金融机构有关于安全建设的交流和探讨。

因为视角不一样。

“金融机构的视角里,他们更多会聚焦到做自己的业务,在腾讯的视角里,我们会做安全产品、服务..……大家实际上是一个共建的过程,在交互中一起迭代和进步,这也是我们能够和他们取得共识的一个点。”王丰辉进一步表示。

长远来看,腾讯在安全建设上的这一理念,有望加速成为行业共识。

腾讯云副总裁胡利明

“我们认为,安全能力体系的建设,包括生态的建设是一个系统性的工程,需要政府、科技企业、金融机构的共同参与,形成合力,共同应对金融数字安全的挑战。”腾讯云副总裁胡利明如此说道。

您当前使用的浏览器版本过低,导致网站不能正常访问,建议升级浏览器

THE END
1.观点教授/研究在现阶段的互联网金融中,最典型的业态是将传统金融服务搬到网上,比如网络投资理财、网络借贷、互联网基金销售、互联网保险、互联网信托等互联网金融业态,这些都体现了撮合交易的特征。作为撮合的平台,互联网只是销售渠道。 对于这个层面的互联网金融,监管的重点在于资金的安全,必须强制实行资金第三方存管的要求,对资金保https://www.ckgsb.edu.cn/faculty/article/detail/157/4125.html
2.EnterpriseSecuritySkill/06News/EnterpriseSecurity随着信息安全技术发展日新月异,各种攻击手段层出不穷,而且由于金融行业面临的攻击具有获利高、影响广、危害大等特点,金融行业信息安全管理的监管要求日趋精细,对信息安全团队的基础能力、学习能力、创新能力都提出了巨大的挑战。信息安全工作的完成是虚有其表,还是卓有成效,最核心的决定因素在于是否建立一支懂管理、https://github.com/AnyeDuke/Enterprise-Security-Skill/blob/master/06-News/Enterprise-Security-News-Detail.md
3.互联网新时期范文12篇(全文)电子商务是经济全球化和网络化的一个新的发展趋势, 电子商务的一个发展趋势便是以社交网络、移动支付、云计算、大数据和搜索技术为依托方式的互联网金融行业, 互联网金融行业对以传统商业银行为代表的传统金融业带来了巨大的持续冲击, 互联网金融在短时间内迅速成为业界关注的焦点。学术界对于未来资金的提供方和需求方https://www.99xueshu.com/w/ikeyqskfiiqc.html
4.互联网金融市场的现状范文互联网金融的现状优秀汇总互联网金融是利用互联网技术和移动通信技术等一系列现代信息技术实现资金融通的一种新兴金融模式, 是传统金融行业与互联网相结合的新兴领域, 互联网“开放、平等、协作、分享”的精神渗透到传统金融业态, 形成互联网金融行业的独特特色。随着互联网金融的迅猛发展, 互联网金融对人们生活的影响也随着网络的普及变得越来越https://www.puchedu.cn/ziyuan/82616.html
5.2017年中国互联网金融行业发展报告界面·财经号从艾瑞的角度看,之所以我们称目前为互联网金融最好的时代,就是看到了互联网金融和传统金融不再互相“敌对”。开始真正从业务上思考合作可能的未来图景。 存自余额宝之后,网络理财行业发展比较缓慢,主要问题在于模式上的创新难以突破想象力的天花板。并且随着传统金融也对优质资产的渴求,网络金融生态面临“外来”势力的侵https://m.jiemian.com/article/1854433.html
6.报告:金融行业网络威胁研究(上)首席安全官金融机构普遍存在内部网络资产暴露、敏感数据泄露等互联网侧威胁,金融机构供应链安全问题形势严峻,传统的网络、服务、运维等安全信任体系值得反思。 本篇报告内容较长,将分为上、下两篇发布,本文为上篇。 目录 一、概述 二、金融行业背景 三、金融机构情报侧的风险发现 https://www.ciocso.com/article/19373.html
7.Tableau157亿收购背后,50页深度报告看清BI的未来金融业是实现数字化转型最快的行业,数据资产已经成为金融企业的核心资产。随着互联网金融在金融业中的快速兴起,除传统业务系统数据外,针对互联网客户的风控、电商、渠道、信用等新业务数据给金融企业带来巨大的数据使用压力。 目前,BI在金融企业的运营、管理和风控三个领域,都具有重度使用需求。中信四川分行在处理全省的https://www.51cto.com/article/601152.html
8.行业调研报告15篇一、互联网和金融行业软件测试工程师需求最多 调查数据显示,被全部受调查的测试工程师中,有63.8%的软件测试工程师在从事互联网和金融行业;这也印证了目前在经济转型的过程中互联网行业和金融行业受到了国家层面、投资者和个人的'青睐,企业用人需求连年上升,软件测试人才缺口巨大;而在互联网和金融行业中从事软件测试工https://www.ruiwen.com/diaoyanbaogao/7030556.html
9.金融毕业论文互联网金融对传统银行业的影响分析(精选11篇)金融毕业论文范文 互联网金融对传统银行业的影响分析 一、我国互联网金融的发展[中国-知识-写作网,包过] 近年来,随着网络科技的快速发展,我国互联网刮起了一场互联网金融的发展风暴,而在这场金融风暴中,尤其突出发展的是网络支付和网络借贷两大业务。 https://www.360wenmi.com/f/file7ijbr4oz.html
10.中国金融业信息安全调研报告:如何保护金融机构的核心信息安全同时,除了传统的信息系统,将云计算、移动互联网、物联网等新兴系统均纳入到等级保护的范围之内,为探索和应用这些新技术最积极的金融行业确立了安全管理标准。 第二,作为关键信息基础设施的运营者,金融行业各企业应设置专门安全管理机构和安全管理负责人。 https://maimai.cn/article/detail?fid=1445500883&efid=pZaqSj9W84WnWKI82wdekg
11.金融行业市场样例十一篇序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇金融行业市场范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识! 篇1 一、剖析财政金融行业潜在风险的现实意义 财政金融风险对于财政金融行业的发展构成了莫大的障碍,使财政金融水平明显下滑,不利于各项工作的有效开展。所有https://www.sfabiao.com/haowen/39263.html
12.互联网金融的现状(精选5篇)互联网金融是利用互联网技术和移动通信技术等一系列现代信息技术实现资金融通的一种新兴金融模式,是传统金融行业与互联网相结合的新兴领域,互联网“开放、平等、协作、分享”的精神渗透到传统金融业态,形成互联网金融行业的独特特色。随着互联网金融的迅猛发展,互联网金融对人们生活的影响也随着网络的普及变得越来越大。 https://www.1mishu.com/haowen/172349.html
13.产业供应链金融(产业供应链金融:供应链金融的最终解决方案)书评第一章 供应链金融供应链金融产生的背景供应链金融是银行把核心企业和上下游企业联系在一起,提供灵活运用的金融产品和服务的一种融资模式。传统金融与供应链金融供应链金融主要是围绕核心企业,来管理上下游中小企业的物流和资金流,将单个企业的不可控风险转变为整个供应链企业的可控风险,综合获取各种信息,从而将风险降到https://book.douban.com/review/15215407/
14.AI改变金融:人工智能落地嘲,引领金融智能化当前,不仅是科技巨头和细分领域标杆企业作为技术提供方为金融行业赋能,传统金融机构也正在利用自身资源创立或与互联网科技公司合作形成新的金融服务模式,加快人工智能技术的扩散速度,使更多金融企业分享科技红利。 基于开放的技术平台、稳定的获客渠道与持续的创新活动,金融机构的行业资源优势与互联网科技公司的技术沉淀优势相https://www.iyiou.com/news/2019020892040
15.金融实习心得(通用5篇)之所以选择91金融作为我的第一份工作,当然是因为它有吸引我的地方。有人说我的选择就像是买股票,但我并不这么认为,虽然比起进已经成熟的公司,91金融这样的创业企业风险更大,但我看重的并不是这个,而是在这里我能干什么。 一、我对互联网金融行业的认识 https://www.diyifanwen.com/fanwen/shixixindetihui/12819311.html
16.互联网调查报告14篇(二)互联网金融化 互联网金融化指的是信息技术不再局限于工具,已衍生出新型金融服务模式,演变为推动金融业变革的重要力量。互联网金融对传统金融行业带来的冲击正在逐步显现和扩大,如第三方支付、云计算等互联网技术的渗透不断带动金融行业创新升级,P2P信贷、众筹,甚至形成了不同于传统金融的新兴融资模式。互联网金融https://www.unjs.com/fanwenwang/dcbg/20230304090235_6582685.html
17.万师傅“互联网+”战略提出的原因 1、大数据、云计算等与互联网密切相关的领域的价值越来越凸显; 2、互联网正在成为水、电、煤一般的基础设施,能够有力地推动实体经济的发展; 3、互联网行业与传统行业的融合,能够促进传统行业的转型与升级。 互联网对传统行业的改变四个阶段:营销互联网化,渠道互联网化,产品互联网化,运https://www.wanshifu.com/zhishi/tag/tag5996
18.数据安全行业:政策环境产业发展趋势产业链相关企业深度梳理且在互联网大厂和许多传统行业发生竞争关系的同时,垂直行业的创业公司具备明显中立性的优势,其更容易被一些大型行业用户所接纳。其中比较典型的有深耕金融行业的光之树、以及以医疗为主打行业的翼方健数。除了这两类厂商之外,网络安全厂商也开始布局隐私计算,比较有代表性的即安恒信息新推出了数据安全岛,通过多种安全http://www.360doc.com/content/24/0219/09/31918354_1114475061.shtml
19.供应链金融风险分类模板(10篇)互联网金融是借助移动支付、搜索引擎、大数据、云计算等信息技术,具备资金融通、支付和信息中介等职能的一种新兴金融业态,是传统金融行业结合互联网精神的产物。 传统金融机构与非传统金融机构均提供互联网金融服务。传统金融机构提供的服务主要包括传统金融业务的网络化形式及电商化形式,如网上银行、银行商城等;非传统金融https://www.haofabiao.com/haowen/39286.html
20.从千亿到万亿2008年1月,通用金融发行了第一单汽车抵押贷款ABS,当时没人想到,整个汽车金融行业的第二单ABS一直要等到2012年才重新启动。 2008年,GMAC大约做了10万台车的业务量,放款122亿,在当时已经算最厉害了,其他各家AFC、财务公司大多还是2-3万台年放款台数。这一年通用金融开始尝试外品牌,启动了一个叫做SP的业务模式。 http://www.cheyun.com/content/23472
21.互联网金融行业调研此外,还有一种形态是否属于互联网金融形态尚存争议,即传统金融业务互联网化。它是指以互联网替代金融中介和市场网点、人工服务,但产品结构、盈利模式并未发生根本性变化。 二,互联网金融生存逻辑 1.电子商务:互联网金融的一面镜子 互联网最基础的功能是对信息的整合,从而形成了价值无限的信息流。互联网不仅实现了信https://www.jianshu.com/p/b30f9df82ef8