金融安全从业者 焦虑自救指南 – 作者:riversecurity

焦虑从何而来?这不是一个很容易回答的问题。 

自某大学电子信息专业毕业到银行工作,老杨已经在银行的安全岗位上工作十来年了。近几年在金融行业数字化转型与升级的大趋势下,为了维护现有用户、吸引更多新用户,提供更丰富的金融业务服务,银行前赴后继地拥抱着新技术、追赶着信息发展的潮流,无论是传统银行业的互联网业务和手机银行业务,还是移动支付、网络借贷、开放银行乃至科技银行,老杨所在的银行都没有慢下脚步。 

然而,随着人工智能、大数据、云计算、物联网等等新名词的进一步火热,与“FinTech”金融科技的新高潮一同到来的,还有老杨越来越迟的下班时间和越来越高的发际线。

image.png自救指南一:找源头

「我们银行的互联网转型基本已经完成,90%以上的金融业务都可以通过网络进行。用户当然是得到了大大的便利,许多以往需要现场排队解决的业务现在都可以在线上或者掌上处理了。然而对于我们这些金融安全从业者来说,挑战和革新同在。」

回首日常工作,老杨为他的「中年焦虑」找到了三个源头:

第一,国家对金融科技的重视程度与日俱增,从《网络安全法》到《银行业金融机构数据治理指引》,再到等保2.0的正式发布,一系列法律法规或条例的出台,都意味着金融行业的信息安全发展面临着更加严格的监管。在如今“严监管、强问责”的主旋律下,老杨上有老下有小,可不想被一封行政处罚书断了生路。

第二,网络科技的发展为针对金融领域的犯罪活动提供了温床。传统的漏洞利用、恶意扫描、注入攻击等针对网站应用的攻击方式还没完全解决,一系列融合了业务场景的新型金融安全威胁又来势迅猛,账号盗用、身份盗用、信用欺诈、薅羊毛、批量登陆和查询交易等等已经成为老杨半夜噩梦的常驻关键词。

image.png

第三,敌人在暗我在明,面对上述结合业务的新型安全威胁,已有的安全防护措施并不得力。实际上,老杨所在的银行,作为一家网点遍布全国、拥有千万个交易账户、资产总额超万亿***的大型金融机构,每年都在安全防护上持续投入,已经部署了NGFW、Web安全防火墙等安全防护措施。然而老杨的焦虑并没有因此有所消减。

由于目前银行采用的大多是以特征签名为技术基础的传统防御方式,滞后的技术原理必然会导致安全防护的局限性,在补丁没有发布或完成升级之前的空窗期,企业弱点在攻击者面前一览无余,更不用说银行内部分老旧平台根本无法及时升级的困境了。老杨不是不清楚这个情况的严重性。

而且银行拥有大量线上用户,频繁地在网站和App上进行数据查询和在线交易,正中攻击者下怀。一方面,普通用户是攻击者与银行安全博弈时的筹码;另一方面,大量普通用户又会在不知不觉中成为攻击者的掩护。借助不断演进的自动化工具,新型攻击正呈现出更加广泛化、专业化、智能化的特点,许多模拟真人、符合正常业务逻辑的恶意行为,很难被及时发现。

自救指南二:找帮手

基于这种情况,老杨和他的安全团队决定与瑞数信息展开合作,采用瑞数动态应用防护系统(Botgate),为银行网站及App应用建立全新的安全防御体系,凭借这个新帮手,来打赢安全攻防的重要一仗。

不同于被攻击者牵着鼻子走的传统防御方式,瑞数信息的防御理念是“牵着攻击者的鼻子走”,以“动态安全”和“AI智能分析”为两大核心能力,改变攻防格局,主动地牵制、制衡、迷惑攻击者,从原理上让攻击完全失效。

老杨兴奋地介绍说:这不仅是一种应对新兴应用和业务安全威胁的技术手段创新,更是一种由被动向主动、由静态向动态的整体安全攻防态势的革新。“

image.png

创新动态防御

以“动态安全”技术为核心,通过动态封装、令牌、验证、混淆、挑战等技术,凭借上亿种动态算法,隐藏可能的攻击入口,直接从来源端阻断自动化攻击;同时实现精准的人机识别,以对抗 bot、恶意爬虫等自动化工具带来的威胁。

深度人工智能

基于纵深防御的人工智能架构,有效解决纯人工智能安全方案面临的计算量大、耗资源、难建模及误报率高等难题;融入涵盖机器学习、智能人机识别、智能威胁检测、全息设备指纹等的AI技术,深入挖掘及对抗最狡狯的业务欺诈行为。

灵活攻防对抗

在提供快速、深度识别、主动防御的基础上,将传统单一的阻挡动作,转换为可编程的智能对抗,提供动态对抗和协同防御的能力,实现对应用、业务数据和交易操作更强大的保护。

自救指南三:看效果

瑞数动态应用防护系统(Botgate)上线后,老杨终于睡起了久违的安心觉。从应用层到业务层,从注册、登录、推广,到支付、营销、推广,银行的各个主要场景都由瑞数动态安全防御覆盖。俗语说“人生不如意者,十之八九”,所以老杨时常想想那些颇具效果的业务安全场景,让自己高兴高兴:

防撞库—— 

近年来频繁发生的数据外泄事件为撞库攻击者提供了大好机会。结合自动化脚本或工具,攻击者可以轻松利用被曝光和贩卖的个人身份信息,在短时间内对数百个不同的网站不断进行登录验证,攻击者假冒合法身份、建立虚假账号正变得前所未有的简单。

老杨所在银行的某业务SSO单点登录系统,在被保护的750万请求中,撞库请求比例高达21%。其中,撞库请求一半以上是通过更换代理IP(包括大量来自境外的IP),或Web_Driver、PhantomJS等高级浏览器模拟工具,甚至结合云打码平台,进行验证码绕过。

防直销电子银行账户(II、III类账户)批量注册——

目前银行将个人账户分为不同权限等级的三类账户,其中I类账户作为全功能账户,安全等级处于最高级,并有明确法律法规、高难度防护技术和高处罚力度进行保护,让黑产可望不可即。而II类、III类账户作为虚拟的电子账户,资金数量、开户难度、安全系数都逐级递减,则成为了金融欺诈的高发阵营。

老杨银行新近推出的直销银行就是以II类账户为基础,在线为客户提供一些非银行类的线上理财产品。直销银行业务上线的第一周,注册用户超过100万,且大部分都是60周岁以上的老年用户。老杨觉得不对劲,但电话回访时却大多是忙音,无法直接确认。借助瑞数动态安全防护系统,老杨发现87%的注册请求由机器批量发起,这部分注册被及时拦截并提交银行风控部门后,避免了后续养卡、套现的极大风险,保障了银行的资金、用户安全和整体业务平稳运行。

自救指南四:化焦虑为驱动力

有时候,老杨也自个儿琢磨:按说有了瑞数动态保护,少了很多烦心事。

现阶段,“动态安全”+“AI智能分析”的主动防护策略在各类新型自动化攻击及包括零日攻击在内的未知攻击面前实力强劲。不仅能够有效阻止各种自动化工具的攻击,而且不用修改应用代码,不用进行特征库及策略库的升级维护工作,连加班都少了很多。前几天老板还夸奖安全部门,说现在带宽、服务器等资源节约了,明年银行在安全评估、安全事件应急和安全运维这些应用安全方面的投入也能节约一些。

未来呢,即使安全威胁会伴随移动APP、API、物联网、云安全等渠道的快速拓展持续蔓延,瑞数信息也提供了升级版动态安全2.0解决方案来帮助银行不断延伸安全防御的边界。

但老杨偶尔还是觉得心里焦虑。

image.png

确实,我们不能否认,安全对抗的过程是将持续升级并永恒存在的。在利益驱使下,黑产和攻击者对于新技术的嗅觉只会更加敏感、应用更加迅速;对于金融安全从业者而言,持续产生关于安全威胁的焦虑感恐怕也还是正常情况。

但从更深一层来思考,焦虑存在的本身并不值得焦虑,如何在攻防格局之中占据主动权,将焦虑感化为策略升级的驱动力才是重点。而瑞数信息,也将在数字化、智能化升级的道路之上,借助“动态安全”和“AI智能”两大引擎,以业务为核心、应用为根本,提供应对自动化威胁及各类未知安全的协同防护能力和持续对抗能力,建立深度立体的应用+业务安全防护体系,为金融安全保驾护航!

来源:freebuf.com 2019-10-15 14:02:00 by: riversecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论