編輯/子夜 古希臘神話里的西西弗斯，每天會辛辛苦苦推石頭上山，第二天石頭又會落下來，但需要把它再推上去，如此周而復(fù)始。 網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈條里的任何一環(huán)、每個角色，某種程度上也在經(jīng)歷著這個過程： 從云計(jì)算到AI到大模型，全行業(yè)數(shù)字化轉(zhuǎn)型持續(xù)深入的過程中，每一輪的技術(shù)變革中，“矛”與“盾”的持續(xù)對抗，在形式、態(tài)勢上，都在變化。 對身處其中的每個行業(yè)里的每家公司而言，安全建設(shè)都沒有終點(diǎn)，需要西西弗斯式的堅(jiān)守。 聚焦到當(dāng)下來看，伴隨著AI大模型加速落地到各行各業(yè)，其高效泛化內(nèi)容生成的特點(diǎn)，也會讓黑客以更低的門檻和成本，發(fā)動更密集的攻擊，防守方則需要更縝密的邏輯關(guān)聯(lián)、更精確的溯源能力，等等。比如AIGC的迅猛發(fā)展衍生出來的AI欺詐、AI仿冒等問題，也成了很多企業(yè)新的痛點(diǎn)。 這一背景下，企業(yè)在AI時代，該如何更好地應(yīng)對不斷變化的安全挑戰(zhàn)？ 金融行業(yè)在安全建設(shè)上的趨勢、挑戰(zhàn)、實(shí)踐、路徑和思考，尤為值得探討——金融行業(yè)一邊是走在數(shù)字化變革最前沿的領(lǐng)域，另一邊也是對安全風(fēng)險(xiǎn)容忍度最低、對安全合規(guī)要求最高的行業(yè)。 12月6日，騰訊云舉辦了2024首屆騰訊云金融安全峰會，參會嘉賓包括了數(shù)字金融機(jī)構(gòu)、商業(yè)銀行、資管機(jī)構(gòu)等企業(yè)安全技術(shù)的負(fù)責(zé)人，多方共同探討了不同業(yè)務(wù)場景下的金融安全建設(shè)實(shí)踐。 在這次峰會上，連線Insight注意到，隨著技術(shù)的不斷變革，金融行業(yè)的安全挑戰(zhàn)，呈現(xiàn)出了不同的態(tài)勢，在金融行業(yè)的安全建設(shè)上，以騰訊為代表的互聯(lián)網(wǎng)廠商，也沉淀出了一些新思考，并加速探索企業(yè)安全建設(shè)新路徑。 1、從攻防演練新態(tài)勢，看金融行業(yè)的安全挑戰(zhàn) 過去數(shù)年，金融行業(yè)面臨著相對更高的安全風(fēng)險(xiǎn)。 一方面，金融行業(yè)離“錢”更近，更敏感，也就更容易被不法分子“盯上”； 另一方面，由于業(yè)務(wù)場景更多、個體或單位使用金融服務(wù)的頻率更高、數(shù)據(jù)資源更豐富，此前大數(shù)據(jù)、云計(jì)算等技術(shù)加速產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型時，金融行業(yè)也走在前列。包括數(shù)字化營銷、個性化推薦與精準(zhǔn)服務(wù)、風(fēng)控模型的建立與完善、資源的整合及利用等等，都離不開大數(shù)據(jù)和云計(jì)算。 這一過程中，更大規(guī)模的組織上云、數(shù)據(jù)上云、業(yè)務(wù)上云，乃至供應(yīng)鏈上云，其實(shí)也滋生了新的安全挑戰(zhàn)。 原因在于，在全行業(yè)數(shù)字化轉(zhuǎn)型時，新技術(shù)的出現(xiàn)總有兩面性。 一面是技術(shù)的賦能作用，它讓效率更高、讓成本更低、也讓安全水位更高；另一面則是，在不法分子的手里，這些技術(shù)又會成為他們豐富、強(qiáng)化攻擊手段與方式的工具。 尤其是在當(dāng)下，金融行業(yè)正處在新一輪技術(shù)推動數(shù)字化縱深的周期中——云計(jì)算從1.0階段的金融信息化、2.0階段的互聯(lián)網(wǎng)金融、金融科技，過渡到3.0階段的金融與科技的深度融合后，如今正加速邁向4.0階段，數(shù)字金融。 這背后，云原生生態(tài)的不斷擴(kuò)大、AI技術(shù)的加速變革和應(yīng)用，一定程度上拓寬了持續(xù)數(shù)字化的想象力，但同時也在加劇金融安全風(fēng)險(xiǎn)。 來看兩個實(shí)際的案例。 今年1月，香港某跨國公司的財(cái)務(wù)員工，被騙子利用Deepfake換臉技術(shù)冒充公司CEO進(jìn)行視頻會議后，被詐騙了2500萬美元；今年5月，某跨國貿(mào)易公司的一名職員，收到仿冒為英國總公司CFO的WhatsApp信息，期間深偽技術(shù)生成的“假上司”指示這名職員將近400萬港元轉(zhuǎn)款至一個本地賬戶。 2024首屆騰訊云金融安全峰會上，騰訊安全副總裁、玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸也從技術(shù)視角出發(fā)，進(jìn)一步解析了當(dāng)前金融行業(yè)面臨的攻防對抗態(tài)勢變化。 騰訊安全副總裁、玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸 他認(rèn)為，通過迂回攻擊、曲線攻擊繞過企業(yè)現(xiàn)有防御網(wǎng)絡(luò)，或通過供應(yīng)鏈通路、數(shù)據(jù)托管、權(quán)限委托等單點(diǎn)上形成突破口，進(jìn)而威脅到企業(yè)數(shù)字資產(chǎn)，是近年來攻防演練呈現(xiàn)出的新“脆弱點(diǎn)”。 此外，在攻擊工具上，也有新變化。 “一開始大家用一些開源工具免費(fèi)工具，一般來說這些工具都是單兵工具，就是‘步槍’‘手槍’。這些年一來是每個攻擊隊(duì)都開始開發(fā)工具，二來是這些工具也在轉(zhuǎn)向平臺化、協(xié)作化，變成‘航空母艦’了。而且隨著平臺化水平的提高，可以很大程度上提高整個攻擊隊(duì)的水平?！庇跁D如此說道。 他進(jìn)一步介紹，這些平臺也可以通過引入自動化技術(shù)，乃至AI技術(shù)、大模型技術(shù)，來進(jìn)一步提高攻擊效率。 與此同時，中國信通院云計(jì)算與大數(shù)據(jù)研究所所長何寶宏提到，近些年，金融云的安全威脅也在加劇，集中體現(xiàn)為兩大挑戰(zhàn)。 第一個挑戰(zhàn)是，隨著數(shù)字金融用戶的持續(xù)增加，云端金融風(fēng)險(xiǎn)在持續(xù)攀升。 第二個挑戰(zhàn)則是，高價值資產(chǎn)頻遭數(shù)據(jù)泄露和勒索軟件攻擊，暴露出金融機(jī)構(gòu)在數(shù)據(jù)安全、系統(tǒng)安全和隱私保護(hù)等方面尚存在短板。 比如今年10月，某家互聯(lián)網(wǎng)金融機(jī)構(gòu)，大量用戶通訊錄信息被泄露，包括聯(lián)系人姓名、號碼等等；今年1月，某家金融公司遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致130萬客戶數(shù)據(jù)泄露，等等。 不難發(fā)現(xiàn)，當(dāng)下金融行業(yè)的安全形勢，在變得日益嚴(yán)峻。 對金融機(jī)構(gòu)而言，數(shù)據(jù)流轉(zhuǎn)的加速、業(yè)務(wù)關(guān)聯(lián)性的加深、系統(tǒng)規(guī)模的擴(kuò)大和迭代頻率的提升、日益復(fù)雜的訪問主體、場景和行為、金融業(yè)務(wù)的邊界拓展，等等，幾乎每一個環(huán)節(jié)，都存在潛在的安全隱患。 2、化被動為主動、從單點(diǎn)到立體，金融安全“1”比“0”更關(guān)鍵 上述背景下，金融行業(yè)的安全建設(shè)，到底該怎么做？ 面對當(dāng)前無孔不入的安全挑戰(zhàn)，金融行業(yè)的安全建設(shè)，需要的是更立體式的防御機(jī)制，而不是單點(diǎn)式去發(fā)現(xiàn)問題、解決問題，也需要更主動性的安全建設(shè)理念，而不是“等問題出現(xiàn)再解決”。 今年11月27日，中國人民銀行等七部門聯(lián)合印發(fā)了《推動數(shù)字金融高質(zhì)量發(fā)展行動方案》，其中提到，到2027年底，要基本建成與數(shù)字經(jīng)濟(jì)發(fā)展高度適應(yīng)的金融體系。 在這背后，金融云安全體系，是保障金融服務(wù)安全性、支撐數(shù)字金融生態(tài)繁榮與發(fā)展的底層支撐。 對云廠商和安全廠商而言，安全產(chǎn)品如何與云平臺實(shí)現(xiàn)緊密結(jié)合，實(shí)現(xiàn)真正的云原生安全、一體化安全，正是金融云安全體系持續(xù)優(yōu)化和升級的一個關(guān)鍵。 結(jié)合這幾點(diǎn)，在這次峰會上，連線Insight觀察到，騰訊在金融領(lǐng)域的安全實(shí)踐，提供了一個思路。 簡單拆解，騰訊云和騰訊安全的實(shí)踐，可以從兩個層面來看： 一方面，是保障云平臺本身的安全穩(wěn)固，為金融行業(yè)提供高效的一體化安全供給。 騰訊安全副總裁、云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)表示，基于騰訊云平臺過去多年在合規(guī)建設(shè)、安全防護(hù)、安全運(yùn)營等方面的經(jīng)驗(yàn)，騰訊云將自身安全建設(shè)的經(jīng)驗(yàn)沉淀成了一套新理念——高安全等級架構(gòu)。 騰訊安全副總裁、云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng) 這也是騰訊云安全建設(shè)的思路和目標(biāo)?！拔覀兿Ｍ?，通過更高安全等級架構(gòu)這樣的思路，倡導(dǎo)所有團(tuán)隊(duì)能夠?yàn)榱诉@樣的目標(biāo)去努力。”董志強(qiáng)如此說道。 他進(jìn)一步介紹，企業(yè)要想達(dá)成高等級的安全架構(gòu)，需要具有可信的底層、原生的能力、智能的安全運(yùn)營水平，以及出廠的默認(rèn)安全。 基于此，騰訊云自下而上，為云業(yè)務(wù)自身和租戶安全，都構(gòu)建起了縱深防御的體系，沉淀出了一套具備可復(fù)制性的、云原生的高安全等級架構(gòu)，通過服務(wù)器硬件安全優(yōu)化、可信計(jì)算技術(shù)與供應(yīng)鏈安全保證云基礎(chǔ)設(shè)施安全等多重機(jī)制，來保障云基礎(chǔ)設(shè)施的一體化安全。 另一方面，則是在產(chǎn)品維度，騰訊安全整合構(gòu)建了“4+N”體系，為所有私有云、公有云、混合云等不同業(yè)務(wù)形態(tài)客戶提供全面的產(chǎn)品供給。騰訊安全副總裁方斌介紹，騰訊安全的獨(dú)特優(yōu)勢，是在情報(bào)能力的基礎(chǔ)上，基于四道防線逐級增加防御節(jié)點(diǎn)，再進(jìn)一步擴(kuò)展到N個業(yè)務(wù)外延，實(shí)現(xiàn)基礎(chǔ)安全和業(yè)務(wù)安全的同步提升。 騰訊安全副總裁方斌 其中，“4”指的是“數(shù)據(jù)安全、主機(jī)安全、Web應(yīng)用防火墻、云防火墻”這四道防線，指向的是通用安全，希望解決的是企業(yè)面臨的在批量攻擊、合規(guī)、安全運(yùn)營、復(fù)雜攻擊等方面的問題； “N”指向的則是場景化安全，面向不同行業(yè)提供針對性更強(qiáng)的特色化解決方案。比如面向金融行業(yè)，騰訊安全提出了“防AI仿冒可信身份解決方案”“金融反電詐解決方案”“金融風(fēng)控大模型”“零信任網(wǎng)絡(luò)訪問”“安全數(shù)據(jù)湖”“小程序網(wǎng)關(guān)”等等場景化解決方案。 圖源騰訊安全官方微信公眾號 目前，騰訊云金融安全這套“4+N”體系，正加速在金融行業(yè)落地。 比如，某具有百年歷史的某集團(tuán)旗下的證券公司，通過安全體檢和這四道安全防線，搭建起了安全有效、平臺+戰(zhàn)略結(jié)合的縱深防護(hù)體系，提升了安全運(yùn)營水平。 據(jù)騰訊云介紹，重保期間，云防火墻、WAF幫助客戶攔截了超過1900萬次攻擊。 與此同時，期間這四道防線幫助客戶發(fā)現(xiàn)了1977個漏洞，阻止了2萬余次漏洞利用，同時有1190次高危命令執(zhí)行通過主機(jī)安全得到了阻斷。 再比如，某資管公司在中國大陸30個省、自治區(qū)、直轄市擁有200多個證券營業(yè)部，在人員、組織眾多、多分支接入等復(fù)雜的網(wǎng)絡(luò)場景下，遇到了在遠(yuǎn)程辦公上的安全和效率挑戰(zhàn)。 在和騰訊安全的合作中，這家資管公司采用了騰訊安全的零信任iOA全功能模塊，保障了員工在內(nèi)網(wǎng)辦公或遠(yuǎn)程辦公場景下的安全性、辦公效率和使用體驗(yàn)。 其中，騰訊安全重點(diǎn)以iOA殺毒管控模塊，實(shí)現(xiàn)了對國外Symantec這一終端安全軟件的替換，安全合規(guī)數(shù)據(jù)作為零信任訪問引擎的決策數(shù)據(jù)源，全面動態(tài)來判斷訪問的可信狀態(tài)，以一個客戶端軟件，解決了之前多個客戶端才能達(dá)到的安全防護(hù)。 結(jié)合上述幾點(diǎn)，不難發(fā)現(xiàn)，騰訊做安全，其實(shí)正是在依托云的能力進(jìn)行安全建設(shè)，由此來保障安全產(chǎn)品與云平臺實(shí)現(xiàn)緊密結(jié)合。 而無論是面向金融行業(yè)安全建設(shè)的思考和路徑，還是產(chǎn)品或解決方案，都源自騰訊自身的實(shí)踐—— 從早些年QQ時代為了保護(hù)用戶自主研發(fā)出首個反病毒引擎TAV，到后來在更多的“自我測試”中積累下來天幕（網(wǎng)絡(luò)入侵防護(hù)）、御界（高級威脅檢測）、東風(fēng)（溯源反制）等產(chǎn)品，再到如今AI、大模型技術(shù)浪潮下的最新安全探索，在網(wǎng)絡(luò)安全這件事上，騰訊已經(jīng)積累了超過20年的經(jīng)驗(yàn)。 3、金融安全新常態(tài)：合作才能帶來更大共贏 2022年7月2日，美國邁阿密一家叫Kaseya的網(wǎng)絡(luò)軟件公司，遭遇了一群自稱“REvil”的俄羅斯黑客發(fā)起的攻擊，對方利用Kaseya的VSA軟件中的幾個漏洞來傳輸勒索軟件。 短短三天時間后，應(yīng)用這一軟件的100多萬臺電腦受到感染，瑞典最大的連鎖超市之一Coop，因供應(yīng)商Visma被攻擊，導(dǎo)致其在全球的近800家門店，不得不暫停營業(yè)。 這是全球范圍內(nèi)迄今為止發(fā)生的最大的一次供應(yīng)鏈攻擊事件。 從這起案例不難發(fā)現(xiàn)，現(xiàn)如今網(wǎng)絡(luò)安全的建設(shè)早已牽一發(fā)而動全身，圍繞網(wǎng)安建設(shè)，沒有一家企業(yè)應(yīng)該心存僥幸。 聚焦到金融行業(yè)來看，數(shù)字金融時代的安全體系建設(shè)，其實(shí)也并非一家或幾家科技企業(yè)、一家或幾家金融機(jī)構(gòu)就能推動實(shí)現(xiàn)的。 當(dāng)前態(tài)勢下，安全廠商與金融機(jī)構(gòu)，尤其是大規(guī)模金融機(jī)構(gòu)的關(guān)系，亟待升級。原因在于，他們之間的合作，并非一個簡單的產(chǎn)品交付和服務(wù)交付的過程。 比如騰訊安全副總經(jīng)理、云鼎實(shí)驗(yàn)室專家李濱向連線Insight表示，越大的金融機(jī)構(gòu)，在做數(shù)據(jù)融合、做安全鏈接時，可能越容易碰上棘手的難題。 一方面，金融機(jī)構(gòu)存在大量的存量系統(tǒng)、數(shù)據(jù)，安全廠商在輔助他們做安全建設(shè)時，這些系統(tǒng)一來不能簡單地廢除掉，二來基于這些老的資產(chǎn)、舊的系統(tǒng)，在技術(shù)和新系統(tǒng)之間從銜接到接入時也存在難度。 另一方面，金融安全建設(shè)，涉及到幾乎所有的業(yè)務(wù)系統(tǒng)、基礎(chǔ)設(shè)施，維度高度分散，復(fù)雜度高，給技術(shù)連接和融合也帶來了難題。 如何更好地應(yīng)對這些挑戰(zhàn)？一個解法是，安全廠商和金融機(jī)構(gòu)，需要跳出過去單一的“甲乙方”的視角，而是溝通前置、鏈接做深、風(fēng)險(xiǎn)共擔(dān)、安全共建。 某種程度上，這也反映了騰訊在安全能力建設(shè)上的理念。 騰訊金融云副總經(jīng)理王豐輝向連線Insight表示，對大的金融機(jī)構(gòu)而言，他們本身有比較龐大的安全團(tuán)隊(duì)，有安全專家，也會去做各種頂層的設(shè)計(jì)、架構(gòu)的設(shè)計(jì)，甚至在專業(yè)性上不一定弱于安全廠商，但安全廠商還是需要和金融機(jī)構(gòu)有關(guān)于安全建設(shè)的交流和探討。 因?yàn)橐暯遣灰粯印? “金融機(jī)構(gòu)的視角里，他們更多會聚焦到做自己的業(yè)務(wù)，在騰訊的視角里，我們會做安全產(chǎn)品、服務(wù)..……大家實(shí)際上是一個共建的過程，在交互中一起迭代和進(jìn)步，這也是我們能夠和他們?nèi)〉霉沧R的一個點(diǎn)?！蓖踟S輝進(jìn)一步表示。 長遠(yuǎn)來看，騰訊在安全建設(shè)上的這一理念，有望加速成為行業(yè)共識。 騰訊云副總裁胡利明 “我們認(rèn)為，安全能力體系的建設(shè)，包括生態(tài)的建設(shè)是一個系統(tǒng)性的工程，需要政府、科技企業(yè)、金融機(jī)構(gòu)的共同參與，形成合力，共同應(yīng)對金融數(shù)字安全的挑戰(zhàn)。”騰訊云副總裁胡利明如此說道。