12月6日,2024首届腾讯云金融安全峰会在上海举办。这是首个聚合了腾讯金融云和腾讯安全力量举办的峰会,将金融行业CSO放到C位,充分凸显了网络安全在金融数字化建设中的重要地位,以及腾讯云对于金融云安全的期待和野心。

打开网易新闻 查看精彩图片

安全已经成为数字金融的底座工程

这场峰会的召开,恰逢中国人民银行等七部门联合印发提出“加强数据和网络安全防护”的《推动数字金融高质量发展行动方案》之际。“数字安全”已经成为数字金融非常关键的底座工程。

金融行业是数字化、智能化和信息技术创新融合的排头兵。金融行业所聚集的“钱”和“数据”,都是黑灰产和黑客的重点关注目标。随着数智化升级加速,新技术、新业务的迅猛发展,金融行业也面临着更为复杂的安全挑战。

腾讯云副总裁胡利明认为,近些年在金融行业的数字化转型高速推进,科技更广泛应用的同时,也面临着更多前所未有的安全挑战。从去年到今年,行业里面逐步出现很多结合最新AI技术的新型攻击方法,使得攻击手段越来越多,而且成本越来越低。

更令人担忧的是,这些攻击手段正在变得更加隐蔽和复杂。腾讯安全副总裁、玄武实验室负责人于旸进一步分析说,现在钓鱼攻击的手法越来越高明,从最开始野蛮粗暴地向目标用户发送诱导执行文件,逐渐转变成通过一系列复杂的社交方法取得信任;钓鱼的话术从最早很简单、很通用的场景,转变成针对每个目标的特点、背景而定制,越来越难防备。

在这种情况下,国家高度重视金融行业的数字化转型与安全建设,出台了一系列安全管理法规条例。中国信通院云计算与大数据研究所所长何宝宏在演讲中指出,随着数字金融相关政策的不断完善,构建与数字经济深度融合的金融体系成为重点,政策引导与标准制定的协同发力,合力驱动金融云安全体系持续优化与升级。

我国金融行业一边面临复杂的安全威胁,一边面临政策合规的需求。在这样的背景下,胡利明认为,数字安全已经越来越成为数字金融的底座工程,需要政府、科技企业、金融机构的共同参与,形成合力,共同应对金融数字安全的挑战。

洞察金融云安全的五大转变

安全牛观察认为,作为一个在金融云领域占有较大优势的的云厂商,腾讯云希望顺应金融数字化发展的产业机遇,因此也期望将该峰会打造成为一个有行业影响力的会议,并邀请了该领域的产学研专家、学者一起分析、研判金融安全议题。总结此次会议中嘉宾的观点,安全牛观察到了当前金融云安全的几个显著特点:

1. 从被动响应到主动防御

以往金融机构的安全建设多是被动响应,但在当前复杂的安全环境下,这种模式已经不再适用。

腾讯安全副总经理、科恩实验室专家聂森认为,虽然攻防对抗在不断提升,但金融行业对安全的重视是逐年提升,安全建设从过去以被动响应或合规遵从为主,转变到更加关注实战效果,进而以攻击者的视角进行主动防御。

他认为,具体的解决方案包括:安全左移,从需求分析、设计阶段就开始考虑安全问题;通过先进的安全工具、专业的人员和优化的工作流程的加持,收敛传统的“小白级”安全问题,从而将安全防线往前推进;通过红蓝对抗演练,主动引入攻击者进行渗透,更好地了解潜在漏洞并及时采取防护措施;实施攻击面管理和暴露面管理策略,全面梳理和评估所有IT资产,尽早识别并解决安全隐患。

2. 从单点防护到整体联防

金融行业安全建设重点正在从点到线到面,从局部到整体联防联控发展,通过联动多个安全产品功能,提高整体安全建设和安全运营方案的有效性。

腾讯金融云副总经理王丰辉在接受媒体采访时透露,他在与金融机构客户沟通过程中,发现这些客户关注的重点不再是某个产品的性能、质量如何,而是站在将安全作为唯一目标、全盘安全的视角,关注供应商怎么把所有单点安全联通起来,为统一的安全目标服务。

他进一步分析说,像金融行业这样的复杂系统,如果只是考虑单点安全,相应地购买很多安全设备,就会面临很多整合问题。因此要从顶层架构设计开始就要考虑整体安全问题。

王丰辉强调,这其中存在一个“木桶”原理,因为整体安全水平是由安全级别最低的部分所决定的,这意味着构建一个成熟的安全体系,必须进行全方位的投入,不能有明显的短板。

3. 高安全等级架构成为标配

为应对复杂多变的网络安全环境,金融机构必须不断提升自身安全架构等级,以保障业务的安全稳定运行。高安全等级架构在金融行业中成为标配的趋势日益明显。

于旸分析,尽管金融行业安全水位较高,但攻防演练中仍有机构被攻破。攻击者采用迂回攻击、利用海外分支机构或安全不成熟产品的漏洞、供应链通路等多种复杂攻击思路,攻击工具也从免费的开源单兵工具向平台化、协作化转变,并引入自动化和人工智能技术来提高效率。这些变化使得金融机构必须提升安全等级,构建高安全等级架构以应对日益复杂和智能化的攻击手段。

腾讯安全副总裁、云鼎实验室负责人董志强介绍,要达成高等级安全架构,需要具有可信的底层、原生的能力、智能的安全运营水平,以及出厂的默认安全。

高安全等级架构通过服务器硬件安全优化、可信计算技术与供应链安全保证云基础设施安全等多重机制,保障云基础设施的一体化安全。

4. 智能化自动化能力不断提升

无论是风险发现与处置、安全运营、攻防检测回溯,还是攻击手段本身,智能化自动化能力都在不断发展和强化,成为应对日益复杂安全挑战的关键力量。

董志强基于腾讯云自身实践介绍,在自动化风险发现与处置方面,腾讯集团每天能前置发现3000多个安全风险并推送给业务第一时间进行修复,并利用大模型技术对告警信息进行降噪;在安全运营能力提升方面,通过建立安全大数据分析平台,结合规则引擎制定规则,关联安全与业务产品日志,实现精准检测异常行为。

腾讯安全副总经理、云鼎实验室专家李滨介绍,腾讯安全在这几年的安全运营探索中,通过数据驱动、指标驱动来提升安全的自动化、智能化的能力,系统在接收到攻击信号时做出响应级别的响应。

5. 引入安全服务补全安全能力

何宝宏认为,随着金融业务不断向云端迁移,数据资产化程度加重,云上金融面临着如数据泄露和勒索软件攻击等新的安全威胁。为应对这些安全挑战,金融机构需要借助外部安全服务。

他分析说,金融机构通常具有多层次组网的复杂安全需求,且总部安全要求较高,引入安全服务能够发挥专业团队的优势,补全自身安全能力,实现人员、技术、服务多梯度整体安全架构,更敏捷地响应安全事件。同时,安全服务解决方案正日益成熟和标准化,能够更好地满足金融机构安全需求。

安全服务还能在大规模、深度的网络攻防演习和APT攻击等特殊时期,补全专业安全人员不足的问题。长江商业银行技术运营中心负责人薛锋介绍,其所在银行系统升级时就面临网络安全专业人才紧缺的情况,后来借助腾讯的安全服务顺利完成了升级。

腾讯云安全有几把刷子?

安全牛发现,腾讯云安全还真有几把刷子。

第一,以甲方视觉、云的能力来做安全。

王丰辉介绍,作为国内头部的云厂家之一,腾讯云在金融基础设施方面做得非常领先,并在自身的安全建设中始终坚持"假定安全问题一定会发生"的理念。在此过程中,腾讯安全为腾讯云提供了强大的安全技术和防护体系,保障腾讯云平台自身以及数百万云租户的安全。

胡利明总结认为,依托云的能力进行安全建设,使得安全产品与云平台的结合更为紧密,实现真正的云原生安全、一体化安全。

"腾讯不是一个传统的安全厂商,"王丰辉强调,"我们有自己大量的场景和业务,这在一定程度上类似于甲方安全的视角。"这种双重身份让腾讯对金融机构的安全需求有着更深入的理解。

比如,腾讯云在长期与黑灰产对抗过程中,依靠腾讯安全沉淀出的云原生高等级云安全建设架构,构建了纵深防御体系,确保云基础设施的一体化安全。

第二,产品方案已经“自我测试”。

“腾讯在被海量的攻击中,成长为防守大师。“胡利明这样描述腾讯安全业务的发展。

从1998年成立至今26年间,腾讯在做QQ、微信、财付通等业务过程中积累了大量安全攻防实战经验。如今,腾讯汇集了云鼎、玄武、科恩等多个顶级安全实验室,拥有强大的安全研发实力。

王丰辉介绍说:“我们一直坚持'自我测试'原则,所有安全的产品和服务,在输出之前都是源自于腾讯自身在业务当中的实践和淬炼,经过海量业务的验证才开放出来给各行各业并提供服务。”

他举例,腾讯云金融安全 “4+N” 体系就是腾讯安全在腾讯云平台上针对金融行业构建的一套完整的安全解决方案,充分体现了腾讯云与腾讯安全的协同作用,为金融机构上云提供了有力的安全保障。

第三,"4+N"体系已得到实战验证

腾讯安全副总裁方斌介绍,腾讯云金融安全"4+N"体系通过数据安全、主机安全、Web应用防火墙、云防火墙这4道防线,解决批量攻击、合规、安全运营等金融云上安全的“基础设施建设”问题;通过零信任网络访问、安全数据湖、金融反欺诈、小程序网关等N个场景化解决方案,帮助金融企业应对风控、业务健康性等具体的安全需求。

值得一提的是,这个体系已经在不同类型金融机构中得到验证。方斌举例,建设银行、农业银行都在广泛采用腾讯云的NDR方案,目前70%城商行都采用了腾讯云的NDR方案。

金融安全新生态正在崛起

这场峰会让人切身感受到,随着云计算的普及和安全威胁的演进,金融安全市场正在发生深刻变革。这一点正好顺应了整体的网络安全市场发展大势。

根据安全牛第十二版《网络安全企业100强》报告,以云厂商为依托的跨界安全厂商已成长为产业新生力量,正在重塑网络安全产业格局。毫无疑问,腾讯安全是其中一股非常重要的力量。

何宝宏预测,未来金融云安全将更强调标准引领、一云多芯适配,以及与已有云安全工具的深度整合。云厂商凭借在"云、网、应用"等领域的优势,正在通过"安全服务化"模式和"大整合、大集成"的方式,构建新型安全生态。

王丰辉强调,腾讯云要和众多传统的安全厂商建立合作,通过产品的适配打造联合的解决方案,最终形成全栈的安全解决方案共同服务金融机构。

来自腾讯云的信息称,腾讯云将持续联动生态各方力量,释放腾讯自身实战经验及成果共享,助力促进金融安全价值显性化,守护行业生命线。聂森透露,腾讯安全威胁情报已经以赋能者的角色,与启明星辰、天融信、锐捷网络等多家厂商的安全产品进行了商业化合作。

从单一产品供应商到生态集成者的转变,预示着金融安全市场新格局的形成。在这个新格局中,像腾讯云这样兼具技术积累和场景经验的云服务商,可能在推动金融行业数字化转型和安全建设中发挥越来越重要的作用。而对于传统的具有单一产品/功能优势的安全厂商,也需要把握发展趋势,在新的产业格局中重新定位。