新浪财经讯 中国互联网金融论坛·天津于家堡峰会暨中国互联网金融协会天津入驻仪式于12月8日在天津举办。360企业安全集团总裁吴云坤发表了主题,他在中谈到,对互联网公司来说,所有的大数据集中风险非常高,而互联网金融很重要的特点,就是整个使用受众非常广。人是安全的尺度,如果我们解决部门之间的问题,内部打通的问题,解决数据打通的问题和规则,通过一些管理制度,才能真正实现解决新的科技带来的金融安全的问题。
吴云坤:尊敬的李会长、王副理事长、纪司长、李司长还有郑主任、陆秘书长,今天非常荣幸参加互金协会入驻天津的仪式,包括这样一个峰会。360大家都接触到,360跟金融的关系经历了三个阶段,第一个阶段360其实有很多个人安全的产品,了很多个人用户在做金融交易时候的安全。在2011年之后,360进入了第二个阶段,我们开始做企业安全,尤其是和我们很多的金融机构做安全的交流,提供产品和服务。我们在监管机构也提供了数据分析的算法包括技术支持。到了第三个阶段360提供了金融产品,经历了这样三个阶段,今天想跟大家分享一下,我们在新科技跟金融相结合的时候一些感想,在这个过程中一些实践的经验。
刚才很多领导和专家提到了数字经济尤其是新IT技术跟金融结合,这里面有很多新的技术,我自己看到了三个,第一点就我们互联网公司来说,所有的大数据集中风险非常高,大家可以看到,从互联网发展到现在,很多互联网公司到现在出现了非常多的泄漏,包括境内境外,跟过去使用的大数据技术有很多数据有着很大的关系。
另一方面,互联网金融有着很重要的特点,整个使用受众非常广,而且不是在柜台操作,很多时候为了方便用手机,包括未来像IOT设备都包括在其中,我们在上海做一个智慧警务的时候,常保密的网络,但是智慧警务要求在所有的上海的安检,人走过的时候就要完成安检的过程,这跟我们现在的整个互联网金融非常像,他们原来封闭的内网必须打通,必须跟外面的物理世界的传感器连接在一起,实现金融科技的发展。再加上很多互金企业和很多大银行不太一样,又很多开发都需要外包,造成了我们的代码使用的开源的系统,包括这个过程中使用了非常多的外包商,这些外包商的安全问题该怎么解决?
这些问题对于我们来说,是一个非常大的挑战。但任何的安全问题,首先要回答一个问题是谁是你的对手?从安全角度来说,尤其是对金融来说,对手有三类,我们说是3+1,第一类叫大盗、第二类叫小偷,第三类叫内鬼,+1指的是对手,因为互金有很多竞争对手也利用网络安全整个市场秩序。这里对于大盗来说很多是国家级的,这里面有一个SWIFT安全事件,我们发了两份报告,还有一份自己内部报告,都提到了一个过程,在最近的五年内有专门一个组织偷国外央行的钱,最大一笔是8100万美元,主要是针对SWIFT系统,过程中创建了很多高级木马,跟金融业务非常相关。比如说我们打印一个交易,感染了打印机,这种交易根本打印不出来,甚至用PDF呈现交易的情况,感染了PDF浏览器,使得这些交易根本不在PDF上呈现,为什么叫大盗,他掌握的资源非常多,针对都常重要机构,造成的风险一次可能影响会非常巨大。
针对这些对手我们有四个假设,我们经常谈到金融安全的时候,也许觉得死守已经做得很好了。第一个假设一定会有漏洞,无论是系统还是业务,刚才沈院士提到用可信来它,这里面有很多好的方法去做实践。第二个漏洞都会被修复,无论是业务还是系统的。第三个系统假设已经被渗透了,不太可能说系统没被渗透从现在开始再做安全。最后是很多内部人员不可靠。很多案例当中我们都看到,其实内部人员包括供应商包括我们所用开源软件,都存在一定的问题。
而这样一些问题我们需要改变一个思,今天提到了新安全跟新科技合在一起的时候思怎样改变呢?过去做了很多安全的工作,尤其是对于网络安全金融机构非常重视,经常用这样一个窗口来描述演进的过程,第一阶段和第二个阶段是强身健体,比如说应用加密问题、链问题、口令问题、日志的问题都叫强身健体,不用上任何的设施,靠应用自身防御就可以做非常多工作了。第二个叫被动防御,是通过防火墙等手段了,过去很多合规要求中都提到的。但是金融尤其到新科技时代我们发现,技术发展太快了,如果每一次都死守,每一次遇到问题的时候规则的时候,很多时候业务都会受到非常大的影响。另一方面我们会看到很多未知的,不是我们所能掌握的,第一第二阶段其实经常出现的是已知的,比如上网规则和上网风控的手段,这些都是常见的。假设我们系统已经被渗透了,内部人员不可靠,更重要的方式是检测和响应。
比如家里装了摄像头分析异常行为,这些是网络和终端行为,也可能是一次业务的行为,而这种行为背后可能会有一些情报提供给我们,比如说或者安全公司的情报,可以回过头让我们看一看到底有什么问题。有人说最后一个阶段是先发制人,说反制,不用,其实这个过程也在使用。有一个银行我们帮他做了一个方法非常好,我们帮他创建了一个账号,是门的,在网上问谁能帮我查安全数据,最后有人搭讪了,可以提供安全数据,拿到数据再回过头来查内部的问题,发现了一些潜在的。从这发现整个安全的思发生了很大的变化,我们从过去的死守过渡到了检测响应的阶段,不仅是一次要防范住,更重要的是要知道到底是谁进来了,有着怎么样的能力,目标是什么,动机是什么,这是一种思的转变。
今天我们提到数据驱动,能帮我们很多忙,我们经常提到讲安全的时候跟打仗一模一样,我们要知道武器、敌情对手是谁,知道我情我方是什么,这样才能提升我们的作战方案,同时还有人力的问题。
首先看大盗的问题,对于大盗的防范如何做呢?这是我们在2016年1月份发现的一个,这个组织存在了十年,在一些小型的报告中提到过类似的问题,小型报告中一般说一个恶意软件发生,我们被清除。已经发现为什么还存在十年?我们干掉的只是一次而已,但并没有真正解决问题,这个组织背后有四个小组织构成的,比如说写木马,做免杀的,做植入的,很多是内部的人员,还有植入以后拿到很多买卖信息、交易的信息再去做杠杆操作的人。
对于我们来说,通过跟机构配合,发现背后的东西,今年这个组织已经被抓获了,这样一个事件才算最终。对于大盗防一次并没有用,研制他的手法也没有用,为什么?这个组织十年中用了四千多款木马,只有通过蛛丝马迹查他的各种各样的手段,看看组织背后的能力才能知道整体的情况。
我们发现对于大盗来说更多的是组织发现就是掌握敌情,对于内鬼来说不是,不可能整天研究内鬼的行为,因为没有那么多内鬼发现。对于金融机构更多地是描绘正员的行为模式,怎么网络,上班时间、打卡时间等等,重点是在描绘我们的人是什么样,正常的人是什么样,回头来看到底是什么样的违规。这样的违规对于很多金融机构来说非常多,尤其是现在的个人信息买卖中涉及到很多的内部人员,跟防大盗的方法不一样。
再到小偷,小偷是研究的战法,总会有一些外部欺诈的组织出现,而且层出不穷,不可能就一个组织研究,也不可能就储户研究,这里更多地是用情报机制,我们的数据信息分析方面研究经常诈骗的手法,获得这次才能从整体上系统性地打击一系列的组织,所以无论是从敌情、我情、战法的应用都依赖于大数据技术,依赖于我们过去数据积累、包括技术以及分析人员。
不管这三个案例是怎么样的一个业务场景,最后落到就是人员,技术和数据,有一个经常注意的点,第一个点是数据的问题,我们在很多金融机构服务的时候发现很多数据是孤立的沉睡的,应用有很多的数据,但是科技部门拿不到,很多做安全的拿不到在业务口上,第二是数据产生很多,真的叫大数据,但从来没有人分析。还有这次数据没有引入外部的一些数据,只是在体系内进行研究,可是外部的情据对于我们来说非常重要。
研究完很多数据我们发现很多问题,比如说字段不够或者是没有记录,对于我们的业务数据可以反馈,回到第一个重点方面我们采集了非常多的数据,对于我们非常有用,但是机构当中并没有被打通,尤其是被安全所用。就以终端数据来说,防内部来说是应用日志进行防控,对于每一个重点人员都可以看到日常行为,比应用日志更直接、更全面,数据维度可以从网络层面、业务层面、终端层面放在一起才能发挥作用。
另一方面从技术角度来说,刚才讲的很多案例是从数据挖掘来说的,金融机构问我们如果你今天离开了是不是挖不了所谓的内鬼或者大盗、小偷了,这里面有一些普事性的问题出现,过去是挖掘技术是精英使用的,并没有普惠的方式让很多人使用,这个时候无论是建模也好,还是做很多算法也好,能不能把这些东西转成业务人员稍懂技术的就能掌握呢?
最后一点也是安全行业最重要的,我们说人是安全的尺度,这是为什么?说实话所有案例中,无论是大盗还是泄密案例,还是系统,包括小偷等等,他们的配合常好的,从进攻方来说懂业务、懂数据、懂攻防的人有很多线下资源配合非常好,是从商业链条进行配合,甚至有一个虚拟组织来组织他们,他们彼此也许不认识。从防方来讲,我们从数据挖掘,攻防,包括是分布在不同的部门,没有一个牵头的机构把这些整合在一起,去防竞争对手、大盗、内鬼、小偷的,每一个业务都在做自己的防范风险问题,数据没打通、能力没打通、人员没打通,所以人是安全的尺度,如果我们解决部门之间的问题,内部打通的问题,解决数据打通的问题和规则,通过一些管理制度,才能真正实现解决新的科技带来的金融安全的问题。
我们看到明年会出现一个大的问题主要是供应商方面,在全球所有的金融机构遭受风险的时候,我们发现供应商是很大的一个风险点,包括供应链,包括代码,已经产生了一些恶意植入,所谓的开源系统,一些代码植入到了开源系统里面去,最后用开源时候一定会有一些漏洞或者后门,这些漏洞已经被植入进去了。所以对供应商也好或者植入代码,它的管理成为一个新的关键,这就是我今天的整个,谢谢大家!
延伸相关词:
陈小艺被曝姐弟恋,倒追小伙被当保姆,陆贞传奇演员表,人鱼情未了 电视剧,莫小棋三级,保拉的诱惑,李慧珍老公,luciano rivarola,如意剧情介绍电视猫,电视剧当狗爱上猫