8月24-26日,2023CCS成都网络安全大会在成都举办,大会由四川省互联网信息办公室指导,成都市互联网信息办公室、成都高新技术产业开发区管理委员会联合主办,四川大学、电子科技大学、成都市成华区人民政府联合协办,成都无糖信息技术有限公司承办,安全419作为独家战略合作媒体对大会进行报道。
大会第三日上午,2023CCS大会金融安全论坛如期召开,该分论坛联合斗象科技共同承办,议题涵盖金融行业支付安全、数据安全、风控安全欺诈防范、合规监管、隐私保护等技术层面,汇聚业界的专家、学者、金融企业和安全团队,分享最新研究成果、实践经验和解决方案,促进金融安全领域的交流和合作。
工信部工业领域评标评审专家、民航电子技术部总助马勇首先登台,分享民航数据安全面临的挑战以及应对措施。每年大量旅客信息被窃取或泄露,其产生的诈骗问题严重影响了旅客的隐私和财产安全,数据泄漏导致的法律诉讼也急剧增多。甚至,国家安全也饱受负面影响,案例显示,一机场员工在社交网络被策反,多次截获刺探政府重要人员行程被判13年。加之人脸识别等新兴技术在民航业务中的广泛应用,带来了更严峻的风险挑战和更严苛的合规要求。
马勇分析,在整个民航旅客服务的链条中,涉及航空公司、代理人、中航信、机场、旅行社、租车平台、酒店等渠道,在整个链条中如何证实自身清白是一件非常具有挑战的工作。
其提出,按照数据全生命周期落实数据安全保护措施,主要包括:数据资产梳理—数据分类分级,编制数据目录;数据安全风险评估—识别数据生命周期中的风险;数据安全保护—应用数据加密、数据脱敏等技术;数据权限控制—结合零信任机制进行权限控制;数据风险监测—敏感数据识别以及过程风险监控;数据应急响应—数据恢复,数据安全事件应急处置。
斗象科技售前总监张亮带来题为《数字时代下金融行业攻击面评估与管理技术应用实践》的主题分享。金融机构面临着资产数据复杂管理难、攻击手段多变预警难、安全运营合规建设感知难的多重困境。现代网络攻击的最大特点就是基于大量数据的立体化攻击,对于功能堆叠或设备堆叠的传统防御体系就如同降维打击,因此需要获得攻击者的视角,进行动态的主动防御。
因此斗象科技基于智能攻击面检测与管理技术构建了APTP攻击面检测管理平台,作为一款面向企业的应用组件级攻击面检测与管理的安全平台,也是一个具备原子化能力编排的自动化渗透系统,针对网站、APP、小程序、原生应用、API等越发多样的数字应用生态,基于平台内置的应用资产安全侦查和纳管技术、动静态爬虫技术、防御设施高级对抗技术、渗透工具和自动化编排技术,对不同环境中运行的应用程序、服务组件、API等应用资产进行全面且深入的渗透、纳管和持久性安全巡航。
新网银行反欺诈高级经理王萍从联防联控的角度探讨了应对黑灰产的思路。互联网的发展,使得银行的金融服务呈现全在线、全实时、全客群特征,任何人在任何时间、任何地点都可获得信贷服务。低触及性业务模式引发大量金融欺诈问题,其中最严重的是电信网络诈骗、不法贷款中介、不良代理投诉和有组织逃废债四大类新亚型黑灰产行为。
面对有组织的黑灰产业链的蔓延,行业急需同盟形成反诈合力,信息聚合。其提出以下几点策略:
客户教育对抗——以良币驱逐劣币。主动出击,联合治理,构建客户教育宣传网络,同时构建黑灰产链接线索分享网络,联合肃清互联网不良宣传。
反电信网络诈骗——以速度对抗速度。构建实时多头信息价值分享网络,实现电诈风险的精准识别,实时拦截。
反不良代理投诉——以工具对抗工具。构建代理投诉模板信息分享平台,基于OCR和机器学习,一键识别模板投诉和材料伪造。
反不法贷款中介——以信息对抗信息差。构建全国贷款中介地域信息分享网络,实现线下中介的全覆盖监控,事前风险决策。
反有组织逃废债——以名单制对抗会员制。构建恶意逃废债蓝名单信息价值分享网络,事前拦截、事中预警、事后打击。
持安科技创始人兼CEO何艺围绕应用安全,分享了基于可信验证的应用访问安全模型。传统的被动防御模式在边界消融的现在很容易被绕过,并且网络防护仅仅解决了通道安全,但无法解决应用安全,业务存在风险。何艺认为,安全的本质是“信任”,攻击的必要条件是“访问”,如果访问来自于可信的人、设备,将可以消除大部分风险。
他在现场演示了远程办公接入场景的风险状况,将内网应用接入持安零信任平台,持续验证用户身份与行为,从根源拦截攻击者的非法请求。应用可避免直接对外提供服务,收敛了攻击面,基于可信验证,阻断一切未知人员的访问请求,拦截未知风险。
可信访问控制的逻辑是对传统安全体系的颠覆,首先是安全模式的改变,先验证、再访问,其次是对抗方式的改变,基于身份、可信对抗,信任关系也发生了改变,持续验证、永不信任,最后是防护对象的改变,基于业务来防护风险。
无糖信息售前总监陈立果在其《黑灰产下的金融风险预警防护》主题演讲中表示,涉网犯罪产业链目前分工已经非常明确,产业链上游提供技术侧能力及售卖公民数据消息等,中游以引流与实施具体犯罪行为为主,下游则为犯罪服务提供资金清洗能力。
打击涉网犯罪需要对各环节链条逐一进行精准狙击,以诈骗电话预警举例,对诈骗电话技术链条中特定的服务器网关等进行技术反制,成功后可获得精准的潜在受害人信息,根据号码或归属地可以推送属地公安机关或者关联的企业机构等进行预警、劝阻、保护。
其还分享了涉网数据的关联拓展钓鱼仿冒站点/APK的线索,外网接款码、涉诈卡等贴身肉搏的场景等等。总而言之,需要从上游的程序开始到下游的账户做全链条预警防护,针对涉网犯罪产业链条中关键的技术环节进行发现、甄别、反制,提取关键数据,把自动化的能力沉淀为针对各种网络犯罪精准狙击的业务系统。
蚂蚁集团信息安全工程师柳星带来关于数字银行数据威胁感知体系建设实践的分享。数字银行是指银行及其所有活动、计划和职能的全面数字化,需要兼顾银行级的安全和互联网的高效率,从开发环节、办公环境到业务流程都面临高危风险。风险后果集中在数据泄露,其本质在于多个层面,包含配置错误、弱口令等“简单的事做错”层面,数据未加密、未脱敏、未隔离等“重要的事没做”层面和身份冒用、接口滥用、应用漏洞等“困难的事解决不彻底”层面。
基于此,其提出的威胁感知策略引擎涵盖四层防线,生产网防线包含生产主机命令执行可信检测、数据库sql可信检测等,办公网防线涉及办公网员工画像、员工终端失陷检测、数据盗取检测、办公终端数据外发检测等,互联网边界防线覆盖由Web应用/APP/小程序等流量/邮件、VPN、OSS、SFTP等构成的边界,识别攻击者资产、意图、身份,进行安全态势的实时监控,最上层基于行业威胁情报、基础通用情报、业务威胁情报和自建威胁情报搭建互联网防线,整体形成可信纵深检测体系。
2023CCS大会金融安全论坛的成功举办,为提升金融体系服务健康发展提供了有益的探索实践,为筑牢国家金融安全体系贡献了多方智慧。