“我们认为安全能力体系的建设,包括生态的建设是一个系统性的工程,要求政府、金融机构、科技企业共同参与形成合力,共同应对金融数字安全挑战。”12月6日,在2024腾讯云金融安全峰会上,腾讯云副总裁胡利明如此表示。他强调,金融行业的数字化转型高速推进和发展当中,科技更广泛应用的同时,正面临着更多前所未有的安全挑战。
该会议指出,金融行业聚集了两大要素——“钱”和“数据”,都是黑灰产和黑客的重点关注目标,国家也高度重视金融行业的数字化转型与安全建设,出台了很多安全管理法规条例。一边是复杂的安全威胁,一边是政策合规需求,金融机构要如何构建稳固的安全体系,保障业务高质量发展?这也是首届腾讯云金融安全峰会举办的初衷。
金融行业安全挑战持续升级
数字化转型速度越高,面临的安全挑战也越高,这是整个行业面临的安全共识。在本次会议上安全专家就强调,金融行业是数字化、智能化和信创的排头兵,金融科技4.0时代,随着数智化升级的加速,越来越多业务都跑在互联网上,大量新技术、新业务的发展,带来了更复杂的IT架构和快速增长的攻击面。再加上全球安全形势日益严峻,每时每刻都在发生的“持续攻击”,金融机构的安全建设必须紧密跟随业务发展进行变化和迭代。
最近,人民银行、金融监管总局等七部门联合印发了《推动数字金融高质量发展行动方案》,该方案对“数字金融”的建设作出了顶层设计和全面部署。其中重点强调了“加强数据和网络安全防护,为数字金融的创新提供安全保障。”可见,“数字安全”已经成为数字金融关键的底座工程。
金融机构拥有大量企业和个人财产数据,向来都是黑客的重点攻击目标。数据显示,最近几年有超过55%的金融机构曾遭到过勒索软件攻击,由于系统和数据的重要性,有52%的案件不得不以支付酬金而告终。加之金融机构本身就是国家最为重要的关键基础设施之一,具有针对性的APT攻击也持续不断。总体来讲,金融机构面临的网络安全挑战正日益严峻。
随着相关法律法规的出台,近年来国家正通过完善的监管体系来强化各行业面对安全威胁的处置和防护能力。安全专家在本次会议上就指出,金融行业而言正从政策到标准的双轮驱动,并从不断实践过程中持续强化自身安全的体系化建设。
体系化安全建设不断提升,但在面临具体的安全风险时,任何行业仍难免有疏漏之处。腾讯安全副总裁、玄武实验室负责人于旸在本次会议上就总结了金融行业在大型实战对抗环节中的不足之处,其中主要集中于攻击者多采用迂回攻击,安全成熟度不高的SaaS和私有化产品带来的风险,海外公司被入侵,供应链网络通路、数据和权限托管等几大方面。
可见面对不断升级的网络安全威胁,对全行业的网络安全体系化建议而言就有着更为明确的要求,安全效果也将从合规驱动为基础,并向实战驱动为外延的全方位网络安全体系化建设与能力储备为主。显然,金融行业对于自身的安全建设具有一定的行业属性优势,但仍需要借助外部资源来强化补足自身的技术能力、持续性运营能力和常态化的快速响应能力。
助力客户踏浪数字金融 腾讯安全的具体做法
安全419通过梳理本次会议腾讯安全专家的分享,总结了其针对金融行业如何构建数字金融业务安全的具体建议:
·建设高安全等级架构是第一要务
腾讯安全副总裁、云鼎实验室负责人董志强分享指出,金融业务上云,“云”是数字化的核心载体。显然,选择高安全性的云供应商则是金融业务持续稳定运行的基础。腾讯云打造了一套高安全等级架构,结合腾讯自身业务以及腾讯云租户实际需求,将该高安全等级架构能力不断打磨,打造了可信的底层、原生的能力、智能的安全运营水平,以及默认的“出厂即安全”。基于此架构,无论是腾讯自身还是云上租户,都可以为云业务构建纵深防御的体系。
如今任何一家云厂商都将安全性作为核心获客的基础能力,腾讯云也注意到安全是一场持续性的添砖加瓦和永不妥协的过程,其正通过持续性的技术补足和资源优化一方面保障自身业务的稳定运行,同时推动形成丰富的可对外输出的安全解决方案,并将“安全投入ROI最大化”作为核心原则,供客户灵活选择。
·通过腾讯云安全4+N产品体系构建纵深防御
一套行之有效的云安全产品体系,应当是云原生、易扩展、智能化的,并可适应企业业务需求构建纵深防御。针对共性和个性问题,腾讯安全推出4+N体系来为不同行业构建纵深防御,其中4对应的是数据安全、主机安全、Web应用防火墙、云防火墙等安全产品和服务化能力,N则对应不同的场景化应用。
数据安全:腾讯云数据安全解决方案依托一体化架构,产品环环相扣,可无缝支持数据安全治理工作的每个步骤。其中,核心产品如腾讯云一体化数据安全治理平台,数据安全治理中心(DSGC),云原生一体化数据保护平台(DSP)、机密计算平台(CCP)等,能够全方位地为不同客户提供细致化的数据安全管理与运营工作,满足实战安全与合规需求。当下,腾讯云数据安全解决方案当中的各个产品正运用最新的AI、自动化能力,大幅提升了企业在敏感数据识别、分类分级、风险评估和自动化运营处置效率。
主机安全:主机安全是企业基础安全的最后一道防线,也是云原生安全生态的重要一环。腾讯安全基于用户核心需求,从“预防→防御→检测→响应”四个阶段构建主机安全防护体系。腾讯云还增添了腾讯容器安全服务TCSS,从而补充了企业构建容器安全的防护体系能力,满足容器资产层面的漏洞防御、入侵检测、等保合规场景需求。依托于腾讯安全专家团队支持,腾讯云主机安全和容器安全服务的最大优势就是通过内部实践,已经证明了其产品的高安全性。
Web应用防火墙:腾讯云Web应用防火墙(WAF)可保障日常运营和重保期间的业务安全与数据安全,是企业开展线上业务建设合规安全的重要环节。通过介绍,腾讯云Web应用防火墙的性能也在不断升级,比如在金融行业场景下应用,尤为关键的就是支持更强大的弹性扩展,可承载单客户千万级QPS业务需求和攻击支持。同时支持内网CLB、公网CLB、微信网关、CDN、API网关等多样化的接入方式,更加贴合业务场景,为客户提供更加全面的防护应用能力。
云防火墙:云防火墙则被视为云上安全的第一道防线,其主要提供访问控制、入侵防御、身份认证等安全能力,可自动梳理云上资产、发现并收敛暴露面。腾讯新一代云防火墙是一款基于云原生的SaaS化防火墙,在开箱即用的基础上,集成了云原生应用程序的灵活性、扩展性、弹性和可管理性,拥有十大核心技术能力,并由腾讯天幕PaaS提供底层安全算力驱动,可有效帮助企业应对云环境下安全防护难题。从了解来看,腾讯云防火墙已针对多云环境全新升级,创新研发了DNS防火墙,并且新增了联动腾讯零信任iOA能力,引入办公网IDaaS身份管理,高效与企业内部身份系统对接,提升了运维安全同时可带来更好的全局体验。
以上是在企业云安全建设中,几乎都会面临一些共性的“基础设施安全”问题。在此基础上,腾讯安全希望通过成熟的安全产品并搭建N种行业安全解决方案,帮助企业应对不同的安全需求,为业务发展增值提效。另外尤其值得一提的是腾讯安全在业界有口皆碑的风控能力,行业领先的威胁情报能力,以及实践中不断提升的零信任解决方案、开发安全经验等,其整体能力可向多行业输出,解决不同客户不同场景下的安全问题。
实践打磨不断提升客户收益
对于具体的金融行业而言,我们可以通过会议现场安全专家介绍的数个客户实践案例来看一下他们在不同安全需求应用场景下的具体做法和收益:
(1)某证券公司构建安全防线为重保护航
该证券公司在国内设有14家分公司、265家营业部,同时在海外设有多家子公司,为满足重保安全防护需求,以业务指标监控、安全态势与风险分析与呈现、攻击告警梳理、优化建议及最佳安全实践为基础需求,引入了腾讯安全4+N金融行业安全解决方案。在重保期间云防火墙、WAF拦截超过1900万次,通过有效的防御和修复,成功阻止2万余次漏洞利用,高危命令执行通过主机安全得到阻断。
在这一案例中,客户通过腾讯安全4+N金融行业安全解决方案,构建了层层保障的纵深主动防御体系,加强了其自身的持续安全运营能力。
(2)某资管公司零信任无边界办公建设
该资管公司在国内30个省、自治区、直辖市拥有200多个证券营业部,在人员、组织众多、多分支接入等复杂网络专题下,需要更加高效、安全和灵活的接入方式为业务的持续发展提供坚实的安全保障。这也是近年来移动化办公面临的主要挑战之一,高效和安全是其关键词。
该资管公司通过采用腾讯安全零信任iOA全功能模块,保障了员工在内网办公和远程办公场景下的安全性、办公效率和使用体验。当前该公司全员使用iOA进行远程办公,实现了公司内外、多云业务的统一办公网络,员工可在任意地理位置、任意网络位置、使用任意终端在经过严格的可信授权后接入网络、访问业务,随时随地高效安全开展工作。
零信任已成为企业原有安全架构之外的一张保护网,已经有越来越多的企业意识到了零信任的价值所在,这也是该案例的核心价值点。腾讯的零信任iOA则是一款通过腾讯自身内部实践,并引领行业标准的业内最为成熟的一款零信任产品。
(3)某金融机构建设战备结合的安全体系
该金融机构是国内知名的财富管理公司,其通过引入腾讯安全威胁情报&攻击面管理能力,构建了知己知彼的主动防御体系。腾讯安全威胁情报解决方案以攻击面情报为核心,通过汇聚不同安全技术,以外部攻击者的视角对客户业务的攻击面进行持续性检测、分析研判,对暴露在互联网的服务、端口、组件、漏洞等进行纵深探测,从攻击者视角梳理客户资产并收敛攻击面,同时提供建议方案,采取措施缓解威胁和降低风险。
金融科技具有创新速度快等特点,其自身IT资产众多,这为持续的安全运营提出重大挑战。在这一案例中,金融机构的关注点是如何系统化收敛自身的攻击面,其能力搭建也是全栈风险智能化运营的关键举措。通过腾讯安全系统化方案的引入,该金融机构可以实时梳理出IT资产和安全风险所在,通过7*24小时的监测,能够第一时间解决潜在的安全风险。
(4)某基金公司开发安全案例
该案例客户为某头部基金公司,也是我国领先的金融机构之一,其注意到随着数字化转型带来金融科技的飞速发展,网络安全和数据安全问题已成为金融机构不可或缺的重要组成部分。科技创新的速度越快,这一问题的重要性也就越高,该机构也将金融科技创新的底层开发安全问题列为优先解决事项。
该机构通过引入腾讯安全软件供应链安全防护体系,如今已解决了此前频繁需要解决的开源软件治理困境、第三方组件漏洞、第三方组件带来的数据保护和隐私合规等诸多复杂性难题,并兼顾解决了金融科技创新尤其需要解决的效率和可靠性问题。“出厂即安全”,在腾讯云高安全等级架构中,多重机制保障研发安全,静态代码分析工具、新一代IAST检测工具等,以及腾讯会议DevSecOps行业领先的具体实践,都是腾讯安全软件供应链安全防护体系落地应用的可靠保障。
总结:安全重在实践
数字金融要高质量发展,其中安全是重要底座。而安全必须系统化搭建并在实践中不断优化升级,从而夯实从基础合规到实战化全面性的安全能力。腾讯作为国内最大的科技公司之一,近年来已将其云业务作为核心战略之一加速发展,腾讯安全则为其云上的社交、游戏、金融、广告等业务提供完善的安全保障,这也是其自身业务安全稳定的基础,亦是其云业务获客的基础保障。从目前来看,腾讯安全所打造的安全产品最大的优势首先是产品成熟,解决方案丰富,另外就是已通过自身业务和客户业务的多重实践证明,其整体针对业务实际场景的应用更为贴合,并且通过不断升级以满足安全技术和趋势的不断变化。