“金融用戶數(shù)量持續(xù)攀升，大量支付數(shù)據(jù)、個人身份信息及交易記錄等持續(xù)產(chǎn)生，這些高價值的數(shù)據(jù)資產(chǎn)容易引發(fā)黑灰產(chǎn)覬覦，安全建設面臨前所未有的新挑戰(zhàn)?！敝袊磐ㄔ涸朴嬎闩c大數(shù)據(jù)研究所所長何寶宏指出。

李濱與聶森進一步表示，當前黑灰產(chǎn)利用大模型、人工智能技術偽造信息，對金融機構(gòu)風控與業(yè)務系統(tǒng)發(fā)動攻擊的趨勢顯著上升。同時，攻擊者借助供應鏈渠道滲透的現(xiàn)象愈發(fā)常見，釣魚攻擊等傳統(tǒng)手段亦難以防范，這些均成為金融機構(gòu)安全防護的棘手難題。

“信息技術自主創(chuàng)新發(fā)展過程中的軟件供應鏈安全，已成為年內(nèi)監(jiān)管重點關注領域，如攻防演練中提及的安全左移與可信組件源等關鍵問題?！蓖踟S輝進一步解釋，業(yè)務代碼中若開源組件比例較高，一旦爆發(fā)漏洞影響將很大。另一方面，金融機構(gòu)使用外包與第三方軟件越多，也越可能存在安全漏洞引入風險，包括落實包括實時掃描、規(guī)范確立與貫徹等問題。

王豐輝指出，依據(jù) “木桶原理”，金融機構(gòu)安全水平取決于最短的安全短板，且自主創(chuàng)新過程中的安全并非單點問題，而是涵蓋芯片、服務器、操作系統(tǒng)、數(shù)據(jù)庫等多領域的全棧性挑戰(zhàn)。

在金融機構(gòu)實踐上看，全棧層面的挑戰(zhàn)也意味著更高的融合、銜接難度。李濱認為，由于安全涉及社會運營管理中所有的業(yè)務系統(tǒng)和基礎設施，維度分散且復雜度高，不同技術間的連接和融合也存在阻礙。

“金融機構(gòu)有大量的存量系統(tǒng)與數(shù)據(jù)，由于各方面的約束和限制，新舊系統(tǒng)在銜接到接入統(tǒng)一的安全體系都會遇到一系列問題，帶來較大的安全建設阻礙。這些系統(tǒng)不能簡單廢除，所以安全架構(gòu)如何保護、兼容舊系統(tǒng)與老資產(chǎn)成為關鍵?！崩顬I解釋，越是大型機構(gòu)做數(shù)據(jù)融合跟安全鏈接，越難處理系統(tǒng)銜接問題，包括兼容性、連通性的問題。

在此背景下，金融機構(gòu)構(gòu)建安全防線的關注點至關重要。王豐輝指出，金融機構(gòu)需對自身安全資產(chǎn)實施精準分類分級管理，深入洞察網(wǎng)絡邊界薄弱環(huán)節(jié)，強化內(nèi)部人員安全培訓。常見的釣魚郵件也是黑客的慣用手段。當外部難以突破時，黑客往往試圖從內(nèi)部人員入手。金融機構(gòu)必須全方位查漏補缺，才能切實筑牢安全壁壘。

金融機構(gòu)從被動響應轉(zhuǎn)向主動防御

在監(jiān)管要求與行業(yè)自身發(fā)展的雙重驅(qū)動下，金融機構(gòu)安全防護加速常態(tài)化，“治未病” 理念深入人心。

王豐輝在采訪中透露，從今年的安全演練政策可以看出，監(jiān)管在不斷地迭代和變化，金融機構(gòu)也從“被動防御”演變?yōu)橐燥L險為導向、以結(jié)果為度量的“主動防御”策略?；凇凹僭O損失”原則，假設攻擊一定發(fā)生，如何把最優(yōu)資源保護最有價值資產(chǎn)，以此推演防護框架和能力的規(guī)劃和建設。

李濱認為，金融機構(gòu)從被動響應向主動規(guī)劃轉(zhuǎn)型過程中，企業(yè)建設需構(gòu)建安全攻防態(tài)勢與防御體系的成熟度階梯。一方面，綜合檢測難度、攻擊規(guī)模、黑客攻擊趨勢等多維度因素，劃分金融機構(gòu)安全問題的等級；另一方面，甲方及管理者可設立能力成熟度表，依據(jù)設備產(chǎn)品、人員水平、安全治理流程等維度評定等級。當互聯(lián)網(wǎng)攻擊態(tài)勢低于機構(gòu)自身防御能力層級時，這可以幫助機構(gòu)判斷、有效過濾低等級攻擊。

“從騰訊安全的實踐經(jīng)驗來看，我們在與金融客戶緊密協(xié)作過程中，通過紅藍對抗主動引入攻擊者進行滲透測試，開展攻擊面與暴露面管理工作，將資產(chǎn)梳理至前沿，力求在最早時間化解潛在攻擊風險?！崩顬I補充。

聶森進一步指出，AI大模型也是金融機構(gòu)當前提升安全能力的核心驅(qū)動力，比如處理數(shù)據(jù)的分類分級管控，安全事件的分析和過濾，威脅情報的輔助分析，以及在安全事件綜合性方面等幫助很大。