技術變革視角下的金融安全：新挑戰(zhàn)、新路徑、新常態(tài)

文/陳鋒

編輯/子夜

古希臘神話里的西西弗斯，每天會辛辛苦苦推石頭上山，第二天石頭又會落下來，但需要把它再推上去，如此周而復始。

網絡安全產業(yè)鏈條里的任何一環(huán)、每個角色，某種程度上也在經歷著這個過程：

從云計算到AI到大模型，全行業(yè)數(shù)字化轉型持續(xù)深入的過程中，每一輪的技術變革中，“矛”與“盾”的持續(xù)對抗，在形式、態(tài)勢上，都在變化。

對身處其中的每個行業(yè)里的每家公司而言，安全建設都沒有終點，需要西西弗斯式的堅守。

聚焦到當下來看，伴隨著AI大模型加速落地到各行各業(yè)，其高效泛化內容生成的特點，也會讓黑客以更低的門檻和成本，發(fā)動更密集的攻擊，防守方則需要更縝密的邏輯關聯(lián)、更精確的溯源能力，等等。比如AIGC的迅猛發(fā)展衍生出來的AI欺詐、AI仿冒等問題，也成了很多企業(yè)新的痛點。

這一背景下，企業(yè)在AI時代，該如何更好地應對不斷變化的安全挑戰(zhàn)？

金融行業(yè)在安全建設上的趨勢、挑戰(zhàn)、實踐、路徑和思考，尤為值得探討——金融行業(yè)一邊是走在數(shù)字化變革最前沿的領域，另一邊也是對安全風險容忍度最低、對安全合規(guī)要求最高的行業(yè)。

12月6日，騰訊云舉辦了2024首屆騰訊云金融安全峰會，參會嘉賓包括了數(shù)字金融機構、商業(yè)銀行、資管機構等企業(yè)安全技術的負責人，多方共同探討了不同業(yè)務場景下的金融安全建設實踐。

在這次峰會上，連線Insight注意到，隨著技術的不斷變革，金融行業(yè)的安全挑戰(zhàn)，呈現(xiàn)出了不同的態(tài)勢，在金融行業(yè)的安全建設上，以騰訊為代表的互聯(lián)網廠商，也沉淀出了一些新思考，并加速探索企業(yè)安全建設新路徑。

1、從攻防演練新態(tài)勢，看金融行業(yè)的安全挑戰(zhàn)

過去數(shù)年，金融行業(yè)面臨著相對更高的安全風險。

一方面，金融行業(yè)離“錢”更近，更敏感，也就更容易被不法分子“盯上”；

另一方面，由于業(yè)務場景更多、個體或單位使用金融服務的頻率更高、數(shù)據資源更豐富，此前大數(shù)據、云計算等技術加速產業(yè)數(shù)字化轉型時，金融行業(yè)也走在前列。包括數(shù)字化營銷、個性化推薦與精準服務、風控模型的建立與完善、資源的整合及利用等等，都離不開大數(shù)據和云計算。

這一過程中，更大規(guī)模的組織上云、數(shù)據上云、業(yè)務上云，乃至供應鏈上云，其實也滋生了新的安全挑戰(zhàn)。

原因在于，在全行業(yè)數(shù)字化轉型時，新技術的出現(xiàn)總有兩面性。

一面是技術的賦能作用，它讓效率更高、讓成本更低、也讓安全水位更高；另一面則是，在不法分子的手里，這些技術又會成為他們豐富、強化攻擊手段與方式的工具。

尤其是在當下，金融行業(yè)正處在新一輪技術推動數(shù)字化縱深的周期中——云計算從1.0階段的金融信息化、2.0階段的互聯(lián)網金融、金融科技，過渡到3.0階段的金融與科技的深度融合后，如今正加速邁向4.0階段，數(shù)字金融。

這背后，云原生生態(tài)的不斷擴大、AI技術的加速變革和應用，一定程度上拓寬了持續(xù)數(shù)字化的想象力，但同時也在加劇金融安全風險。

來看兩個實際的案例。

今年1月，香港某跨國公司的財務員工，被騙子利用Deepfake換臉技術冒充公司CEO進行視頻會議后，被詐騙了2500萬美元；今年5月，某跨國貿易公司的一名職員，收到仿冒為英國總公司CFO的WhatsApp信息，期間深偽技術生成的“假上司”指示這名職員將近400萬港元轉款至一個本地賬戶。

2024首屆騰訊云金融安全峰會上，騰訊安全副總裁、玄武實驗室負責人于旸也從技術視角出發(fā)，進一步解析了當前金融行業(yè)面臨的攻防對抗態(tài)勢變化。

騰訊安全副總裁、玄武實驗室負責人于旸

他認為，通過迂回攻擊、曲線攻擊繞過企業(yè)現(xiàn)有防御網絡，或通過供應鏈通路、數(shù)據托管、權限委托等單點上形成突破口，進而威脅到企業(yè)數(shù)字資產，是近年來攻防演練呈現(xiàn)出的新“脆弱點”。

此外，在攻擊工具上，也有新變化。

“一開始大家用一些開源工具免費工具，一般來說這些工具都是單兵工具，就是‘步槍’‘手槍’。這些年一來是每個攻擊隊都開始開發(fā)工具，二來是這些工具也在轉向平臺化、協(xié)作化，變成‘航空母艦’了。而且隨著平臺化水平的提高，可以很大程度上提高整個攻擊隊的水平?！庇跁D如此說道。

他進一步介紹，這些平臺也可以通過引入自動化技術，乃至AI技術、大模型技術，來進一步提高攻擊效率。

與此同時，中國信通院云計算與大數(shù)據研究所所長何寶宏提到，近些年，金融云的安全威脅也在加劇，集中體現(xiàn)為兩大挑戰(zhàn)。

第一個挑戰(zhàn)是，隨著數(shù)字金融用戶的持續(xù)增加，云端金融風險在持續(xù)攀升。

第二個挑戰(zhàn)則是，高價值資產頻遭數(shù)據泄露和勒索軟件攻擊，暴露出金融機構在數(shù)據安全、系統(tǒng)安全和隱私保護等方面尚存在短板。

比如今年10月，某家互聯(lián)網金融機構，大量用戶通訊錄信息被泄露，包括聯(lián)系人姓名、號碼等等；今年1月，某家金融公司遭遇網絡攻擊，導致130萬客戶數(shù)據泄露，等等。

不難發(fā)現(xiàn)，當下金融行業(yè)的安全形勢，在變得日益嚴峻。

對金融機構而言，數(shù)據流轉的加速、業(yè)務關聯(lián)性的加深、系統(tǒng)規(guī)模的擴大和迭代頻率的提升、日益復雜的訪問主體、場景和行為、金融業(yè)務的邊界拓展，等等，幾乎每一個環(huán)節(jié)，都存在潛在的安全隱患。

2、化被動為主動、從單點到立體，金融安全“1”比“0”更關鍵

上述背景下，金融行業(yè)的安全建設，到底該怎么做？

面對當前無孔不入的安全挑戰(zhàn)，金融行業(yè)的安全建設，需要的是更立體式的防御機制，而不是單點式去發(fā)現(xiàn)問題、解決問題，也需要更主動性的安全建設理念，而不是“等問題出現(xiàn)再解決”。

今年11月27日，中國人民銀行等七部門聯(lián)合印發(fā)了《推動數(shù)字金融高質量發(fā)展行動方案》，其中提到，到2027年底，要基本建成與數(shù)字經濟發(fā)展高度適應的金融體系。

在這背后，金融云安全體系，是保障金融服務安全性、支撐數(shù)字金融生態(tài)繁榮與發(fā)展的底層支撐。

對云廠商和安全廠商而言，安全產品如何與云平臺實現(xiàn)緊密結合，實現(xiàn)真正的云原生安全、一體化安全，正是金融云安全體系持續(xù)優(yōu)化和升級的一個關鍵。

結合這幾點，在這次峰會上，連線Insight觀察到，騰訊在金融領域的安全實踐，提供了一個思路。

簡單拆解，騰訊云和騰訊安全的實踐，可以從兩個層面來看：

一方面，是保障云平臺本身的安全穩(wěn)固，為金融行業(yè)提供高效的一體化安全供給。

騰訊安全副總裁、云鼎實驗室負責人董志強表示，基于騰訊云平臺過去多年在合規(guī)建設、安全防護、安全運營等方面的經驗，騰訊云將自身安全建設的經驗沉淀成了一套新理念——高安全等級架構。

騰訊安全副總裁、云鼎實驗室負責人董志強

這也是騰訊云安全建設的思路和目標?！拔覀兿Ｍ?，通過更高安全等級架構這樣的思路，倡導所有團隊能夠為了這樣的目標去努力?！倍緩娙绱苏f道。

他進一步介紹，企業(yè)要想達成高等級的安全架構，需要具有可信的底層、原生的能力、智能的安全運營水平，以及出廠的默認安全。

基于此，騰訊云自下而上，為云業(yè)務自身和租戶安全，都構建起了縱深防御的體系，沉淀出了一套具備可復制性的、云原生的高安全等級架構，通過服務器硬件安全優(yōu)化、可信計算技術與供應鏈安全保證云基礎設施安全等多重機制，來保障云基礎設施的一體化安全。

另一方面，則是在產品維度，騰訊安全整合構建了“4+N”體系，為所有私有云、公有云、混合云等不同業(yè)務形態(tài)客戶提供全面的產品供給。騰訊安全副總裁方斌介紹，騰訊安全的獨特優(yōu)勢，是在情報能力的基礎上，基于四道防線逐級增加防御節(jié)點，再進一步擴展到N個業(yè)務外延，實現(xiàn)基礎安全和業(yè)務安全的同步提升。

騰訊安全副總裁方斌

其中，“4”指的是“數(shù)據安全、主機安全、Web應用防火墻、云防火墻”這四道防線，指向的是通用安全，希望解決的是企業(yè)面臨的在批量攻擊、合規(guī)、安全運營、復雜攻擊等方面的問題；

“N”指向的則是場景化安全，面向不同行業(yè)提供針對性更強的特色化解決方案。比如面向金融行業(yè)，騰訊安全提出了“防AI仿冒可信身份解決方案”“金融反電詐解決方案”“金融風控大模型”“零信任網絡訪問”“安全數(shù)據湖”“小程序網關”等等場景化解決方案。

圖源騰訊安全官方微信公眾號

目前，騰訊云金融安全這套“4+N”體系，正加速在金融行業(yè)落地。

比如，某具有百年歷史的某集團旗下的證券公司，通過安全體檢和這四道安全防線，搭建起了安全有效、平臺+戰(zhàn)略結合的縱深防護體系，提升了安全運營水平。

據騰訊云介紹，重保期間，云防火墻、WAF幫助客戶攔截了超過1900萬次攻擊。

與此同時，期間這四道防線幫助客戶發(fā)現(xiàn)了1977個漏洞，阻止了2萬余次漏洞利用，同時有1190次高危命令執(zhí)行通過主機安全得到了阻斷。

再比如，某資管公司在中國大陸30個省、自治區(qū)、直轄市擁有200多個證券營業(yè)部，在人員、組織眾多、多分支接入等復雜的網絡場景下，遇到了在遠程辦公上的安全和效率挑戰(zhàn)。

在和騰訊安全的合作中，這家資管公司采用了騰訊安全的零信任iOA全功能模塊，保障了員工在內網辦公或遠程辦公場景下的安全性、辦公效率和使用體驗。

其中，騰訊安全重點以iOA殺毒管控模塊，實現(xiàn)了對國外Symantec這一終端安全軟件的替換，安全合規(guī)數(shù)據作為零信任訪問引擎的決策數(shù)據源，全面動態(tài)來判斷訪問的可信狀態(tài)，以一個客戶端軟件，解決了之前多個客戶端才能達到的安全防護。

結合上述幾點，不難發(fā)現(xiàn)，騰訊做安全，其實正是在依托云的能力進行安全建設，由此來保障安全產品與云平臺實現(xiàn)緊密結合。

而無論是面向金融行業(yè)安全建設的思考和路徑，還是產品或解決方案，都源自騰訊自身的實踐——

從早些年QQ時代為了保護用戶自主研發(fā)出首個反病毒引擎TAV，到后來在更多的“自我測試”中積累下來天幕（網絡入侵防護）、御界（高級威脅檢測）、東風（溯源反制）等產品，再到如今AI、大模型技術浪潮下的最新安全探索，在網絡安全這件事上，騰訊已經積累了超過20年的經驗。

3、金融安全新常態(tài)：合作才能帶來更大共贏

2022年7月2日，美國邁阿密一家叫Kaseya的網絡軟件公司，遭遇了一群自稱“REvil”的俄羅斯黑客發(fā)起的攻擊，對方利用Kaseya的VSA軟件中的幾個漏洞來傳輸勒索軟件。

短短三天時間后，應用這一軟件的100多萬臺電腦受到感染，瑞典最大的連鎖超市之一Coop，因供應商Visma被攻擊，導致其在全球的近800家門店，不得不暫停營業(yè)。

這是全球范圍內迄今為止發(fā)生的最大的一次供應鏈攻擊事件。

從這起案例不難發(fā)現(xiàn)，現(xiàn)如今網絡安全的建設早已牽一發(fā)而動全身，圍繞網安建設，沒有一家企業(yè)應該心存僥幸。

聚焦到金融行業(yè)來看，數(shù)字金融時代的安全體系建設，其實也并非一家或幾家科技企業(yè)、一家或幾家金融機構就能推動實現(xiàn)的。

當前態(tài)勢下，安全廠商與金融機構，尤其是大規(guī)模金融機構的關系，亟待升級。原因在于，他們之間的合作，并非一個簡單的產品交付和服務交付的過程。

比如騰訊安全副總經理、云鼎實驗室專家李濱向連線Insight表示，越大的金融機構，在做數(shù)據融合、做安全鏈接時，可能越容易碰上棘手的難題。

一方面，金融機構存在大量的存量系統(tǒng)、數(shù)據，安全廠商在輔助他們做安全建設時，這些系統(tǒng)一來不能簡單地廢除掉，二來基于這些老的資產、舊的系統(tǒng)，在技術和新系統(tǒng)之間從銜接到接入時也存在難度。

另一方面，金融安全建設，涉及到幾乎所有的業(yè)務系統(tǒng)、基礎設施，維度高度分散，復雜度高，給技術連接和融合也帶來了難題。

如何更好地應對這些挑戰(zhàn)？一個解法是，安全廠商和金融機構，需要跳出過去單一的“甲乙方”的視角，而是溝通前置、鏈接做深、風險共擔、安全共建。

某種程度上，這也反映了騰訊在安全能力建設上的理念。

騰訊金融云副總經理王豐輝向連線Insight表示，對大的金融機構而言，他們本身有比較龐大的安全團隊，有安全專家，也會去做各種頂層的設計、架構的設計，甚至在專業(yè)性上不一定弱于安全廠商，但安全廠商還是需要和金融機構有關于安全建設的交流和探討。

因為視角不一樣。

“金融機構的視角里，他們更多會聚焦到做自己的業(yè)務，在騰訊的視角里，我們會做安全產品、服務..……大家實際上是一個共建的過程，在交互中一起迭代和進步，這也是我們能夠和他們取得共識的一個點?！蓖踟S輝進一步表示。

長遠來看，騰訊在安全建設上的這一理念，有望加速成為行業(yè)共識。

騰訊云副總裁胡利明

“我們認為，安全能力體系的建設，包括生態(tài)的建設是一個系統(tǒng)性的工程，需要政府、科技企業(yè)、金融機構的共同參與，形成合力，共同應對金融數(shù)字安全的挑戰(zhàn)?！彬v訊云副總裁胡利明如此說道。