在信息社会中,随着计算机的日益普及与网络的日益膨胀,为金融行业带来了巨大的便利,促进了金融行业从电子化到信息化、向知识化的方向的转变。同时,金融信息安全问题也逐渐显露出来。2016年11月19日下午,由中国新一代IT产业推进联盟主办、CIO时代学院承办的“第五期金融CIO论坛:走进奇虎360”在奇虎360总部顺利举行。参会成员就新形势下金融信息安全与变革展开了深入的交流与探讨。在对话研讨环节中,大家就“新形势下金融信息安全管理”展开了热烈讨论。以下为演讲实录:
中国工商银行科技部副总经理 张艳
张艳:现在进行对话分享环节。今天我们非常有幸来到360,感谢吴云坤总裁、李虎总经理、裴智勇专家为我们做的介绍。针对银行新形势下的金融信息安全,我个人认为,从银行角度而言,面临着五大类安全威胁:
一是外部各种攻击的威胁。如最常见的APT攻击,如今各种工具、手段越来越多,包括APT攻击、台湾ATM攻击、孟加拉央行和越南等几个央行的Swift攻击。除此之外,最近发现了大量DDOS攻击,俄罗斯几家大型银行被DDOS攻击。
二是内部信息泄露和内部防护威胁也非常严重。刚才谈到,其实对公安部而言,抓获三千多人,其中有一定的比例是内外勾结或内部人员,内部的威胁和攻击也是我们面临的一个很重要的挑战。
三是新技术也给我们很多威胁和挑战。云有其好处,即更加系统、便于扩展、快捷部署。但在云下的这种威胁和攻击,包括大数据,以及美国的DDOS攻击可以看出,利用物联网智能设备做攻击,都是在新的技术产生的。
四是银行业务发展过程中面临的新攻击。目前很多银行都在走国际化的渠道,面对越来越多的攻击手段,国内是安排好的一张网。业务系统有着千丝万缕的联系,因此很多攻防手段可从外部进入,例如今年国务院有关部门的提示,哪个国家有可能对我们金融机构做攻击,那么他的途径不是境内,而是境外攻击。包括我们有这么多的子公司,与银行的各种防范不同,这也是一个挑战。
五是黑色产业链。对银行本身而言,也许不是对银行直接内部或外部攻击,但对客户资金信息造成了威胁,这也是我们面临的重大问题。在这种情况下,我认为,这五大方面的安全问题,是急需解决的问题。我们可以探讨一下针对这些方面的危机应如何解决。正好今天有这么多银行、360企业的相关领导或专家,大家可以共同探讨一下。我认为目前安全形势非常严峻,各家银行担子也很重。
华夏银行信息技术部科技风险总监 寿弘宇
寿弘宇:今天我的感受与张艳总一样,首先是两个字“惊吓”。我接触安全后不停地受到惊吓,今天听到大家讲的,感觉惊吓程度更上一层。这样也好,可以使人们的关注程度会不断深入。刚才讲到的威胁,内部、外部、新技术条件下的,也有黑产这五个方面,这些与银行都是有直接关联的。刚才提到360的理念是在大数据分析的基础下强调感知,从传统防御转向检测和处置,之后也提到大数据体系建立时从技术到工程化的过程。我认为其中最大的难点也是这一点。因为你们的理念、技术都很好,但我们是一个银行的IT部门,它不是一个研究机构,对技术的深度和掌控能力不像公司这么强。因此,我们也利用国家专控机构进行渗透性测试、安全评估、检测,但只是阶段性,还不是完全持续化的。简言之,你们提供一件武器,我们拿着非常得心应手,授人以渔,帮着我们建立体系,使模型建立的一线业务人员都参与其中,我们便可以将这件武器在使用的过程中磨练的越来越有效。
我们也体会到,不能为技术而技术,我们目前也有些应用,但只是当成磨练技术的方式,业务方面还为达到很好的效果。同时希望360这样的公司,从2C的企业切换成2B,从强调客户体验转向企业服务,有着很大的差距。希望未来在企业市场中360为我们有迫切安全需求的行业提供定制化、产品化、平台化服务,可以很方便的使用。大家都知道银行不缺数据,数据来源都很丰富,条件是很好的,关键是分析平台引擎、模型定制化能力和人员掌控能力。
360企业安全集团总裁 吴云坤
吴云坤:这个问题我们也很有感触。我是传统公司起步的,三年前来这家公司时在做企业安全业务,当时我们说有技术能力不代表产品化。因此,当初最基础的产品化是终端,大家知道,每个手机、电脑上可以装360,但企业不同。经过三年时间,我们从终端来看,涉密网是最复杂的网络,我们的终端杀毒占比为全国60%的涉密网,那时会遇到大量的定制,因为你不能做云查,不能连互联网。而进一步包括传统的设备、大数据,会发现我们的能力是将它变为你们的东西,这是解决第一个问题,发行版的问题。
发行版与自用版有两个较大的差别,即发行版能否变为客户机房中的内容,免运维的或运维量很小的,是我们考虑的第一个点。目前早已跨过这个步骤。后来又遇到第二个问题,复杂的模型中精英模式最难,因此国有银行如今做的也类似,他们有一定技术水平,但要建模就会很难,我们做一个建模的系统,业务人员自己调试便可以,不用写算法,算法全在系统中,你选算法、特征、调试,效果好便交付运行,全是前台操作的过程。
第三个问题,如今银行、公安、安全部中大部分是业务人员,懂业务的人永远比懂技术的人多。你的安全在别人眼前太技术是不行的。有一种方法,即我们与他们在一起,我们的服务人员带着我们的工具,这不是卖产品,而是服务模式。为什么公安找我们查案子,我们处理的案子每个月大约30多起,这个不是卖产品,是一次案件调查算一次服务。还包括事件响应服务,这个服务的基础点是基于数据来做的,但我们的目标是带着好用的工具帮你解决问题。因此目前在与很多银行合作时都采用服务模式,是银行最想要的模式。从最基础的标准化产品开始,讲复杂的数据模型工程化,直到最后还有些连工程化都解决不了的问题时,人再介入。这是我们做2B行业的模式,但这三个模式都有一个核心点——数据驱动。
这里要解释一个问题,我认为数据驱动离不开传统的防御体系。有人说是不是就不需要防火墙了,其实70%的黑客是被防火墙杀毒拦住的,还有20%,因此我们有防火墙、杀毒等很多传统设备。但心脏发生变化,防火墙和杀毒的心脏都靠数据驱动,这是换心的过程,内容不变,但智能发生变化。我认为传统设备必须保留,但把心脏换了,这是服务交付模式、产品交付模式,尤其是定制,如说李虎博士是定制,安全部两家公司是全资控股,针对不同的安全口来定制。以公安为例,因公安业务特别多,也是全定制。因此金融行业定制非常多。他是负责工程交付的,项目包括中石油、中石化等全是定制,因为是三级结构。我们不可能给你普通的产品。其中非常复杂,因为我们的行业很多,我们的定制团队与产品团队是一比一配比的。那么有人会质疑是否会出问题、成本能否控制住。360有个特点,我们有很多数据、平台,你们有很多开发中心的人员。我们将数据开放给合作伙伴,对方基于我们的平台和数据做一些事,这是合作模式,我们要将所有问题都解决是不太可能的。
另外,周围很多服务厂商已经成熟,我们不可能抛弃他们,最终是将我们的目标平台给他们用,解决我们不能解决的问题,这是我们的根本目标,靠生态做一些事,否则一家公司肯定不行,必须是不同的人做不同的事。
银行有个好处,其开发中心很强,这是我们愿意合作的一些地方。
广发银行信息科技部总经理 徐徽
徐徽:其实讲到大数据,成本是很大的。到底要花多少成本,每一个接触点,不论是互联网还是入口,成本都是巨大的。
吴云坤:对。我举个例子,我们公司有8千人,8千人要上网,我们有3个G的出口带宽,但我们将一年的数据存下来是多少台机器?12台。上网数据中有很多与互联网业务相关的,我们有5亿PC客户端、8亿手机客户端,以及其他用户,用户量太大了,我们也要省成本,因此在存储采集分析这块,我们做了大量的研究来解决数据,而不是硬存。有很多方式可以解决,缩小数据量,但不损失信息的做法是第一个目标。
第二个目标,利用廉价的硬件设备做,甚至空间要减少。因为机房空间也很贵。第三是解决人的问题,那么多设备交由谁来运维,人是最贵的,以及自动化的问题。
我们认为首先要减少存储成本、运营成本、采集成本。第二步,对所有的业务进行数据采集。从上往下看,这次国家建系统时便遇到这个问题,如果将国家数据都采集了,90亿Z字头的。我们是将所有大数据的几层平台和云平台对接,第一步是看你需要的业务,往下分是业务导向的安全大数据采集存储。我们担心的是脱离业务谈数据采集。如DNS可按四种,有的甚至拆得更细。因此看业务、业务目标再看数据采集会有很大的效果,而且领导看的是结果,他不看技术平台的搭建。中国在这些领域,尤其是政府是先建云,再建应用,一层层建,目前很多地方是这样看问题的,先从上面开始,做一个应用采一点数据,再做一个应用再采一点数据。最终领导看到效果让你采购,这是最重要的一点。
我们公司采数据犯过一个错误,但目前成为一个好处。我们5年前就将所有主机上的行为数据,如打开一个内存、打开一个文件全记下来了,这是有用的。但在这5年之内就浪费了,如果在那时可以知道有什么用途的话,是最好的。
徐徽:我想问个与个人有关的事,裴智勇专家,平均每个人的信息已经被泄露到7到8次。我理解我的数据肯定是满大街飞了,已经飞了的情况下怎么办?你刚才讲的是如何避免,目前已经飞出去了,要怎么办呢?
360企业安全集团首席反诈骗专家 裴智勇
裴智勇:分两方面,第一从用户侧来讲。作为普通受害用户,假设你的个人信息已经泄露,之后再考虑防骗问题。提高防骗意识。
从企业侧来讲,不论银行、运营商还是相关机构,首先要在假设用户信息已泄露的情况下做防护,是否假设用户账号已被盗。例如,有一功能,当我换一部手机登录微信时有一堆验证,前面都容易操作,但只有最后一步,让你选这十几个人中哪两个是你最近联系过的人。对使用者本人而言是非常简单的操作,但对骗子而言是非常难以逾越的关口。
以异常登录为例,大家是否都有这种检测手段。用户能否建设一套系统,假设你的账号被盗了,但他仍盗不走你的钱。从我个人而言,凡是基于账号、密码和验证码这三种方法做验证的,我认为都不太安全。
吴云坤:我补充一点。这里有个防范的问题,尤其是对于孩子,我们大家都有孩子,第一是告诉他如果我的信息泄露了可能会对他造成什么影响。因为成人的防护能力比小孩子高很多。第二你需要教给他如何防网络诈骗。因为如今都是防现实侵害,实际上中国对孩子的教育在这方面很少,例如,一个孩子有朋友圈、有手机,他的信息基本也会出去,因此要从娃娃抓起。他也许没登录过社交网站,但只要有微信、发过朋友圈,基本很多东西都泄露了。我们这代没办法了,只能从下一代抓起。
裴智勇:我的第一个头衔是360反诈骗专家。我的第二个头衔是青少年网络安全教育工程特聘专家。我们和共青团合作在全国推广青少年网络安全教育。我们通过培养教师的模式去教学。年轻人有一个好处,他虽然容易被骗,但他实在是没钱,因此在他骗不走多少钱时给他一些基本概念。
很多人认为被骗是因为贪财,但我认为只能说是“无知”,即他对骗术不理解,他听说过一次再想骗他就很困难了。因此这是我们做青少年网络安全教育工程的一个初衷。目前全国已有几十万个学校接受过我基本课程的培训。
从金融机构的角度而言,我建议大家一定要考虑在用户信息已泄露的情况下,假设账户信息、验证码被盗,你还能想出别的办法来么?虽然我已有很多办法,但看大家如何理解这个办法,主要是通过大数据的方法帮助防护,进行异常行为检测、风险识别。这是我个人的观点。
刘远欢:在威胁情报这块,360有哪些类别威胁情报,通过什么方式收集?刚刚讲到服务,这些威胁情报是各个行业需要去使用或了解的,你们分几种模式给机构?哪些是可以共享出来的?哪些是需要企业去获取的?
吴云坤:先说一下威胁情报的分类,狭义上的威胁情报只用于网络攻防。如DDOS,我们可以将全网僵尸网络的主机都告诉你,甚至经常扫描你的僵尸主机,APT分析情报也可以告诉你,这属于针对性攻击。诈骗类的威胁情报有很多,如伪基站短信产生的,还有可能是专门针对特定人群的。为什么说1.4亿,不是广发伪基站短信,就是针对一个人,你到检察院该做什么,是针对个人的,这会涉及到电话号码、账号、URL等等。更高级的威胁情报,如涉枪、涉恐,这是从很多领域中用数据提炼出来的人的画像。威胁情报最终不是一次威胁,而在互联网世界中,无论是一台主机、一个IP、一个DNS,还是一个人、一个电话号码,它是黑是白,都叫做画像。因此你需要的是某个东西的画像而已,根本不是这个东西的黑或白。在互联网的虚拟世界中所能对应现实世界的东西,我们都对它进行画像。你需要的画像信息其实是所谓的威胁情报。
第二,我们如何得到这些威胁情报,威胁情报是很难直接得到的,因此我们基于六种数据:
第一种是样本数据,就是病毒。全球100亿样本,我们应是最大的,我们本身有100亿,其中20亿黑、80亿的白或灰。
第二种数据是来自主机上的程序性行为。打开一个进程或从哪里下载,这是程序行为,不是用户应用行为,我们做了记录后传到云端,这部分是来自2C的。如果购买我们的2B产品便会传到你的私有云中,这种数据对产生威胁情报是很重要的。当时美国攻击我们的军队和一些重要机构的方程式,威胁情报就有两个,创建某个临时文件并修改注册表。这两个一旦成立,便是方程式的传播者。如果你不记录这些程序行为,你认为它是一个白的,且检测不出来。因此要记录几层的程序行为,这些是非常重要的。
第三是网络层数据。我们与运营商合作,包括DNS。我们拥有全国30%的DNS递归解析,过去13年whois的全球信息。假如给我域名,我能查出它过去13年所有的变化,包括由谁注册、何时换注册地,这是一条链便可以做到的。DNS递归解析,全中国30%的量都在我们这,因为我们从很多地方购买,包括自建DNS解析服务都在收集这样的数据。这些数据是与公安机关报备的,是合法的互联网服务。
第四部分数据是漏洞。大家知道乌云,乌云触犯了法律底线,目前已不复存在。而我们的补天,从来不公布漏洞细节,涉及到国家重要机构的都不公开,涉及到我们自己用户的也不公开,我们的目标是收集,及时通知用户修补。之前我们也讨论过这个问题,我们的目标不是曝光,而是让这个机构尽快修改,避免更多老百姓受伤。曝光有点举着道德大棒去做一些事,甚至是为促进商业利益,这不是我们想做的。如今我们最大的漏洞平台,这个数据其实也可以推送给你。
第五个数据在这里面是URL数据。在全网85%以上的PC终端都安装着360的浏览器,我们会将浏览器的URL数据存在云端做查杀,看你是否为钓鱼网站,但URL与你个人身份是无关,我不知道这个URL是谁的,只知道是某台机器传的,而我没有任何身份信息。这部分是URL信息,对木马、钓鱼、诈骗而言是非常重要的信息。
第六部分数据是涉公。我们从不将涉公数据用于商业目的,仅仅是协助调查时有公文才会使用,这是最高的数据。我们拥有其他数据,但不用于任何的安全目的。如搜索数据,那是带个人隐私身份信息的,是无法使用的。因为我们有30%的搜索量,我们都不用。
第七个数据是运营商合作数据。我们与运营商合作,他们愿意将数据拿出来与我们进行合作。但不拥有数据,只是在其机房里算,将结果拿出来。如广发银行要对广东地区的征信进行计算,我们可以算,算完了交付于你。因此我们在上海有家全资控股的公司是平安征信公司,专门做征信业务。欺诈数据是我们主要的数据。
还有些数据是我们接触到但拿不出来的,如公安部、安全部有大量的境内外数据,我们能计算,但无法拥有,这是使用权。其中有很多数据对我们非常重要。例如,facebook和推特,当时在香港占中期间,街上都是人,安全部不知道会发生什么问题。结果通过我们的系统“香港之眼”(我们有两个“眼”,一个“台湾之眼”、一个“香港之眼”),看到所有的情绪变化,预测下一步是否会发生事件。这个数据是我们爬回那个区域中的facebook、推特数据计算情绪。这些都是很重要的数据源,但我们不会用于其他商业目的,那些都与身份有关。基本是这样的数据信息。
变现模式对你们而言是使用模式,我们可以提供工具查询,也可以提供API,直接内置在产品中,三种模式都支持。我们的全线产品,包括防火墙、终端、SOC全部支持我们的威胁情报,同时支持第三方情报源。例如,你们购买第三方情报源,我们按照标准格式全支持,因此情报方面是开放的。可以提供一个账号查,或API,抑或用产品进去直接对接,但有一个底线,银行的任何数据都不会外传,我们情报是内送。如果是隔离网,我们通过百度拷贝,每天拷都可以。这是与涉密机构合作的经验,因存在政策红线,基本是这样的情况。
中国银行内蒙古自治区分行信息科技与网络金融部副总经理 杜慧
杜慧:很高兴与各位专家面对面交流和学习。我一直有自己的理解,刚才大家说大数据下所有的信息都是公开的,我个人认为咱们国家掌握最全面的是360。为什么这么说?每个人的机器,单位除外,基本都安装着360防毒软件,因为是免费的,手机有360卫士。360在每个人的身上装了一个摄像头。这样,每个人的信息对360而言都是透明的。
吴云坤:去隐私化的要求是采集底层行为数据但关联不到人,这是去隐私化最重要的一个条件。讲一下我3年前的经历,以前我可能不喜欢360,因为我在绿盟待了10年。我先去的百度,百度也有杀毒,后来发现所有的互联网公司有个特点,采数据到云端。我便开始观察每个公司的隐私保护条约,其中有一个很重要的前提——安全软件不能采与人身份相关的信息。例如说我查不到你的手机号、不知道你的身份。我便公安机关什么是隐私信息?隐私信息包含:地址、姓名、手机号,这是实体隐私信息。还包括虚拟身份,QQ、微信、支付宝。这在公安部很模糊,有的将它作为隐私信息,有的不作为隐私信息。我们公司将它作为隐私信息存放。因此我采你的数据是底层的系统行为,我关注的是你打开哪个文件、中分配哪个内存,但我不知道你是谁,这是最重要的去隐私化过程。因此我装的摄像头是看你的底层行为,但我不知道你是谁。这是最重要的一个点。
对话现场
现场:不太可能吧。我认为这只是对外宣布的。
吴云坤:360和BAT在一起,很多人都盯着360所有的采集数据,只要我采一次,便会有人将它曝出来。任何装到你机器上的技术,无论是360,还是BAT,甚至装到手机上的大众点评的数据都可以采集。最关键的是采集过程中你传什么信息上去,都有人看着,包括竞争对手。
现场:听说360与公安部有些合作,采完信息供公安部使用。
吴云坤:公安部要采的信息是什么呢?公安为我们装了一款URL、木马,问我在什么机器上存。我给他的是机器号,但不知道人是谁,对我而言我不能采与人有关的信息。2016年7月公安部抓获20多个公司的法人,为什么呢?这是非法使用公民个人信息罪,法人被抓,所有互联网公司都特别害怕,原因是什么?只要你采了公民的隐私信息,专门法律规定,责任归直接法人。所有的互联网公司采数据,最多是什么呢?有的公司是让你注册手机号,他拿到一个手机号,但绝不敢采你的地址,除非你申报地址,而且只是报到楼层,因此这种情况是非常严肃的。
现场:如装软件,他就问你是否同意采集地理信息。
吴云坤:你试一下手机卫士。看一下360的软件是否会问到这个问题。隐私公约上有重要的一条,我不问你的地址和通信录,这是安全软件的最低要求。其他软件不知道但对安全软件而言,这是最重要一点,安全软件从来不问你要GPS信息、通信录。什么软件会要呢?生活软件。如点评,他会要,你也愿意给。以及通信录软件,而安全软件从来不会问。你删掉后再装一次也不会问。不问是说它从来不收集这方面的信息,安全软件没有必要收集这份信息,对我而言其实没用。公安部、安全部一直问我们,你们有没有他的位置信息,我们说没有,后来他找谁呢?百度地图。他从各家互联网公司收集,他的目的很简单,是针对犯罪分子。
裴智勇:手机卫士干什么用呢?例如来一个电话,如果是你的通讯录联系人就不会提示。但在本地做查询,不会将你的通讯录上传。
关于手机卫士,我目前已知最特殊的是伪基站才会有定位信息,通常不会有。
现场:我安装的软件是360,会要求访问你的位置信息。
吴云坤:手机助手是生活类软件。这与安全类软件是两回事。生活软件需要定位,安全类软件不做这件事。
裴智勇:还有最极端的,如微信,所有的信息它都会采。因为在社交时都会用到,它会采与它有关的。但地理位置信息与安全防护无关,因此我们不会采。
徐徽:安全软件是不采,但生活软件在采,两种数据在一起计算便会得知。
裴智勇:例如,手机助手不会将你的通信录上传,什么时候传呢?当你在备份通讯录时才会上传。没有云备份时,你的通讯录是不会从我们的软件传上去的,但别的软件在传。
吴云坤:原因是什么?一些人盯着我们公司,就像有人盯着腾讯一样。高检、高法为什么用360?原因是他过关了。
现场:我是不是可以这么理解,大部分防范手段是针对Windows的,目前我们对研发这种核心数据相对来讲比较安全?
吴云坤:Windows、Mac和Linux,看起来Windows相对安全,在所有的间谍案件中,目前出现的高级木马都基于Mac、Linux。还有更复杂的基于大型路由器。这些都是境外势力再做。原因是什么?木马成本是最低的,Mac相对高一些,Linux最高。尤其是大型路由器,它的成本更高。它是这样的过程。
第二,能否检测出来。如果装以前的防病毒软件,Windows是检测不出来的。什么叫情报?有时候会点域名,此时连的是同一个域名,我便知道有中招的。这台连过来会知道Mac也中招了,这种能力称之为攻击团伙的跨平台能力。什么意思呢?好的攻击团伙拥有三到四种平台木马能力,也就是说有钱。在这个过程中为什么需要这么多平台,因为攻陷大型的防御系统(包括央企)中,这四个平台都有。如攻你的苹果,他不是直接攻Mac或大型服务器,它是不断跳转的,因此在路径中他需要具备多种能力。最复杂的如俄罗斯卡巴斯基实验室被攻陷时,那是三年时间,成本是五千万美金,是美国和以色列进行攻击的,所有程序有四种平台,基本是跨平台攻击。Swift事件看上去用的是Windows木马,但其中涉及的平台也很多,都是复杂的组合。
现场:目前咱们国家几家大银行,核心系统没有出事,是我们防护能力强还是对方没有攻击?
吴云坤:我认为攻击尝试肯定会有,成功攻击不好说。如果没有攻击尝试的话,那中国就不是GDP第二的国家了。在一个大国的对抗情况下,网络攻防是战争手段,它不是一个简单的窃密、窃钱的手段,因此攻击尝试肯定会有。
现场:刚才讲的采集、汇聚、分析、组合,能否现场演示一下。
吴云坤:DDOS数据、涉公数据,如果要演示的话我们是能演示出来的,但是这是不合法的,那仅仅用于研究目的,不允许用于任何商业目的。因为那个库是网上泄露出来的,我们通过渠道拿到。涉公数据有个好处,即你可以研究现有的受害面。
对话现场
现场:对你们而言,这数据肯定有是吧。
吴云坤:涉公数据太大了,如果最隐秘的涉公库数据不在我们这,是一个黑客团伙在澳大利亚设的服务器,你远程无法访问,只能通过特殊通道才能访问,我们必须打入地下论坛,获取别人的信任,进入才会得知。这是黑产业链的现象,没办法。黑客一天一万,我们这是一个月一万或两万,这完全是不对称的赚钱模式。裴智勇博士见过很多黑客,水平都很高,拿的工资却没有黑客拿的多。因此刚才讲到如果你的信息要往上放,只要一放便立即进公安局,可以举报。这是所谓的底线问题,不能做。
现场:银行面临的电信诈骗很多,如何快速地提前定位出问题的点,然后控制受害人取不出钱来?
吴云坤:刚才讲的一个案例,伪基站短信我们每分钟都会上传。例如今天针对广发行的,我可以将账号全取出来给广发行,广发行用那个系统关联出系统周围经常转帐的账号,以及可能有人开始往里面转帐的信息,直接封堵掉。让受害人转不进去。其实这便是情报。因此我们好多行业拿到这个数据是可以做到的,其实对很多储户而言是有效的。第二种,打组织。例如国有银行某位高管的家属被诈骗,最后我们全部查到了,送交公安机关。事后也可以去打掉那个组织,可做到很多防范工作。
现场:先得找到账号,封堵账号?
吴云坤:如果今天我收到一条伪基站短信,一分钟或几分钟后广发行便会得知,广发系统一关联说有人开始转帐,会立即封堵。这可以避免很多人受伤。为什么?因为对方访问这个链接也需要很长时间。只要将这条通道建立快,很多人就不会受伤了,我们基本是一分钟一传。
现场:伪基站我遇到过一次,像刚才讲的发伪基站,盗取你的网银用户密码。我们的客户有投诉,然后给所有客户发短信,但第一时间发短信,客户太多,又发不了那么多,就从西部向东部,因为他在西部骗不可能跑到东部取,因此给西部区的客户发短信,发完后,那次客户没有一个被骗的。
吴云坤:这是你知道账号后便可以进行干预。我们还有一套专门的伪基站监控系统,一分钟一个短信。我们将全部轨迹描绘出来。这是专门一套给公安用的系统。公安用两种方式,第一种将摄像头立即调过去,因为他都知道我每一分钟的轨迹,一般会沿主干道走。然后调用公安摄像头。第二种方法,他会让人拿着小型仪器,上面有天线测信号强度。我们在北京上线一个月抓了几十起。有的是骑电动车,或开汽车。以前是很麻烦,以前是举报,人不会被抓到。如今是一分钟内,且沿着主干道全部描绘出途径,同时发短信的人的图片都能描绘出来,这是电信反诈骗系统,那是公安用的,但不建议银行买,因为没有摄像头,也不能抓人。
裴智勇:前段时间工信部召集我们开会,组织新业务平台安全漏洞审核平台。很多银行,包括盗刷信用卡、小额信贷审核,当一个新业务上线时有可能存在安全隐患,我个人建议当金融机构上新业务时,最好能请比较专业的专家,帮你评审相关平台在多大程度上有可能会被用于诈骗、有哪些方式会诈骗,提前将可能被诈骗的方式堵住,避免损失。
我们从2012年做反诈骗跟踪,但2012-2015年网络诈骗的手法,也不再有新骗术,只是骗的花样变化,我们从2015年开始大量结合新业务,当年有阿里pay,一个AA付款平台。这个平台可以AA付款,结果这个平台上线当日就接到300个用户投诉。他没有考虑到问题,因此骗子发现新业务能力。银行推广业务时也应请反诈骗专家从犯罪分子的角度考虑是否有可能利用你这套机制来诈骗,你是新业务,用户就更不懂,用户会被骗。从2015-2016年是诈骗的一个新的发展趋势。这是针对能否提前。
华夏银行数据中心主任 于峰
于峰:今天收获非常多。360利用大数据提出了很多解决方案。对个人而言,大数据是一个很大的威胁。我们的信息已在各个地方,小公司、大公司,黑客、白客,都在他们手中,包括360。我手里有云盘、微信、手机卫士、360路由器,以及跨网站管理,我都在用。人人都是爱数据的,希望取之有道用之有道。
我还有一个小问题,对企业或个人而言,360是不是提供一次性服务?如果知道我的信息被人利用了,买过房买过车肯定也泄露了,随时都会有人给我打电话。假如今天我知道已经涉及到有人诈骗我,能否利用大数据平台在有尝的情况下为我提供个人服务。
吴云坤:这与收费无关,这不是商业模式问题。但一般我们肯定不会提供给个人。即使是比较熟悉的人,我们也会走一定程序,因为其中一定涉及到隐私数据查询、涉公。我们现在的搜索方式是这样的,我们只能到最后一步——机器,最后找到目标必须是公安去做。因为有虚拟世界和真实世界,一旦跨界,我们的人一定会进去。因此,我们公司有非常严格的行为底线,这也是保护我们员工的安全。
第二,提到云、移动、大数据的安全,这里有一个机构,即安全部,尤其是情报机构的大数据是我们建的。如何实现安全?这里的安全不是系统安全,它涉及到数据生命周期的安全,如怎么采的问题。拿回一个硬盘情报员,请问你如何保护这个情报员。数据进来后能否脱敏、分片存,以及这个过程中如果被人拿走读取时,这个人能读到什么。甚至一个照片、一个Word文档,他只能看一小部分,这都叫脱敏。因此我们更关注的不光是系统安全,也包括数据生命周期安全。从采集一直到使用的安全。
我们经历过这样的过程,如从手机助手采集到的数据是无法得知的,首先不知道你的身份,第二不知道地理信息,因为我没有权限。第三只能机器知道、人不知道。很多时候都是数据使用生命周期安全。因此,对银行而言未来也会碰到这个问题,即数据使用的安全性要比业务的安全性更容易出事,而且大银行又是政策监管的焦点,我认为未来风险防控的点可能会在这里出现。如果数据不集中还好一些,但这里由做是最好的,比安全好很多,我与安全部配合便发现他们没有科技感,更多的是业务感。这点很痛苦了,因为他们不知道该怎么做,只能外包出来,但是我们这边有开发中心、技术干部,可以很好的与商业公司配合,把这个问题解决。
陈留才:第一个问题好回答,从银行角度来看都对安全十分重视,但重视过程中也有很多困惑和难题,其中在实施层面,刚才强调SOC建设,银行不会自己生产一套SOC产品,目前市场上有无可以达到满足银行使用这个级别的,不一定面面俱到,就是成熟的产品可供选择?
另外,因为360以防病毒软件起家的,我想目前咱们在企业防病毒方面,除Windows在内的这些平台是没有问题的,有没有Linux、AIX防病毒的产品?刚才也提到木马一般都是跨Windows、Linux等多个平台,针对Windows之外的360做到什么程度或有什么建议?
吴云坤:关于SOC,我们马上会在一个股份制银行落地。从360的角度来看,SOC目前的方向在业内走偏了。原因是什么呢?我们定义的SOC出现了三个条件,已发生风险、疑似发生风险及可能发生风险时,它做两件事:一个是作战支持。作战支持不是日常运维,很多SOC做日常运维干,其实是作战支持。二是协同响应。这两件事是SOC的关键点。因有时外延太大会导致这两点与SIM系统、传统的日常安全运维,甚至业务安全混在一起。一个系统如果做太多事情便代表这个事情做不成了。因此为什么叫已经发生、疑似发生和可能发生?它应该更多的在异常时产生作战支持。作战支持强调的是我们有科技干部、技术干部,也有外部人,但没有工具,需要有工具支撑,如探索数据、找到告警、研究告警溯源。第二是协同响应,因为你有很多传统安全设备,他们的手段其实很好,只是不知道在事件发生时该如何用这些设备,称之为协同响应,真实用数据找到让那些传统设备发挥作用的方法,让它们协同作战。这是SOC的关键点。
其中会有很多技术出现,如全局态势感知,为什么有?因为掌握。为什么需要有威胁情报?因为需要外部数据来支撑。为什么会有交互式分析?以前SOC不强调交互式,那么出告警、做响应、交互式分析这种能力都是作战支持的能力,包括协同响应。这时SOC用户群有三类,一类是日常值守的,看到告警立即打电话;第二类如果知道case怎么办,立即做响应;第三类是分析人员,是交互分析,找到源头,甚至溯源跟踪。这是三种不同的人,三种人的水平也不同,我们认为银行的SOC要以解决好第一、第二类问题为主,第三类问题于安全公司合作,外包出来,我们值守、驻场专家。因此我们SOC就避免外延过大导致不可用、对用户水平要求太高不可用,以及缺乏外部数据不可用。
虽然所有的都需要数据驱动,但从产品概念上说,我们还需要非常良好的定义它,包括用户使用者的场景,最终将技术融进去,如果沉溺于技术,每个SOC看起来都很美,但可能用不起来。有机会我们可以将我们的SOC产品与各位专家做个交流。
陈留才:这个过程中最难的是跨多厂商间如何协作。SOC不会基于某一家或某一类产品,它是综合的,在此基础之上再利用你的大数据,分析出安全攻击的模型后做匹配,去发现或采取一些主动措施。
吴云坤:因此,跨平台是收数据有跨平台、响应时有跨平台。第二个问题,AV起家,除Windows外的其他平台。目前我们的Linux肯定没问题,但在银行所拥有的大机上的确没有防病毒软件,因为这个比较难。第一,量比较少。第二,我们没有看到其中的木马。我们更多地建议从外围流量上看问题。主机上两个问题,第一怕影响业务,其责任难以分清。因为安全部门和业务部门有时在大机管理的权限上可能会有冲突,因此尽量从外部做,避免对业务的影响。当然,我们是全平台一体化、Windows虚拟化的,包括虚拟机、Linux、Mac等,我们都有这样的产品,但到大机这块就没有产品去做。
陈留才:你对各行的情况都很清楚,国内的各家银行基本除Windows的平台外是否都没有上线防病毒木马。
360企业安全集团交付事业部总经理 张龙
张龙:有几种情况,一种是上的最多的,就说Windows本身其实也有很多平台,Windows标准的Windows7或XP、XPE,以及ATM机上的XPE、客户端上的XPE,另外包括在Linux上的终端。不同类型端上大家的动作会不同。如果在Linux上,我们偏重的是监视,属于弱动作,查杀时较轻。因为Linux通常在应用服务期层面或跑在虚机上。在标准的Windows上是做标准动作。在XPE或ATM机平台上,通常会用白名单的强安全动作。
客户经常和我描述终端杀毒问题,其实在我们看来是终端安全问题,杀毒和安全不是划等号的概念。而我们这个领域的处理中也都用了很多数据,我们会用Agent将所有的终端样本采到内部私有云上做训练,将互联网上黑样本的数据灌进去,用大数据的方法做训练。因为我们在内网中会看到数以万计的互联网都见不到的东西,我们经常在隔离网中发现,有认为是安全的插件,而其中藏有木马。我在我的用户那已抓到很多起,是这些外包商在做的过程中有人将东西放进去。那么银行监管是非常好的,但仍会发现某些流量异常,包括上次我们在某家银行就直接主动拦截了,那个业务流量模型有极强的木马特征。
谈到跨平台,真正工程实施要细分,到底是哪个平台,这个平台是做什么的,根据这个平台的业务特征确定终端安全策略。但无论如何我的监控是做到很强,我可以将你所有的行为,包括主机储藏的每一个行为、每一个样本特征都可以拿到我自己内部的云平台上帮你做分析。农发的内网终端安全目前也是与360合作,今年实施完工。
陈留才:我担心的是数据中心内有其他内容。
吴云坤:监控为主。
张龙:重监视、弱控制,基本在虚拟化平台上做的很多,用专门的平台做虚拟化。我们通常建议用户从运维的角度将两个平台分开,因为处理人的权限不同。处理数据中心和处理终端的东西,即使是一波人但两块授权不同,而且运维的经验要求也不同。终端要倒倒一台、数据中心要倒是倒一片。
陈留才:第二个问题宏观一些,安全体系的构建是一个动态的、需要不断改进完善的过程,在这个过程当中是否有一个指导性的方法,指导银行在相应时点上有比较安全的解决方案。其中有一些工作可能是银行做的,刚才提到银行有一部分技术人员,特别是工农中建、中信,其团队还是比较强的。但农发行实力太弱,那银行内部能做到什么样的内容?有哪些是需要外包给专业公司来做?因为有些东西肯定不是我们各家银行可以做的。如情报收集,它是全球的,而且涉及到方方面面,这些肯定不是银行可以去做的。哪些是适合银行自己做的、哪些适合外包、360可以提供何种安全服务?
吴云坤:这个问题很好。今年是“十三五”规划的第一年,因此我们从去年年底到今年其实给很多部委,包括一些央企都做了“十三五”规划,我发现今年的规划与其他不同,因为基于等保或监管来看围墙更多一些,但银行不同,之前的确也基于业务风险做了很多,比一般的政府、部委、央企好很多,今年很明显的一个特征,即互联网+思路在整个规划中的体现,这时要用新技术。但云、移动、大数据等基础设施的应用改变,我认为也造成了一个问题,我们刚才讲到纵深防御,规划的第一条,我们先不谈安全咨询管理——管理制度。发现攻击面多了,尤其是新业务多了,我会在所有的客户那都发出提醒,如集团公司问题,我们在招商局集团、神华煤矿以及银行,都是二级公司,二级三级,央企五级尽量缩到四级,特别复杂,但收权集中去做,第一个问题是业务系统IT基础设施变化,以及复杂的管理组织架构会导致攻击面扩展到很多地方。
第二个问题涉及到技术,用什么防,只用规则来防还是用数据来防,两者都要一个墙,还要用数据看响应,因此这是规划的两个基本点,即防什么——纵深防御,第二用什么技术防。这时再结合另外两点,原来的安全管理制度和应急响应这两个点一头一尾将这个东西包起来时,这是一个规划的大致思路。其实对于商业公司做的和银行内部人员做的,我分为三类人群,第一类检测拿到东西直接干预,包括防护措施等等,这个都没问题,直接由银行自己做。难点在于后面两个,一个是响应,响应包含调查分析、协同做一些所谓设施的一些动作,这其实比较困难,你将它叫SOC也好,还是一个软件系统也好,或将它当成单独响应的服务也好,最难的在于做动作和调查分析。
涉及到业务安全之上的模型构造,如果让开发中心自己去做也很难,因为每个业务系统都要做个模型。涉及机器学习,例如我们有深度学习的平台,你在银行买一套再建起来很困难,因此这部分在业务安全之上的很多变成工程化的、可交付给用户来调模型,而不是让他写算法。我建议由公司来做,这时让银行的人更关注两件事:一是业务问题;二是让普通员工、技术干部,能很快解决的、标准流程的东西。一头一尾可以将其做好,能将银行很多人进行分级,中间层次由外面人做。当然,不同机构的现状也不同。
王燕:我只讲一下我的感受。我记得六年前我与360有过接触,当时只有2C没有2B,当时特别想与360合作,我们发现360还是专注于2C,但今天来特别高兴,有专门成立了2B的公司。我们认为有很多的合作机会,非常高兴听了吴云坤总裁的安全理念,包括公司的行为准则和道德准则。原来在2C时有点不放心,但今天听了后,这个顾虑至少全部打消了,我非常赞同你们的理念,也赞成你们刚刚说的态势感知、纵深防御,不能封闭起来,靠封闭是做不成、防不住的,包括大数据、机器学习的结合,这种理念我很赞成,也非常符合我们现在的实际。
今天那么长时间,我认为大家乐此不疲的,所有信息非常实用,立即便可以去改进我们的工作或制定一些行动计划。从未来看来,当然国家安全不是我们管的,我们也需要谨慎。电子商务、整个互联网+,包括产业互联网越来越发达,我认为网络安全、网络攻击,因为有巨大的经济利益,攻击会越来越多,因为利益太多,有时你根本想不到一些事。说一个征信报告可以卖两百块,那肯定是卖给小贷公司,毫无疑问,只要有人出钱,便有人敢做这个事。我们也认为传统的控制手段的确无能为力,我认为接下来还有很多事情要做。虽然我们内部也有各种工具,但今天听下来的确是触目惊心的,确实需要加强,方法也需要改变。包括各种网络隔离、终端的各种防护,还是有漏洞,因此总结出来后面的数据分析和建构,看哪些人有异常行为,包括外部的、内部的,外部还好,就怕内外勾结。今天收获很大,看到360做的工作和实力,特别是你们接触了那么多的公安、案件还有各个行业,经验很多,相信你们的模型、数据对提高我们整个银行业的防范能力、模型的丰富性,都会有很大好处。所以我们还是加快行动,一起构筑更好的安全防线,对社会对、我们的客户、对国家,将安全工作做的更好一些,非常感谢!今天收获很大!
张艳:对话环节是提问的环节,当然在这里面我们的问题还很多,包括我个人的问题也很多,时间有限,希望我们后续能加强交流。一方面是与公司的交流,另一方面是我们行也内部的交流。也非常感谢360。今天下午各位的演讲特别精彩,对我们启发也很大,大家都认为收获很大。谢谢!
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:houlimin
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
