如何應對黑灰產覬覦？金融機構數字安全面臨新挑戰，被動響應正逐漸轉向主動防禦

財聯社12月8日訊（記者郭子碩）隨着國內數字化進程加速，數字經濟已成爲國內經濟發展的核心驅動力之一。然而，在金融數字業務創新拓展、服務效能提升的同時，安全風險亦呈升級態勢，金融機構的數字安全面臨新的考驗。

騰訊雲副總裁胡利明在本週的2024騰訊雲金融安全峰會中介紹，數字安全已經越來越成爲數字金融的底座工程，面對高危漏洞、複雜攻擊、數據泄露甚至勒索問題等多重挑戰，需要政府、科技企業、金融機構共同參與，形成合力，共同構建金融行業的數字安全屏障。

當前，金融行業的數字安全建設處於什麼階段，如何構建穩固的安全體系？對此，騰訊金融雲副總經理王豐輝、騰訊安全副總經理李濱以及騰訊安全副總經理聶森就此接受了包括財聯社記者在內的媒體採訪，各方將共同探討金融數字化轉型中的安全應對之策，爲金融行業安全穩定發展探尋方向。

金融機構安全建設應考慮“全棧”

“金融用戶數量持續攀升，大量支付數據、個人身份信息及交易記錄等持續產生，這些高價值的數據資產容易引發黑灰產覬覦，安全建設面臨前所未有的新挑戰。”中國信通院雲計算與大數據研究所所長何寶宏指出。

李濱與聶森進一步表示，當前黑灰產利用大模型、人工智能技術僞造信息，對金融機構風控與業務系統發動攻擊的趨勢顯著上升。同時，攻擊者藉助供應鏈渠道滲透的現象愈發常見，釣魚攻擊等傳統手段亦難以防範，這些均成爲金融機構安全防護的棘手難題。

“信息技術自主創新發展過程中的軟件供應鏈安全，已成爲年內監管重點關注領域，如攻防演練中提及的安全左移與可信組件源等關鍵問題。”王豐輝進一步解釋，業務代碼中若開源組件比例較高，一旦爆發漏洞影響將很大。另一方面，金融機構使用外包與第三方軟件越多，也越可能存在安全漏洞引入風險，包括落實包括實時掃描、規範確立與貫徹等問題。

王豐輝指出，依據 “木桶原理”，金融機構安全水平取決於最短的安全短板，且自主創新過程中的安全並非單點問題，而是涵蓋芯片、服務器、操作系統、數據庫等多領域的全棧性挑戰。

在金融機構實踐上看，全棧層面的挑戰也意味着更高的融合、銜接難度。李濱認爲，由於安全涉及社會運營管理中所有的業務系統和基礎設施，維度分散且複雜度高，不同技術間的連接和融合也存在阻礙。

“金融機構有大量的存量系統與數據，由於各方面的約束和限制，新舊系統在銜接到接入統一的安全體系都會遇到一系列問題，帶來較大的安全建設阻礙。這些系統不能簡單廢除，所以安全架構如何保護、兼容舊系統與老資產成爲關鍵。”李濱解釋，越是大型機構做數據融合跟安全鏈接，越難處理系統銜接問題，包括兼容性、連通性的問題。

在此背景下，金融機構構建安全防線的關注點至關重要。王豐輝指出，金融機構需對自身安全資產實施精準分類分級管理，深入洞察網絡邊界薄弱環節，強化內部人員安全培訓。常見的釣魚郵件也是黑客的慣用手段。當外部難以突破時，黑客往往試圖從內部人員入手。金融機構必須全方位查漏補缺，才能切實築牢安全壁壘。

金融機構從被動響應轉向主動防禦

在監管要求與行業自身發展的雙重驅動下，金融機構安全防護加速常態化，“治未病” 理念深入人心。

王豐輝在採訪中透露，從今年的安全演練政策可以看出，監管在不斷地迭代和變化，金融機構也從“被動防禦”演變爲以風險爲導向、以結果爲度量的“主動防禦”策略。基於“假設損失”原則，假設攻擊一定發生，如何把最優資源保護最有價值資產，以此推演防護框架和能力的規劃和建設。

李濱認爲，金融機構從被動響應向主動規劃轉型過程中，企業建設需構建安全攻防態勢與防禦體系的成熟度階梯。一方面，綜合檢測難度、攻擊規模、黑客攻擊趨勢等多維度因素，劃分金融機構安全問題的等級；另一方面，甲方及管理者可設立能力成熟度表，依據設備產品、人員水平、安全治理流程等維度評定等級。當互聯網攻擊態勢低於機構自身防禦能力層級時，這可以幫助機構判斷、有效過濾低等級攻擊。

“從騰訊安全的實踐經驗來看，我們在與金融客戶緊密協作過程中，通過紅藍對抗主動引入攻擊者進行滲透測試，開展攻擊面與暴露面管理工作，將資產梳理至前沿，力求在最早時間化解潛在攻擊風險。”李濱補充。

聶森進一步指出，AI大模型也是金融機構當前提升安全能力的核心驅動力，比如處理數據的分類分級管控，安全事件的分析和過濾，威脅情報的輔助分析，以及在安全事件綜合性方面等幫助很大。