12月18日,360与深圳市互联网金融协会共同举办“新时代金融网络安全的攻与防”研讨会,360多位专家现场“把脉”,就金融行业在网络安全框架建设、实网攻防演练、反欺诈领域的困局开出“药方”。
360集团金融事业群技术总监訾雅彬谈到,大安全时代下,针对关键基础设施的攻击成为常态,而APT攻击目的性强,往往借助钓鱼邮件进行攻击,从内部瓦解金融系统坚实的安全堡垒,还会通过变种木马、勒索病毒,组建僵尸网络、挖矿木马、暗网流量等,对金融系统造成了严重的安全威胁。
“目前360已累计监测到针对中国境内目标发动攻击的境内外APT组织41个,金融机构是APT攻击的第二大目标,” 訾雅彬说道。
360集团网盾业务部高级研究员梁萌表示,当前一些金融机构安全防护能力参差不齐,超范围收集个人信息、仿冒钓鱼现象等问题突出,威胁互联网金融安全。
面对更加有组织、有目的,更难追踪的网络威胁以及边界愈发模糊的复杂业务环境,企业应当如何应对?
“危则变,变则通,通则久,我们需要改变思路,从攻防对抗角度进一步提升企业安全能力。“360集团攻防产品事业部总经理张锦章强调道。
2019年,公安部印发《关于2019年至2022年开展全警实战大练兵的指导意见》,攻防演练受到企业安全团队的重视。
张锦章表示,回顾以往的金融机构网络安全建设实践,往往是在合规驱动下,应对外在威胁的思维模式是单纯软硬件安全产品的堆砌,因此无法从整体角度评价安全水平。
而安全是发展的,动态的,只有通过实网攻防的对抗可以精准挖掘金融机构潜在的脆弱性及威胁,有效验证安全防护是否健壮,促进安全体系的改进并提升人员的安全能力。
在他看来,讲一百遍不如打一遍,只有在接近网络攻防的真实环境下,才能发现问题、补齐短板。通过网络攻防实战演练积累经验、锤炼队伍、培养人才、磨炼技术,才是金融行业应对未知安全威胁的长久之计。
研讨会现场
在攻防方面,360不仅在Pwn2Own、DEFCON等世界顶级赛事上获得多项冠军荣誉,其多项领先技术也已形成个性化方案落地到行业的业务场景中,成为360护航金融安全的优势。
安全不仅是发展的底线,更已经成为金融行业数字化转型的核心竞争力。作为天然的数据密集性行业,金融行业面临的安全风险更加复杂,因此提升对金融风险的识别和预警能力尤其重要。360提出集合感知预警、快速反应、实网练兵、漏洞管理、人才培养为一体的安全防护解决方案,助力金融机构从传统安全被动防御的思维,转为全面高效、主动防护的安全模式,提升客户看见威胁、阻断威胁的网络安全防护能力,构筑金融业安全防线。(林悠然) 注:此文属于光明网登载的商业信息,文章内容不代表本网观点,仅供参考。