齊向東:85%中小型金融機構在實戰攻防演習中被攻破過
釋出日期:2020-11-27 作者:新華財經
“中小型金融機構網絡安全狀況十分堪憂,85%的中小型金融機構在實戰攻防演習中都被攻破過!”11月27日,在2020北京國際金融安全論壇上,奇安信董事長齊向東發表上述觀點。
齊向東在“從實戰攻防看金融行業安全態勢”的主題演講中表示,從奇安信在2020年承接的金融機構實戰攻防演習的情況來看,在承接的229家金融機構中,大型金融機構佔11家,被攻破佔比為18%,而以城商行、券商、保險為代表的中小型金融機構佔218家;被攻破的佔比則高達85%。
圖 奇安信董事長齊向東發表演講
近幾年,我國的金融科技得到了快速發展和廣泛應用,互聯網金融、移動金融、非接觸式金融等金融新業態蓬勃發展。尤其今年的“疫情”進一步加速金融業數字化轉型。
但並非所有的金融科技創新都建立了與其應用廣度、深度等相匹配的風險防護措施。在金融業數字化轉型過程中,存在着不成熟、有風險的金融科技創新及應用,加大了網絡安全風險的擴散效應,金融業網絡安全面臨新的挑戰。
齊向東指出,目前中小型金融機構網絡安全存在十大薄弱環節,包括:
安全意識薄弱,利用社工突破隔離網;互聯網存在未知資產,易成為攻擊跳板;業務互聯出口多,安全管控不嚴;應用系統常規漏洞多;供應鏈管控弱,自身安全等級低;安全設備0Day漏洞威脅大;集權系統缺少保護策略;服務器不升級、不加固、弱口令,易被攻擊;終端安全防禦能力弱,不能有效監測攻擊;實戰化攻擊監測能力弱,難以發現真實攻擊。
“我們在今年攻防演習中發現,中小型金融機構面臨着三大典型的、主要的安全風險。
一是0DAY漏洞成為重要攻擊渠道,威脅大。
二是供應鏈成為常見攻擊短板,管控弱。
三是社工釣魚成為主流攻擊方式,意識差。”齊向東表示,並且在實際的網絡攻擊中,一般攻擊者會有組織的,組合利用多個薄弱環節來進行網絡攻擊。
齊向東建議,中小型金融機構要儘快補足“安全運行能力弱”、“實戰對抗武器少”、“終端防護不安全”、“安全人員配置不足”四個短板。
首先就要建立實戰化安全運行中心。很多中小型金融機構還停留在點狀防禦、設備運維的階段,不瞭解家底、沒有可靠的武器、沒有可落地的運營流程。一旦發生網絡攻擊事件,容易出現難發現、難執行、溯源不到位等問題。如果有實戰化安全運行中心,這些問題就都能得到解決。
二是補充實戰攻防對抗類武器。網絡安全是一場攻防對抗戰,在海量數據中發現真實攻擊行為是對抗的前提條件。如果要提高實戰對抗的能力,就必須有基於流量的安全監測、基於主機的監測與防護、基於蜜罐的威脅誘捕等武器。
三是加強終端網絡安全管控。目前中小型金融機構在終端管控上存在明顯不足,導致終端容易失控,並且在失陷後不容易被第一時間發現。要讓終端受控,必須加強終端資產管理、補丁管理、終端准入、防病毒、外設管控、上網行為管理等工作。
四是提升安全人員能力。中小型金融機構受規模限制,很難建立完整的安服人員體系,有必要引入可靠性高、技術能力全面、團隊作戰能力強的安全服務團隊,體系化開展安全服務工作。
齊向東表示,網絡安全是數字化轉型的底板。沒有網絡安全,數字技術的作用就會大打折扣。因此,金融機構要建立新一代金融網絡安全體系,在這過程中有四大目標。
首先是加強合規,消除合規性風險。
第二,保障業務,實現安全能力對信息化各層次,及業務板塊全面覆蓋與深度融合,構建內生安全能力、形成常態化、實戰化、體系化的安全體系。
第三,適應形勢,面對國內外網絡安全形勢,通過規劃,緊跟發展,採用新思想、新模式、新技術提升安全能力,保障業務。
第四,應對挑戰,對新技術、新業態等方面引發的新型風險,做好業務發展支撐。
具體而言,在金融機構推行數字化轉型的過程中,需要不斷加固網絡安全底板,立足“三化六防”,建立金融行業內生安全體系,才能更好地應對新風險。今年年初,奇安信以系統工程的方法論結合“內生安全”理念,創新推出了面向新基建的內生安全框架,將安全能力統一規劃、分步實施,逐步建成面向數字化時代的一體化安全體系。
內生安全框架包含十大工程、五大任務,幾乎適用於所有應用場景,指導不同行業輸出安全架構。目前,這套框架已經在近百家重要客户的網絡安全規劃方案中落地,能源、交通、航空等多個行業的客户,都給奇安信很高的評價。
齊向東表示,我相信,金融機構按照這個框架,一定能建立完善的協同聯動防禦體系,確保金融機構在數字化轉型過程中的網絡安全。