查看原文
其他

活动 | 甲方乙方对对碰:保险业网络安全落地探讨

流苏 安在 2018-08-17


  文 | 流苏

编辑 | 图图


从2018年3月起,安在新媒体发起组织针对行业用户的信息安全创新解决方案和最佳实践的系列活动,小型化,私密性,高精准,重落地,强互动,这是我们举办此类活动的基本原则。


事实上,从最初银行业专场,到随后国企专场,再到这次保险业专场,来自“甲方”的专家代表,与来自“乙方”的技术中坚,以及与安在新媒体共同承办活动的权威机构及合作伙伴,无不感觉获益多多。在举办活动的同时,安在新媒体也正着手成立以企业用户为核心的网络安全专家联盟,旨在将这种高价值的交流机制进一步延伸扩展并常态化。



活动综述


5月11日,愚园路的一家私人会所中,安在新媒体(AnZer_SH)发起,安言咨询、ISG竞赛组委会支持,众多安全专家、企业安全骨干齐聚一堂,共同探讨网络安全在保险行业的痛点、难点以及创新发展。这是继3月23日银行专场、4月20日国企专场后,针对行业用户的系列活动的第三场。



此次活动中,知名安全厂商如东巽科技、瑞数信息、顶象技术、易念科技等,从网络安全防御角度以及企业员工安全意识教育等方面现场分享干货。另一方面,太平共享中心、交银康联、信息安全协会、安达保险、外汇交易中心、平安科技、上海市测评中心、乂学教育、友邦保险、快钱支付、甜橙金融翼支付、东京海上自助火灾保险等著名企业的网络安全负责人或技术骨干悉数到场。嘉宾们听取网络安全厂商干货分享,同时,从企业用户的角度出发,分享企业网络安全防御实际案例及痛点、需求。



本次研讨会依旧是安在新媒体创始人张耀疆主持,并对以往两次活动进行总结。张耀疆表示,举办此类会议的目的是希望连接解决方案提供商和企业用户单位,从自身实际情况出发,双方的思维相互碰撞,擦出新的火花。类似于这样的活动,安在将持续举办,广邀安全领域各路专家、大咖、企业安全负责人、技术骨干参与。未来,安在期望借此机会加大安全行业甲方、乙方之间的交流,共同探索安全新发展。


议题介绍及专家观点


东巽科技CTO  李薛

提升高级威胁防范能力的思考


金融行业一直是黑客攻击重灾区,所面临的高级安全威胁正在成为金融业重大的安全隐患。随着高级威胁的技术多元化的发展,隐蔽性、目的性、破坏性皆有上升,依靠传统手段已经难以防御。



因此,新形势需要新的安全建设思路。东巽科技CTO李薛表示,提升高级威胁的检测能力和可见性,建立起全局安全态势感知,溯源取证等是新形势下应对高级威胁的基本点。


此次东巽科技提供的解决方案通过隐蔽信道检测、虚拟化沙箱检测、木马通讯行为检测等方式,全面提升高级威胁可见能力,可实现对已知威胁和未知威胁的检测与分析。其次,云管端地多点协同,从攻击链全生命周期中的准备阶段、入侵阶段、攻陷后的阶段,来对抗高级威胁攻击。最后,通过数据采集、大数据分析、情报预测、智能联动、平台化、安全服务等方式,打造检测—防护—响应完整闭环。


在演讲中,李薛还列举某单位、某银行、某保险公司的具体案例,结合实际案例讲解技术的作用,对现场保险、金融企业嘉宾有很好的参考作用。




专家观点


1. 专家:目前,企业用户发现单纯的防御已经难以胜任企业安全工作,如何让攻击可视化并有一定的响应机制是应对APT攻击核心思想。


李薛:确实是如此,想要单纯依靠防御应对攻击攻击几乎不可能。目前,应对APT攻击的防御理念逐渐将重心转为如何快速发现问题并积极响应,这也是企业应该最先建立起来的第一步防御措施。


2. 专家:相对而言,APT攻击算是一个小众化威胁,既然要提升企业“看到”威胁的能力,不知道该系统能能给企业带来多少改变,“看到”的频率如何?


李薛:我们期望能够实时监测到威胁,之所以“看到”的角度、方式都不一样如从资产安全角度、从交互攻击角度等等,是为了让企业用户更加直观感受到面临威胁的具体情况。APT的攻击时持续性的,必须要有足够的时间来积累足够的数据才能进行总结、分析。


3. 专家:有的企业安全人员较少,有的企业安全人员人多,针对这两种不同的情况,采用的APT攻击解决方案的配置是什么?


李薛:就我个人经验而言,如果企业安全人员特别少的话,有些安全威胁应对需要有选择防御,人少很难顾及到方方面面。第二,我们公司也为此类客户提供企业安全管家服务,将我们的系统以租赁的方式进行。



瑞数信息技术总监  吴剑刚

风控前置  动态防护业务风险


目前,自动化攻击越来越频繁,传统的安全防御堡垒疲于应对。而业务与网络安全共生,应用防护与业务反欺诈相互交叠在一起导致防御愈加艰难,如营销薅羊毛、业务数据泄露、网站克隆等等攻击方式,对企业的业务构成严重威胁,并造成直接经济损失。



对此,瑞数信息提出风控前置概念,在攻击威胁到防御系统之前进行甄别。举个例子来说,就如同机场安检口检查乘客包裹,率先甄别出好人坏人,没收攻击者的作案工具,将风险拒绝在门外。


瑞数信息利用创新动态技术,崇尚“先发制人,掌握先机”的防护哲学,彻底颠覆攻防态势,让防御不在完全被动。利用动态验证(甄别“人”还是“自动化”)、动态混淆(防止数据被篡改)、动态封装(隐蔽攻击入口)、动态令牌(一次性令牌)、动态变换等手段,最大限度的将风险拒绝在服务器之前,让安全领先一步。




专家观点


1. 专家:准确率问题。风控前置是否会存在误判或者误报的情况,将正常的交易错误识别成威胁?


吴剑刚:风控前置第一个阶段是通过动态技术来实现的,不论人的请求还是工具的请求,都会做相应的处理,如果无法解析JS代码,那么就会被拦截。当然,我们默认所有的浏览器、H5、微信都会JS执行能力。如果第一次请求能带回一次性令牌,那么久判定为正常,反之判定为不正常,所以不存在误判的情况。


2. 专家:性能问题。风控前置是串联在服务器前段的,还使用一些动态混淆、加密等方法,是否会对系统正常访问有一些影响?对现有的部署是否有影响?


吴剑刚:客户首次发起请求的时候,动态封装时会将JS信息解析启动,客户端到服务器延迟会有100ms左右,以后每次访问延迟是在0—20ms之间,基本可以忽略。在服务器段的时候是全部剥离开的,不会对服务器有影响。


3. 专家:做风控部署时,APP需要做集成吗?


吴剑刚:其实没什么问题,确实是需要做集成,但是只是替换APP的一行通讯代码,所有的通讯由我接管即可,基本一小时内就可以完成。


顶象技术高级风控科学家  施亮

基于用户网络深度学习的反欺诈


AI技术的不断成熟,也给网络安全防御带来新的变革与挑战,企业用户越来越关心业务多场景复用以及用户隐私保护问题。企业构建用户画像传统方式是对海量数据进行挖掘分析,产生具有业务价值的用户标签,泛化能力差、数据表达能力弱且易出现信息泄露。



对此,顶像技术构建深度用户画像,规避欺诈风险并实现精准营销。同时,不同业务之间可以快速复用,更好的保护数据隐私,对复杂数据进一步挖掘并进行可视化展示。



专家观点


1. 专家:非常感谢施总的演讲,就实际应用而言,是否有具体案例享或者效果如何怎么展示出来?


施亮:公司初创时是以互联网企业风控反欺诈的,所以客户大多都是互联网企业,后来逐渐进入银行、金融领域,基本是和银行风控部门进行合作。


2. 专家:互联网企业做风控与银行企业做风控有何异同?


施亮:银行的业务种类繁多,主要是信贷和营销,在营销方面和互联网企业基本差不多,这也是我们切入银行业务的点。信贷方面则和互联网企业有所不同,目前我们公司正在做这样的客户,但具体实现的案例只有营销方面的。


易念科技CEO  王怀宾

企业网络安全的最佳投资——员工安全意识教育方法与工具


调查研究显示,90%以上的安全问题的直接原因是员工安全意识薄弱;人的因素对网络安全防御的影响远大于技术、制度与流程。对于企业而言,员工是最好的防线也是最大的漏洞,而想要提升企业安全防御,首先要开展员工安全意识教育。



王怀宾表示,企业开展安全意识教育有利于员工提高风险识别能力,建立行为规则(处罚依据),遵从合规要求,建立安全文化等。通过确定安全教育的目标与方针、分析教育对象、确定高风险和所需的教育内容、找出可促进改变的解决方案、将安全教育日常运营化、教育效果的评价与度量等实施方法,共同打造企业员工安全意识。


在安全意识教育工具方面,易念科技通过AI、VR相辅助,与技术联动,个性化、游戏化等手段,打造测评—教育—严重—技能完整闭环,辅助与安全周、安全月、安全年等行动方案,为企业建设起第一道网络安全防线。




花絮





主题分享


东巽科技:东巽科技(北京)有限公司是中国新兴的网络安全公司,由国内顶尖的白帽子技术团队组成。公司成立于北京,南京设有子公司,专业从事高级持续性威胁(APT)相关技术研究、安全产品研发及服务, 致力于打造基于大数据思想的APT安全云平台,为中高端客户所面临的高级持续性威胁提供高级安全保障服务。



瑞数信息:瑞数信息( River Security ),成立于2012年,专注于提供业界最前沿的互联网动态业务应用安全防护解决方案。总部位于上海,在北京和深圳分别设有分支机构,并在成都设立了研发中心。首创的 “动态安全”主动防护技术完全颠覆了延续20多年的传统安全技术基础,可以有效抵御各类自动化攻击或模拟合法操作的交易欺诈行为,阻挡能力更高效、更及时,同时大幅度降低部署及使用成本。



顶象技术:北京顶象技术有限公司,成立于2017年05月08日。顶象技术拥有全景式风控技术和智能终端安全技术,打造了基于实践需求的金融安全大脑及全场景、智能化、可信赖的业务安全体系。通过全景式业务安全风控系统、无感验证、虚机源码保护、安全SDK等方案和产品,赋予电商、金融、IoT等行业BAT级的业务安全能力,让平台和用户免受薅羊毛、虚假借贷、身份冒用、交易欺诈、账号盗用、恶意爬虫、代码破解等各类风险威胁。



易念科技:上海易念信息科技有限公司是国内网络安全意识教育市场发起者与领导者,由国内最早从事安全教育与咨询工作的专业人士发起成立,率先提出“意识决定安全”企业发展的核心理念,聚焦安全文化与意识教育相关的内容生产、平台服务与活动运营,创新提出“测评-教育-验证-运营”的安全意识教育模型,致力于提供企业安全文化建设与意识教育解决方案,改变员工不良行为与认知,协助建立企业安全文化。



主办方


安在:国内最权威的信息安全新媒体,专注为安全厂商提供包括品牌包装,媒体推宣、市场对接等在内的专业服务。



安言:国内最早也是目前最权威的信息安全专业咨询机构,自2004年起,迄今已在包括银行、证券、保险、运营商、电力、外企、制造业、互联网等典型行业积累了数百家客户案例。



ISG:中国信息安全技能竞赛(组委会支撑单位是上海易念科技),是由中国信息安全认证中心与上海市信息安全行业协会联合发起,参考人社部相关文件要求成立竞赛组委会,并由竞赛组委会主办的全国性信息安全专业方向综合类竞技比赛,目前已成为中国网络与信息安全领域最具影响力和权威性的综合性赛事。ISG所汇聚的信息安全参赛人员及专家团队,基本涵盖各行业企业用户单位的信息安全技术骨干和管理人员。





「推荐阅读」

活动 | 甲方乙方对对碰:国企网络安全难题怎解?


活动 | 甲方乙方对对碰:银行企业数据安全锦囊何在?


人物 ∣ 热点∣ 互动 ∣ 传播

长按关注

投稿及商务合作请在后台回复关键字即可

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存