查看原文
其他

活动 | 8.24上海银行业网络安全创新沙龙小记

苏苏是流苏 安在 2018-11-02


撰稿 | 流苏

编辑 | 图图


2018年8月24日,由安在组织的,针对银行互金行业网络安全创新沙龙在黄浦江边的一家私人会所举行。

虽然本次会议旁边的建筑正在拆迁,外部环境略有喧闹,但这丝毫没有影响到参会者的热情,演讲者和嘉宾之间的互动渐渐盖过外部的噪音。

一直以来,安在希望打造一个连接安全人员的平台,汇聚安全行业中的厂商、负责人、专家、技术骨干,在会议中多听、多看、多交流,分享最新的产品和解决方案,并聆听来自一线安全工作者的感悟、心得及看法。

用户的反馈让乙方更加了解企业的安全需求;而乙方的技术分享则给企业带来最新颖的防御技术和安全理念。简单、轻松的氛围让参会者更加舒适,安全系列活动受到参会者的一致好评。因此,安在还将组织更多有意思的交流活动邀请大家参与,共同探索网络安全的发展。

本次活动由信息安全新媒体安在(AnZer_SH)发起,上海市信息安全测评认证中心、安言咨询、ISG竞赛组委会支持,安在张威为主持人。现场,来自各各大银行、互联网金融行业专家、企业安全负责人、一线骨干员工作为会议嘉宾参与,与安全厂商共同探讨银行互金行业网络安全创新发展。

本次沙龙地点和上一次沙龙地点一致,是上海黄浦江边、黄晓明投资的一家私人酒庄——LAN会所。装修风格简约大气,里面珍藏着品类丰富的西班牙进口红酒,茶歇时间,在黄浦江边品尝着美酒,听着LAN会所的老板讲解红酒知识,朋友之间相互交流着安全知识。

现场气氛轻松而有趣,在介绍完红酒知识后,LAN会所老板幽默的说到,之前我在台下听安全专家们介绍网络安全知识,现在,我给各位安全专家介绍食品安全知识,安全真的是涉及人们生活的方方面面。会议结束后,LAN会所提供美味的自助式西班牙晚餐,参会者载兴而来,尽兴而归。

本次活动有幸邀请到诸多重量级银行互金企业,如华瑞银行、翼支付、中国银行、农行数据中心、南洋商业银行、浦发银行、快钱支付、上海银行、光大银行、渣打银行、汇通银行、证通股份、汇丰银行、民生银行、理想信息等企业。各安全部门负责人、专家、一线技术骨干现场分享实际需求,以及落地的难点、痛点。

此外,安在还邀请到瑞数信息技术总监吴剑刚、春雨科技总监陈俊、看雪安全技术研究员万嗣超到场进行主题分享,分别是:一场没有硝烟的战争、让企业远离网络钓鱼、金融行业和第三方供应商的风险管控。针对目前最为常见的安全问题和客户痛点,保障银行互金行业网络安全。

议题介绍及专家观点

瑞数信息技术总监 吴剑刚

一场没有硝烟的战争——自动化攻击与动态防御演示

网络安全威胁正如一场没有硝烟的战争,网页应用已经成为最主要、最容易的攻击入口,而黑客攻击手段工具化、形式自动化已传统安全防御体系捉襟见肘。

瑞数信息技术总监 吴剑刚

瑞数信息提出以“先发制人、掌握先机”的防护哲学,而不是一味的被动防御。通过四大核心技术如动态验证、动态封装、动态混淆和动态令牌技术,最大限度保护企业不受黑客攻击,让安全领先一步。

瑞数信息还将为用户提供全程式威胁感知服务,感知隐蔽性和伪装性攻击行为,准确定位攻击,并提供精准的攻击者画像。

专家观点

专家:工具扫描的识别率有多少呢,哪些工具可以被扫描出来?

吴剑刚:瑞数信息的技术是工具识别,并没有对工具进行分类,而是判定这是人的行为还是工具的行为,只要你是工具就一定可以识别并拦截,并不关心工具的种类、品牌和特征。

专家:瑞数信息是怎么判断人的行为和工具行为的?


吴剑刚:瑞数信息的技术中有两个方法来识别工具。第一是动态令牌,客户端请求不是直接到服务器,而是先到瑞数信息的产品,会将页面重新加载并含有一次性页面动态令牌,简单的工具无法过令牌这一关。第二个是动态验证,分为三个维度:第一维度是环境校验,是否时真实用户环境;第二维度行为识别,是否存在人的行为;第三维度是指纹标识,查看用户的行为轨迹。每一次校验的方法都是动态变化的,防止外部黑客熟悉防御而趁机侵入。

专家:如果是外部侵入是通过移动端进入的,这时候瑞数信息是怎么防御的?

吴剑刚:瑞数信息会植入一个SDK,以此来采集信息。和传统的SDK不同的是,瑞数信息的SDK是双向认证的。在APP端的环境校验部分会检测SDK,并在APP做移除侦测,如果是逆向打包,那么会被拒绝掉。而且,在移动端通过SDK采集到的设备指纹信息更加精准,加入动态令牌后形成唯一的指纹特征。在H5页面端,会获取设备相关样信息,通过取样内容来识别是人还是工具。

春雨科技总监 陈俊

让企业远离网钓

钓鱼邮件已成为企业最主要的风险来源,这样的攻击方式不仅廉价而且有效。然而,调查显示,有70 % 的企业信息安全事件是由于员工不当使用电子邮件造成,如何提高员工安全意识尤为重要。

春雨科技总监 陈俊

春雨科技提出Bufmail(巴菲反钓鱼系统),这是一款SaaS钓鱼情景模拟云服务,设计目的在于改变员工的风险行为,帮助员工提升对钓鱼邮件感知和认识。 Bufmail通过收集真实钓鱼邮件,创造逼真的钓鱼情景,让员工定期亲身体验钓鱼实例。

企业员工按照注册、企业认证、选择服务、充值、模拟钓鱼测试、获得报告等流程进行即可。为了嘉宾们能更好的理解,陈俊现场分享模拟采购邮件、模拟支付邮件、模拟银行邮件等案例,更贴合企业实际场景和需求。

专家观点


专家:用户如果要做钓鱼邮件测试需要提供内部邮箱地址,春雨科技是如何进行保护的?

陈俊:所有的账户信息春雨科技都是保密的,而且也会有专门的客服来服务的;在测试完成后,系统会自动删除所有上传的信息,数据库中不会保留任何的资料和信息。而针对内网用户的话,我们是使用用户电脑发送邮件,发送完成后当着客户的面将所有信息删除,保证数据的安全性。

专家:在做钓鱼邮件测试时,其中的链接和域名是一样的吗还是要重新注册域名。

陈俊:一般是根据用户的要求来做的,和客户特别像的域名也可以去申请。之前的合作客户平安普惠就是使用的高相似度域名。如果客户有需要的话我们也会把域名买下来然后转到客户名下。

看雪安全技术研究员 万嗣超

金融行业和第三方供应商的风险管控

大量的安全事件证明,第三方承包商是主要的外部安全事故诱因,外包对企业而言是有利的,但是却无法保证安全。NAVEXGlobal发现:67%的金融公司和50%医疗受访者,都将网络安全风险列为头等大事——高于欺诈、贿赂和腐败,以及利益冲突。与此同时,黑客的攻击方法日益变化,大量的黑客攻击集中于供应链系统。

看雪安全技术研究员 万嗣超

看雪学院提出通过安全众测弥补金融行业的第三方供应商系统安全性的不足,在黑盒状态下技术人员利用黑客技术寻找系统漏洞,防止第三方供应商潜在威胁。

简而言之,在相关监管部门的审核和监督下,拥有众多安全技术精英的看雪众测对厂商的漏洞状态进行挖掘、统计、修复,包括智能硬件、WEB安全检测、手机APP安全、企业系统检测等等。一方面保证企业漏洞不会被有心人利用,免除企业的后顾之忧;另一方面则是集中安全行业的技术精英,为企业修复漏洞,保护企业安全。

截至2018年论坛注册会员超过70万,在安全行业有着良好的口碑;其中,看雪论坛已经成为中国安全人士必备的学习、交流网站大量安全人才,通过论坛,从普通IT爱好者成长为安全专才。

现场花絮

主题分享

瑞数信息:瑞数信息( River Security ),成立于2012年,专注于提供业界最前沿的互联网动态业务应用安全防护解决方案。总部位于上海,在北京和深圳分别设有分支机构,并在成都设立了研发中心。首创的 “动态安全”主动防护技术完全颠覆了延续20多年的传统安全技术基础,可以有效抵御各类自动化攻击或模拟合法操作的交易欺诈行为,阻挡能力更高效、更及时,同时大幅度降低部署及使用成本。


春雨科技:上海春雨信息科技有限公司成立于2008年,自一站式邮件营销起,已成长为集邮件、短信、DSP广告投放的整合数据营销解决方案商。团队成员均来自知名互联网及数字营销领域公司,合作、理性、创新、技能点高,公司斩获多项荣誉。EmailCar是一个专注于电子邮件大数据流技术,先后服务过众多品牌客户、大型银行金融企业,在电子邮件底层数据流的技术处理、电子邮件追踪及用户行为分析等大批量数据挖掘上积累了丰富的经验。


看雪学院:看雪学院(www.kanxue.com),成立于2000年,是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区,经过18年的发展,看雪学院受到业界的广泛认同。平台为会员提供安全知识的在线视频课程和教学,同时为企业提供服务端安全、APP安全、反外挂系统、外包等相关服务。看雪学院聚集着大量bat等大型互联网公司的安全技术精英,拥有着雄厚的技术实力和安全行业经验。


主办方简介



安在:国内最权威的信息安全新媒体,专注为安全厂商提供包括品牌包装,媒体推宣、市场对接等在内的专业服务。


上海市信息安全测评认证中心:简称上海测评中心或SHTEC,于2000年1月挂牌运行,是经上海市人民政府批准成立的专门从事信息技术产品、信息系统安全测评及相关资质认证等业务的第三方专业机构,具有独立法人资格,是国内最早开展信息安全测评的机构之一。上海测评中心目前是华东地区检测资质最全、规模最大、综合性最强的信息安全专业测评机构。作为上海市的重要信息安全基础设施,上海测评中心在国内首创了“一个测评平台、资源共享、多方授权、服务各方”的集约化模式,是最早通过中国合格评定国家认可委员会的检测实验室认可及检查机构认可的机构之一,是国家首批信息安全风险评估服务资质(一级)机构。


安言:国内最早也是目前最权威的信息安全专业咨询机构,自2004年起,迄今已在包括银行、证券、保险、运营商、电力、外企、制造业、互联网等典型行业积累了数百家客户案例。


ISG:中国信息安全技能竞赛(组委会支撑单位是上海易念科技),是由中国信息安全认证中心与上海市信息安全行业协会联合发起,参考人社部相关文件要求成立竞赛组委会,并由竞赛组委会主办的全国性信息安全专业方向综合类竞技比赛,目前已成为中国网络与信息安全领域最具影响力和权威性的综合性赛事。ISG所汇聚的信息安全参赛人员及专家团队,基本涵盖各行业企业用户单位的信息安全技术骨干和管理人员。





「推荐阅读」

活动 | 甲方乙方对对碰:国企网络安全难题怎解?


活动 | 甲方乙方对对碰:银行企业数据安全锦囊何在?


活动 | 甲方乙方对对碰:保险业网络安全落地探讨


活动 | 甲方乙方对对碰:证券行业安全创新研讨


活动 | 甲方乙方对对碰:政府机构网络安全痛点有谁知?


活动 | 7.13北京金融业网络安全创新沙龙小记


活动 | 7.27上海保险业网络安全创新沙龙小记


活动 | 8.10上海证券业网络安全创新沙龙小记


中国网络安全新媒体联盟,由聚焦网安行业的包括安在、E安全、Freebuf、看雪论坛、数说安全、安全村、网安视界、游侠安全网、一本黑等在内的新媒体或自媒体共同发起成立,是非营利非实体性质的新媒体联络协调和合作互助机制。





人物∣热点∣互动∣传播

长按关注

投稿及商务合作请在后台回复关键字

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存