活动 | 10.18上海金融行业网络安全创新沙龙小记
撰稿 | 流苏
编辑 | 图图
10月18日,由安在组织的,针对上海金融行业网络安全创新研讨沙龙在一家颇具禅意的茶馆中举行。
本次活动由信息安全新媒体安在(AnZer_SH)发起,上海市信息安全测评认证中心、安言咨询、ISG竞赛组委会支持,张耀疆为主持人。
自2018年3月份以来,安在针对各细分行业组织网络安全创新沙龙,目前已是安在特色系列活动之一。安在会邀请众多安全企业专家分享最新的技术理念,也邀请各个细分行业代表企业安全负责人为活动嘉宾。活动形式及效果受到演讲者和参会者的一致好评:既可实现安全行业之间精准对接,亦可面对面探讨技术创新发展和具体落地方案。
小型的、私密的、强落地、高互动是网络安全创新沙龙的特点;了解企业用户网络安全的难点,关注网络安全科技创新及发展,深入探讨业务与网络安全新技术、新产品、新应用的结合实践则是其目的所在。
正如本次沙龙活动主持人,信息安全新媒体安在CEO张耀疆所说,组织细分行业网络安全创新研讨沙龙,其意义不仅仅是一次技术交流,而是建立起一个长效的沟通机制。参会者可以建立面对面的联系,以便后续持续进行互动。
上海市信息网络安全管理协会副秘书长王伟表示,协会将会进一步为企业服务,更多的走向社会,走向各行各业。对于金融行业而言,如果有等保、合规等方面需求,可以和协会联系。协会也将举办或参加各类线下活动,听听企业的声音,为企业提供更好的服务。
此外,安在行将组织针对企业用户的交流机制,目前已经在上海成立,名为诸子云。简单来说是希望能够邀请更多的甲方安全专家、安全从业者加入其中,平时可线上交流,安在也会组织相应的主题性研讨会议邀请诸位参与。
本次活动中,安在有幸邀请金融行业如浦发银行、浙商银行、深圳能信安、中国电信翼支付、中国农业银行、金拱门、中行数据中心、兴业银行、中银国际证券、麻袋财富等企业安全部门负责人、一线技术骨干为活动嘉宾,现场分享企业网络安全实际需求以及落地的难点痛点。
安在还邀请到网安协会副秘书长王伟,瑞数信息技术总监刘文韬,派拉软件CEO谭翔,弥赛亚工作室CISO米登科分享各自的安全解决方案。
议题介绍及专家观点▲▲▲瑞数信息技术总监 刘文韬
风控前置——银行业动态防护业务风险
瑞数信息安全
我国首届国际进口博览会即将到来,瑞数信息已被邀请参与其中,为进博会信息安全防护工作出一份力,这也是对瑞数信息技术实力的肯定。
如今,随着攻击技术日益自动化、工具化,传统安全防护手段难以奏效;企业业务与安全共生,应用防护与业务反欺诈交叠,让防御黑客攻击变的更加艰难。
瑞数科技提出创新动态技术 “先发制人,掌握先机”的防护哲学彻底颠覆攻防态势。以四大核心防御技术保障业务及数据安全:动态验证(甄别“人”还是“自动化”)、动态混淆(防止数据被篡改)、动态封装(隐蔽攻击入口)、动态令牌(一次性令牌);保护企业免受黑客攻击。
利用动态技术实现风控前置后,可以不依赖传统风控规则的实时人机识别和拦截,不依赖定制的业务逻辑欺诈识别,漏洞与无漏洞的业务异常行为的实时识别和阻拦。
专家观点▲▲▲专家:在金融行业中,你们有没有什么典型的应用场景?
刘文韬:在我们这里,应用的特别多的是撞库,低频多源的撞库是用的比较多的;其次是薅羊毛,如果业务拥有大量的活动和经费,使用我们的产品效果比较好;最后,如果客户没有时间打补丁,那么我们可以隐藏漏洞,为打补丁争取更多的时间。
专家:漏洞隐藏是一种新的方法,那么,企业能够做到什么层度呢?
刘文韬:我只能这么说,到目前为止,没有哪个客户在上了我们的产品后还被通报的,不少企业之前被通报,上了产品之后就没有再被通报,具体细节就不多说。
派拉软件CEO 谭翔
金融行业身份管理价值创新
随着互联网和移动设备的兴起,数字化时代用户已经成为中心。随着用户数据越来越多,身份数据不再仅仅是登录认证使用,而是依靠数据定义身份,获取数据价值。此外,身份管理有着简单易用的发展趋势。
派拉软件利用AI技术驱动智能身份安全管理,基于大数据分析和AI 算法,依靠身份数据+行为分析+设备指纹+上下文综合考量,为用户规避风险。派拉软件提供统一注册通道、账户管理、基本信息用户清洗去重机制等服务;并为用户提供多渠道提供统一单点登录管理;同时,各个业务系统客户数据打通共享,让客户得到统一的消费体验。
随着各类相关法律、法规出台,身份管理日益受到用户重视,派拉软件以大数据为基础,AI 技术为驱动,为企业提供领先是身份安全服务。
专家观点▲▲▲专家:在金融行业有没有实际应用案例,主要是侧重哪一方面?
谭翔:目前,许多企业正处于从上一代身份管理过渡到下一代身份管理过程当中。我们目前也有不少的金融客户,如中信银行等。此外,我们也有不少大企业用户如大众汽车等,主要是涉及身份智能安全管理。
专家:目前,对于权限方面的管理是否有解决方案?
谭翔:权限管理其实是非常复杂的。我们往往会建议用户非常细腻的权限要在具体的业务中处理。而许多基础布局身份管理可以为企业提供非常大的便利,可以为企业用户设定不同的权限规则,提供不同的身份权限。
弥赛亚工作室CISO米登科
下一代邮件安全体系
研究数据表明,37% 的组织已成为以恶意软件成功感染系统的电子邮件网络钓鱼攻击的受害者;24% 已成为成功感染的勒索软件的受害者;22% 经由电子邮件泄露了敏感或机密信息。
企业该如何防止邮件域名被攻击,如何防止收到有害的邮件呢?弥赛亚工作室推出邮件防钓鱼服务,模拟钓鱼、穿透测试、防伪加固、意识教育、近似域名五大服务,大大降低企业被恶意钓鱼邮件攻击的概率。
在沙龙活动现场,弥赛亚工作室CISO米登科现场实际演示近似域名攻击,员工收到邮件的地址与实际域名仅有微小差别,极易上当受骗。而往往恶意木马就在企业邮件的链接中,一旦入侵可能危及整个企业的安全,邮件安全的重要性不言而喻。
专家观点▲▲▲专家:对于模拟钓鱼这一块你们可以做吗?企业安全意识一直是企业安全的难点之一。
米登科:模拟钓鱼的服务是有的。它会模拟成一些来自于金融机构的钓鱼邮件或者账号变更、升级邮件,根据员工不同属性我们选择不同的策略。比如员工是财务,我们会模拟一些合作伙伴的邮件,里面有各种各样的模板。同时,事后我们也会提供详细的报告,详细到员工点击了哪些邮件、造成什么程度的伤害。
专家:伪造发邮件基于什么机制?
米登科:主要分几种。一是完全已知的发件人的模拟;二是近似发件人的模拟;三是显示名称邮件模拟。比较危险的就是真实地址模拟,员工极容易上当受骗。
现场花絮▲▲▲01
瑞数信息:瑞数信息技术(上海)有限公司成立于2012年,专注于提供业界最前沿的互联网动态业务应用安全防护解决方案。总部位于上海,在北京和深圳分别设有分支机构,并在成都设立了研发中心。首创的 “动态安全”主动防护技术完全颠覆了延续20多年的传统安全技术基础,可以有效抵御各类自动化攻击或模拟合法操作的交易欺诈行为,阻挡能力更高效、更及时,同时大幅度降低部署及使用成本。02
派拉软件:上海派拉软件股份有限公司成立于2008年,2014年10月完成新三板挂牌上市,总部位于上海市张江高科技园区浦东软件园,在北京、广州、长春、武汉设有服务机构。派拉软件是中国领先的企业级IT平台服务提供商,围绕身份安全、大数据、数字化转型三大领域,为企业和机构提供统一身份管理、互联网用户管理、特权身份管控、大数据日志分析、等相关的软件产品、解决方案和咨询与实施服务。03
春雨科技:上海春雨信息科技有限公司成立于2008年,自一站式邮件营销起,已成长为集邮件、短信、DSP广告投放的整合数据营销解决方案商。团队成员均来自知名互联网及数字营销领域公司,合作、理性、创新、技能点高,公司斩获多项荣誉。EmailCar是一个专注于电子邮件大数据流技术,先后服务过众多品牌客户、大型银行金融企业,在电子邮件底层数据流的技术处理、电子邮件追踪及用户行为分析等大批量数据挖掘上积累了丰富的经验。主办方简介▲▲▲
安在:国内最权威的信息安全新媒体,专注为安全厂商提供包括品牌包装,媒体推宣、市场对接等在内的专业服务。
上海市信息网络安全管理协会:协会于2010年5月经市公安局和市民政局批准成立,业务主管部门是上海市公安局。是一个在政府部门、企业单位、个人用户等社会各界之间起着桥梁和纽带作用的专业和权威组织。协会服务内容包括:建立和加强同国内外计算机及信息网络安全组织的联系,促进国内与国际间的交流,繁荣信息网络安全的学术研究;构建上海市信息安全联动机制,开展信息网络安全的论证、评审和咨询服务;进行市场调研和预测,为政府管理部门提供决策咨询。为加强社会力量的整合和支撑,进一步在全市大力推进互联网安全工作,协会先后成立了WIFI安全专业委员会、网络安全等级保护专业委员会、 APP安全专业委员会。
上海市信息安全测评认证中心:简称上海测评中心或SHTEC,于2000年1月挂牌运行,是经上海市人民政府批准成立的专门从事信息技术产品、信息系统安全测评及相关资质认证等业务的第三方专业机构,具有独立法人资格,是国内最早开展信息安全测评的机构之一。上海测评中心目前是华东地区检测资质最全、规模最大、综合性最强的信息安全专业测评机构。作为上海市的重要信息安全基础设施,上海测评中心在国内首创了“一个测评平台、资源共享、多方授权、服务各方”的集约化模式,是最早通过中国合格评定国家认可委员会的检测实验室认可及检查机构认可的机构之一,是国家首批信息安全风险评估服务资质(一级)机构。
安言:国内最早也是目前最权威的信息安全专业咨询机构,自2004年起,迄今已在包括银行、证券、保险、运营商、电力、外企、制造业、互联网等典型行业积累了数百家客户案例。
ISG:中国信息安全技能竞赛(组委会支撑单位是上海易念科技),是由中国信息安全认证中心与上海市信息安全行业协会联合发起,参考人社部相关文件要求成立竞赛组委会,并由竞赛组委会主办的全国性信息安全专业方向综合类竞技比赛,目前已成为中国网络与信息安全领域最具影响力和权威性的综合性赛事。ISG所汇聚的信息安全参赛人员及专家团队,基本涵盖各行业企业用户单位的信息安全技术骨干和管理人员。
「推荐阅读」
网络安全新媒体联盟,由聚焦网安行业的包括安在、E安全、Freebuf、看雪论坛、数说安全、安全村、网安视界、游侠安全网、一本黑等在内的新媒体或自媒体共同发起成立,同时有《中国信息安全》顾问支持,是非营利非实体性质的新媒体联络协调和合作互助机制。
”人物 ∣ 热点∣ 互动 ∣ 传播
投稿及商务合作请在后台回复关键字即可