新技术的涌现带动了金融行业的数字化转型发展,同时也带来了更多安全挑战。一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数级上升,金融业务的复杂性使得数据安全保护体系的建设难度不断加大。如何完善网络安全体系化建设,构建持续有效的安全防护,成为金融行业的“难题”。
本期腾讯安全《CSO面对面》栏目,邀请到海通证券安全运营负责人吴晨炜,以金融行业的安全防护为例,分享金融企业面临的网络信息安全建设问题及解决对策。
以下为本期《CSO面对面》文字实录。
关于海通证券的安全建设
Q1:就历史经验来看,安全建设主要有哪些阶段,如何在整体体系上保证集团数字化的全面安全?
吴晨炜:随着云计算、大数据、人工智能、物联网等新一代信息技术的快速发展,信息化和数字化的进程加快,网络空间面临的安全问题和过去有很大不同。在新的安全形势和安全环境下,企业安全防护体系建设从合规导向逐渐转向能力导向,发展为目前体系化,实战化,常态化安全建设。包括体系化建设纵深防护体系,实战化的演练以及常态化的日常运营,通过“修炼”安全能力和构建持续有效的防控体系来保障集团的安全。
Q2:海通证券是非常典型的对网络安全要求极高的行业领导者,请问您认为网络安全建设有哪些典型的场景?之前是否经历过一些事件,激发了我们集团加强对网络安全的重视?
吴晨炜:事实上,近年通过实战攻防演练的方式来发现企业安全漏洞,提升企业安全防护能力的形式已经成为常规手段。企业也能够在对抗中不断适应多种攻击手段,升级自身防护能力,并在最终的复盘中对攻击行动中的防御体系的识别、加固、检测、处置等各个环节进行审视,发现薄弱位置并进行优化。
海通证券也是通过每年至少两次的实战化演练来促进网络安全建设。之前由于互联网暴露面还未完全收敛导致有部分高危组件对互联网开放,成为了防护的短板,通过实战化的演练发现问题,加速互联网暴露面收敛工作,通过把高危组件收缩至零信任网关,从而减少攻击面。
Q3:您觉得市面上互联网公司的技术发展对大型企业集团的安全建设有怎么样的影响或者帮助?能否举几个例子?
吴晨炜:互联网公司由于本身面对的用户群体量大、需求多、竞争激烈,因此业务开发迭代版本很快,在诸如云原生、AI、机器学习等方面都走在全行业的前列。现在的网络威胁形势也正是处于一种快速增加和演变的趋势当中,黑灰产攻击手段也随着新技术的出现和应用而不断升级进化,互联网公司在新技术的快速应用以及安全防护上的快速迭代,能够跟上安全环境变化的脚步,更好地适应用户需求。
其次,互联网公司拥有大量的优秀数字化人才。企业数字化转型很大程度上依赖掌握数字化关键技能的核心人才,各项新业务、新业态的诞生和稳定发展都需要数字技能人才支撑。然而在数字化人才缺口仍较大的当下,一般企业往往难以招到相关人才并最大化利用人才资源。
基于在数字化领域和安全领域的不断实践沉淀,互联网公司能利用自身建设的经验赋能大型企业集团,特别是新技术的应用、网络安全等方面往往能提供新思路、新理念、新实践,从而帮助大型企业集团的数字化发展。
Q4:您个人在推动海通证券的安全建设与部署中,发挥了哪些“先行者”的作用,具体涉及哪些安全技术/理念的应用?
吴晨炜:海通证券作为一家国际金融集团,始终高度重视企业安全工作。在信息安全建设和运营实践中,我们团队一起建立完善了安全问题及时发现、有效解决的闭环机制,通过每日安全事件的闭环促进运营策略的闭环,从而优化安全运营能力,提高企业安全防护水平。
Q5:未来您希望对未来整个集团安全建设还有哪些部署和思路?腾讯的解决方案是否能够有所助力?
吴晨炜:目前,海通证券仍在安全运营领域进行不断尝试和实践。后面我们将继续推进企业集团化安全建设,把总部的安全能力以及实践经验赋能到子公司,促进整个集团的安全能力提高,将安全作为一种常态化的工作落实到企业的方方面面。
基于企业对于安全建设工作的向基层落实以及安全能力的整体提升的需求,腾讯的安全运营中心可以建设集团化SOC方案,将其安全管理的能力输出并接入到企业安全建设流程中,通过集中集团的网络安全日志进行安全数据和信息集中统一管理、场景建设及事件闭环。
Q6:对于腾讯安全的合作,主要在您公司的哪些场景中发挥作用?您觉得最关键的效能是哪些?
吴晨炜:在与腾讯安全的合作过程中,海通证券在安全运营方面建设方面有了更大的能力提升。海通证券本身业务范围比较广,包括投资银行、证券交易、融资租赁等等,同时也在积极地推进数字化建设,为客户提供更多样化、优质化的金融服务,这么多元的业务场景其实对我们自身的安全运营和管理也提出了挑战。腾讯在安全运营方面有自己独到的见解,也沉淀出了一套有效的体系,能够通过预测、防御、检测和响应实现安全事件的闭环,这跟我们的“主动响应和闭环”的安全工作理念是比较符合的。在实际落地过程中,腾讯的这套体系也有效帮助到我们的安全运营方面建设,特别是安全运营中心、安全编排自动化平台。
除此之外,腾讯安全做的一些关于ATT&CK的前沿技术研究,其实也给海通证券的攻防能力带来了启发和参考,同时以产品的形态让企业能够轻松地接入一些前沿的安全能力,真正帮助企业提升自身的安全水位。
最重要的是腾讯安全SOC的专家团队给与了很大的帮助,提供了完善的组织以及多年在安全领域的实践经验,在安全运营方面也有着强大的实力。通过腾讯的专家对安全运营深刻的认识,来建设丰富的安全场景,展现安全态势,从而帮助公司提高威胁检测能力,加快响应速度,赋能海通数字化能力。
关于行业安全建设经验
Q7:大型国企数字化过程中,有哪些比较普遍的安全痛点和安全风险?
吴晨炜:首先,企业在推进数字化建设过程中,由于业务与合作范围的扩大,使得企业面临的攻击面也会随之不断扩张,难以避免会遇到更多威胁。不断扩展的攻击面管理也就会要求企业安全团队投入更多精力在安全防控中,并承担起更多的安全责任。
其次是集团化安全的管理及赋能。大型国企规模实力强大,通常具备多个业务单元及多个所属公司,各业务板块对应安全管理的要求不同、主管行政部门不同、管理规范不同、监管要求不同,需要有一个完善的的管理体系来应对不同下属单位的安全管理工作。
另外,尽管当前大部分国企已经部署了大量的安全设备来应对网络威胁,但仍缺乏高效的分析手段对海量的日志信息进行“解码”,难以掌握全局安全状态,影响安全运营的效率和效果。
除此之外,国企员工在办公时常用到的邮件、微信等,这些也是钓鱼攻击常用到的渠道,企业需要针对这些办公场景提升钓鱼的检测及防护能力。
Q8:近期,中国证券行业协会下发了《安全提升计划》,对于证券公司统筹发展与安全,提高资本市场网络和信息安全水平制定了进一步的规划,提出了更高的要求,请问在您来看,《安全提升计划》将会推动和引领证券行业网络安全建设的哪些变化?
吴晨炜:其实证券行业对安全的发展及投入一直处于不断增加的状态,《计划》则是从协会的角度提供给证券公司一个参考,本身的发展是国家大趋势,且会越来越提速,从而保障企业在数字化浪潮下获得更多竞争力。
就《计划》的内容来看,它的推出的确会给证券行业的网安建设带来正面的推动作用。里面提到的证券公司应制定人才培养计划,持续提升科技治理水平,健全网络和信息安全防护体系等等,都要求证券企业自身要强化安全技术、管理等方面的能力,不仅仅是对安全能力的掌握,更鼓励自研,“修炼内功”,从根本上提升行业的安全水位。
Q9:从行业来看,针对大型关键基础设施型企业的网络攻击还是较为频繁的,遭遇勒索攻击的威胁也在持续放大,您认为应如何应对?
吴晨炜:关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。因此,保障关键信息基础设施的安全,做好安全能力的建设,提升对攻击威胁的对抗水平是非常重要的。
一是要做好人才及团队建设。网络安全保障团队作为安全运行活动的执行者,企业网络安全工作的主力军,代表着企业安全能力的一部分。广纳贤士、建设架构合理、人才齐备的安全团队是企业推进网络安全建设的重要驱动力之一。
二是企业内部加强宣传做好宣贯。我们一直说“人”是网络安全中最脆弱的因素,很多攻击都是通过人这一媒介来实现的。企业员工都需要提升安全防护的意识,必要时候企业可以组织相关培训和应急演练指导。
三是企业需要注重体系化、实战化、常态化的安全建设。如今,攻防演练逐渐趋向成熟和体系化,企业需要持续的、灵活的安全运营来实现对安全态势的整体防控,在危机真正来临的时候也能够有条不紊地开展防御工作。
栏目简介
当前,作为数字经济发展的“生命线”,网络安全已渗透到国民经济的全领域、各层级,为产业数字化发展提供了坚实的基础。在数字安全建设的洪流中,有一批敢为人先、勇于突破的探索者,他们的安全建设之路,对于各行业有着极高的参考价值和借鉴意义。因此,腾讯安全联动雷锋网、数世咨询等媒体策划「CSO面对面」栏目,旨在通过深度采访数字化实践中标杆企业CSO、CTO、安全负责人、数字化负责人等安全先行者,了解在其工作场景如何中部署建设安全体系,解决企业安全痛点,消除安全风险,为产业数字化的安全实践提供参考和指引。