电话

15169028800

中国金融业信息安全调研报告:金融行业成数据泄漏重灾区内部威胁亟待解决

标签: 网络运营都干什么 2023-08-04 

  研究目的:随着国际形势愈发严峻,金融作为国家关键基础行业面临巨大挑战。另一方面,金融机构基础设施的全面数字化升级,带来全新安全问题。金融机构应当如何面临新时期的安全挑战,如何保护金融机构的核心信息安全?

  该报告将通过分析信息安全在金融行业的发展现状、未来趋势、市场规模等,深入洞察大数据、AI等新技术为金融行业带来巨大变革。

  研究思路:本报告将信息安全分为网络安全、数据安全和业务安全三大场景,从金融机构当前面临的威胁现状、相关政策、自身安全成熟度出发,分析当前金融机构主要面临的安全挑战,基于分析结论,对金融机构应当如何面对挑战提供了一些对策,最后,对信息安全的整个市场规模进行评估,分析了信息安全公司的核心竞争力以及国内外优秀厂商。

  金融机构在国民经济运行中扮演着极为关键的角色并发挥着基础支撑作用,由于近年来数字经济的快速发展,与之相关的信息网络安全问题愈加受到业界关注,尤其以数据安全与应用安全的风险更加突出。

  为此,国内数字化研究与咨询机构爱分析和数字安全调研机构数世咨询,联合大数据安全优秀厂商瀚思科技,以及业内资深专家和金融重点用户,经过半年多时间的调查与分析,结合目前的形势和遇到的困难,共同撰写了《中国金融业信息安全调研报告》。希望能够为广大金融安全及相关从业者,更好的解决当前面临的威胁和迎接未来的挑战,提供有价值的参考。

  本报告以数据驱动安全的理念,为金融机构的网络安全风险防范,给出了切实有效的解决方案和解决思路。并且从市场需求、发展趋势等方面做出了综合阐述,是近期金融安全领域比较优秀的参考资料,推荐业内人士阅读。

  随着移动互联网、云计算等技术的发展,金融机构的业务环境愈加复杂,内部系统与外部空间的边界也愈加模糊。与此同时,网络攻击者的攻击手段却越来越丰富,攻击数量越来越多。面对0-Day、APT等新型攻击手段,传统安全以防御为核心的策略失效,金融机构的安全状况面临严峻挑战。

  根据Verizon最新发布的《2019年数据泄露调查报告》,DoS攻击和在银行应用程序中使用窃取凭证的现象仍旧普遍存在。其中,网络应用程序攻击、滥用特权和其他错误导致数据泄露占比高达72%,造成的数据泄露中43%为个人信息泄露,38%为凭证信息泄露,38%为内部信息泄露。金融获益是网络攻击最常见的动机,占比高达88%,另外间谍攻击占比达10%。

  一方面,《等级保护2.0》、《网络安全法》等国家政策发布,自上而下推动金融信息安全发展,对金融机构的安全防护提出更高要求;另一方面,云计算、大数据、人工智能等新技术既带来了新的安全场景,又赋予信息安全更多工具和能力。

  而从2019年12月1日刚刚宣布执行的等保2.0标准对新型安全攻击检测能力、网络安全分析能力、用户行为分析能力等提出了更高的要求。这也同时呼应了金融信息安全对抗高级威胁,内部威胁,升级安全体系从被动防护到主动防御、动态防御的实际需求。于此同时,等保2.0中也强调了安全管理中心的作用与要求,体现了集中安全管理的思想,保证分散于各个层面的安全能力在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,保证等级保护对象的整体能力。而统一安管也正是大部分金融企业实施安全体系治理的核心诉求。

  新时期,金融机构除了需要面临过往的风险威胁外,还要面临以下新的风险,特别是在数据安全和应用安全方面,这些新威胁呈现出与金融业务场景紧密结合的态势,值得重点关注。

  从上述图表不难看出,数据成为新一代信息安全防护的关键。大数据应用场景不断成熟,让数据成为企业的核心竞争力,围绕着金融机构的数据安全,出现了一系列新安全场景。同时,数据作为连接安全和业务场景的桥梁,很多应用安全的风险及应对方式都是基于数据分析和处理。

  境外网络攻击频发,网络安全上升到国家安全层面。根据国家互联网应急中心发布的《2018年中国互联网网络安全报告》显示,位于境外的4.9万个计算机恶意程序控制服务器控制了我国境内约526万台主机,在我国感染计算机恶意程序的主机数量中占比达到80%。

  2016年11月,国家出台了《中华人民共和国网络安全法》,明确了网络运营者要重点加强个人数据和重点数据的安全管理,维护国家网络空间主权、安全和发展利益,从源头上保证网络安全。

  2017年1月,国家又推出了《国家网络安全事件应急预案》,给出了针对网络安全事件的处理流程,成为基础电信企业、域名注册管理和服务机构、互联网企业网络安全事件处置过程中体系化的指导性文件。

  2018年4月21日,国家领导人在全国网络安全和信息化工作会议上发表讲话, 没有网络安全就没有国家安全。

  作为关键性基础设施,金融行业安全成为关注焦点。《网络安全法》中指出,关键基础设施主要分布在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,这其中金融行业安全尤为重要。

  2016年2月5日,孟加拉国央行被黑客攻击导致8100万美元被窃取。2016年6月,黑客们从乌克兰银行手中偷走了1000万美元,并使用银行转账系统SWIFT来转移他们的战利品。

  传统网络安全主要以边界防御为核心,利用防火墙、WAF、IDS等网络设备或软件对关键性基础设施进行防护。但是,传统网络安全一般只能依靠预先设定的防御规则来检测已知攻击,进行事后防护,对于现阶段层出不穷的新型攻击模式和技术,很难做到事前预警。

  由于这些关键性基础设施一旦遭到攻击就可能严重危害国家安全,因此必须保证在没有相似攻击事件发生之前就可以判断出事件的威胁程度,进行预警并采取措施。这就要求安全分析软件要采用大数据以及人工智能技术,使其具备预测能力,从而达到预先防护的目的。

  关键信息技术自主可控,提升国产厂商竞争力。网络安全上升到国家安全后,金融机构对关键信息技术的自主可控需求不断增强。

  以银行为代表的金融机构面临三大问题:一是国外产品的技术封锁和封闭性使得“棱镜门”那样的后门难以被发现,可能导致金融机构敏感数据信息泄露。二是金融机构金融科技创新发展步伐会受到极大限制,不能深入了解国外产品“黑匣子”,科技创新与底层系统难以完全匹配。三是国外产品的垄断使金融机构系统运维成本居高不下,同时也增加了金融机构风险管理和业务持续性管理的难度。

  因此,银监会也相继发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》 (银监发[2014]39号)和《银行业应用安全可控信息技术推进指南(2014-2015年度)》(银监发 [2014]317号)两份与安全可控技术发展相关的政策文件。

  文件要求,2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比;2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究。

  1.2.1 网络安全法颁布与实施意味着我国已经全面进入信息安全2.0时代

  随着整体国家网络安全形势的日益严峻,2016年11月7日,全国人民代表大会常务委员会发布了《网络安全法》,并与2017年6月1日起开始正式实施。

  作为我国第一部网络空间的综合性法律,《网络安全法》首次将网络安全工作提高到法律高度,明确了网络空间主权原则,体现了网络安全作为国家战略的决策,也为相关工作提供了法治基础,标志着我国全面进入信息安全2.0时代,具体而言:

  《网络安全法》把“网络安全等级保护制度”从行政指令上升到法律高度,银行业金融机构全面识别、评测、备案内部信息系统的安全等级是不容商议的。

  同时,除了传统的信息系统,将云计算、移动互联网、物联网等新兴系统均纳入到等级保护的范围之内,为探索和应用这些新技术最积极的金融行业确立了安全管理标准。

  第二,作为关键信息基础设施的运营者,金融行业各企业应设置专门安全管理机构和安全管理负责人。

  与以前相比,明确要求设立独立的安全部门,大大提高了安全团队在企业内部的地位,安全部门能够有更大的权限、更多的预算进行信息系统的安全规划与建设。此外,独立的安全部门,也有更强烈的动机去证明自己安全工作的能力与价值。

  第三,违反《网络安全法》规定的网络安全保护义务,拒不改正或者导致危害网络安全等后果的,直接负责的主管人员和其他直接责任人员将接受处罚。

  实际操作中,安全问责将落实到金融企业一把手身上,促使企业高级管理人员意识到信息安全建设的重要性,加强对安全的投入力度。

  2016年,“5·26侵犯公民个人信息案”,抓获包括银行支行行长在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元。该支行行长最终被判有期徒刑一年三个月。

  2018年,中国银行湖北通山支行的陈谦利用职务便利查询客户个人信息并泄露给外部人员,禁止终身从事银行业。该支行行长李雁玲负主要领导责任,被处以行政警告处分。

  2018年,中国人民银行发布了一则高达716万元的行政处罚信息,处罚对象包括四大国有银行和民生、光大、广发、中信、浦发等多家银行,还包括保险公司、资产管理公司等多家金融机构。这些金融机构在过去两个月时间里,都曾发生泄露信息、瞒报数据等违规行为,有银行机构不仅过失泄露信息,而且未经授权便查询个人信用信息,甚至违法出售个人信息。在违规处罚中,有三家金融机构的单个罚单超过50万。

  除了国家层面颁布了《网络安全法》之外,金融业的相关监管部门也对金融机构的安全建设提出了明确的指导意见。

  银监会于2018年发布了《中国银保监会办公厅关于加强无线网络安全管理的通知》(银保监办发【2018】50号),明确要求银行及保险公司加强对无线网络的安全管理。

  银行保险机构的无线网络应划分独立网段或虚拟局域网,进行安全隔离和访问控制,防止非授权访问。应采用安全、可靠的加密协议,对无线通信信道进行安全加密。加强无线网络用户管理,防止非法用户访问。

  银行保险机构应采用防火墙、入侵检测、防病毒等网络安全技术措施,及时处置无线网络安全事件,防止无线网络感染和传播病毒等恶意程序,防范无线网络遭受入侵和攻击风险。

  中国网络安全等级保护2.0将在2019年12月1日正式实施,对金融企业在云计算、移动互联网、大数据等新技术方面的应用提出了更复杂的网络安全需求。

  等保2.0要求金融企业更多的从被动防御转向主动防范风险,安全不再是一次性安全设施投入,合规成为常态需求。

  在新的等保要求下,企业的安全系统需要对数据库和应用服务的访问行为进行审计,并从中发现未报警的风险信息。

  另一方面,态势感知成为等保2.0工作的重点。单纯的威胁检测已经不能满足企业需求,金融企业只有构建感知、检测、响应、预防的闭环管理才能实现完善的威胁生命周期管理。

  因为国有银行、股份制银行往往久经考验,黑产主要是攻击这些大型金融机构,而对中小银行等攻击较少,因此,很多中小银行过往很难有意识和体会到自身安全建设的问题。

  等保2.0以后,金融机构,特别是中小银行、证券公司和保险公司真正意识到安全建设应当是个长期工作,而非一次性投入。

  通过等保2.0的实施,中小银行等金融机构一方面感受到来自监管层的压力,另一方面也感受到来自同行的压力,可以看到其他金融机构在安全建设的提升。因此,通过这一类的安全运动,将安全建设的长期运营理念由大型金融机构逐步传导到全部金融机构。

  基础设施的云化,让过往很多硬件设备都无法起到作用,金融机构对安全软件的采购正不断增加。但这些安全软件能否满足金融机构的需求,仍然存在很大疑问。

  第一,形态的变化。从物理形态转变为纯虚拟化形态,数据的防护、审计、加密等安全措施的使用和管理难度明显增加。一些应用迁移至云端,传统流量监测类的防护产品如何能够发挥价值,都存在疑问。

  第二,存储方式变化。数据集中存储引起管理方式的变化,如何有效隔离、区分不同银行业务数据是保证业务正常运转的关键问题。

  第三,部署难题。传统防护和审计设备的串接部署方式无法在云环境下操作,如何实现过滤内部攻击、发现外部安全风险,并保障加密技术所使用的密钥体系安全可靠,分级管理制度合理可信。

  第四,运维管理复杂。当前金融机构都会选择混合云架构,既有公有云环境,也有私有云环境,同时还会有传统数据中心,不同业务会在不同IT环境之中。但金融机构往往希望通过统一管理平台、统一视图界面来进行安全管理,这同样是比较大的挑战。

  从国家政府和行业监管机构公布的政策来看,当前网络安全(即传统安全)仍然是金融行业最主要的需求,而金融机构对数据安全的重视程度正不断加大。

  互联网、金融为个人信息泄漏的重灾区,并且由于金融行业中个人信息数据更加完备且价值度高,更是各类攻击的首选目标。近年来,信息泄露事件在金融行业层出不穷,并且泄露原因多种多样。

  2017年9月,美国三大个人信用评估机构之一Equifax被爆出遭遇黑客攻击,约有1.42亿美国用户的个人重要信息面临泄露风险。2018年11月,美国汇丰银行通知客户10月4日至10月14日期间发生了数据泄露,泄露信息包括用户的详细个人信息、账户信息和交易记录。

  根据Verizon最新发布的《2019年数据泄露调查报告》显示,36%的数据泄露是由于企业内部人员造成的,内部威胁逐渐成为数据泄露的主要原因之一。

  2014年1月,韩国信用局内部员工窃取了2000万银行和信用卡用户的个人数据,造成韩国历史上最严重的数据泄露事件。2016年,“5·26侵犯公民个人信息案”,银行支行行长与外部人员配合,窃取257万条公民银行个人信息。

  这些“内鬼事件”显示,以往仅仅防控外部威胁的做法已不足以满足金融机构现有数据安全的需求,针对内部威胁的业务体系必须建立,内外部需要统一防控。

  正如前文所言,因为金融机构的外部环境变化和自身数字化转型需求,传统以合规为基础的信息安全体系,将会过升级到信息安全2.0时代新防御体系,金融机构的安全建设的重点也将从传统的“合规”建设,过渡到满足自身网络安全“刚需”的新防御体系。

  安全成熟度模型既能清晰地展示安全全貌,又能为安全工作提供明确的努力方向与建设目标,能够帮助金融机构更好地看到自身所处于什么阶段,当前应该在哪些方面进行投入。

  在2.0新防御体系下,网络安全总体成熟度将分为五个级别,即Ⅰ初级防护、Ⅱ基础防范、Ⅲ体系化控制、Ⅳ主动性防御、Ⅴ进攻性防御。不同的成熟度级别具有不同的基本特征,具体如下:

  第一,初级防护。初级防护是安全成熟度的最低级别,可以理解为组织机构还未开始重视安全建设,没有成型的安全工作思路,具体的安全防护也非常的薄弱。

  初级防护级别的基本特征为:安全控制严重不足、风险管理能力缺失、安全工作职能缺失、安全事件无法感知、面临监管机构处罚。

  第二,基础防范。基础防范是安全成熟度的第二个级别,可以理解为组织机构已经进行了安全建设,安全技术与安全管理相关工作已经开展,但是安全建设都是按点进行控制,相对比较零散、无序。

  基础防范级别基本特征:安全控制比较零散、风险管理基础薄弱、安全工作凌乱无序、安全事件被动响应、应对监管检查困难。

  第三,体系化控制。体系化控制级别是安全成熟度的第三个级别,可以理解为组织已经建立起了相对完善的安全安全体系,信息安全风险控制机制已经建立并有效运行,在安全组织、技术、制度、运行等方面已经全面进行体系化控制,此时安全体系是基本上是大而全的最佳实践堆叠。

  体系化控制级别基本特征:安全控制形成体系、风险管理机制建立、安全工作规范有序、应急响应能力建立、满足安全合规要求。

  第四,主动性防御。主动性防御是安全成熟度的第四个级别,可以理解为组织开始以自身网络安全刚性需求为工作导向,为了达到自身刚需目标而充分融合技术与管理手段,并能够对安全体系进行量化的控制与绩效评价,最终实现安全主动性防御的目标。

  主动性防御级别基本特征:安全控制场景融合、高级威胁初步防控、安全绩效量化评价、事件实时监控预警、核心数据安全可控。

  第五,进攻性防御。进攻性防御是安全成熟度的最高级别,可以理解为网络安全已经上升到企业风险治理的高度,网络安全与业务风险已经开始逐步融合,网络安全建设与业务风险控制已经很难在划清明显的界线,已经具备基于业务安全进行态势感知与攻防对抗的能力。

  进攻性防御级别基本特征:安全控制主动智能、具备安全对抗能力、安全价值有效输出、潜在风险提前预警、促进业务健康发展。

  目前,绝大多数金融机构处于第三阶段,体系化控制,基本符合监管要求,满足等级保护的要求,遇到安全问题基本都有解决方式。下一步将重点放在主动性防御的建设,提升安全运营水平。

  面临信息安全2.0时代的诸多安全挑战,金融机构应当如何应对?爱分析认为,基于数据提升安全防护能力,是金融机构未来安全建设的重要方向。

  正如前文所言,基于新的安全形势和金融机构数字化转型需求,金融机构需要能够覆盖云计算、移动互联网、物联网终端等全场景的网络安全产品。

  考虑到不同场景的复杂性,传统面向特定场景的网络安全方法论已经失效,必须通过统一的安全运营,实现对全场景的防控。同时,越来越多的金融机构意识到,安全工作是需要长期运营,而不是一次性投入,因此,安全运营的价值越来越重要。

  同时,金融机构会更加重视威胁类型和威胁场景的覆盖。过去进行安全攻防对抗,基本都是请来一些黑客进行攻防演练,最终效果如何,完全取决于黑客的个人能力,没有系统化方法。

  当金融机构更加重视安全运营后,即使是攻防演练变得更加系统化、体系化,金融机构会更加关注效果,哪些设施的防护存在漏洞,哪些设施容易受到攻击,整体纵深防御体系的有效性如何。

  金融机构需要长期、实时地监控整个安全体系,不断检验各个环节的防护效果,达成运营目标。

  当金融机构以效果为导向,进行安全体系建设时,必须要对效果进行量化,需要有数据作为支撑。

  数据主要是两类数据,一类是攻防演练中的测试数据,通过一些测试工具来评判攻防演练的实际效果,找出薄弱环节。另一类是用户真实情况的数据,受到攻击的数据。例如,两家用户规模类似的城商行,为何其中一家被攻击成功的次数更多,背后是什么原因,这些都需要数据作为支撑。

  第一,独立安全部门的出现,意味着金融机构会在网络安全上投入更多预算,由于处罚对象涉及到金融机构“一把手”,因此,金融机构对网络安全的重视程度不断提高。

  例如,中国人寿保险集团在集团层面成立了由集团公司董事长担任主任的信息化建设委员会,统筹信息化建设和网络安全的重要工作,着重从网络安全等级保护制度及关键信息基础设施保护、信息安全风险评估能力、通报预警及应急处置和数据资产及个人信息保护等四个领域予以贯彻落实。

  第二,独立安全部门有望打破各个业务系统的“孤岛”问题,实现网络安全的统一管理,这就要求金融机构必须建立统一的大数据管理平台,以支持安全运营业务。

  第三,独立安全部门有更强动力证明自己的工作能力,对安全产品的要求会不断提升,有助于推动整个网络安全行业由原先的关系型销售向技术产品型销售转变,对技术和产品本身的重视程度提升,技术产品能力强的公司将更有机会获取行业客户。

  因为安全运营是件长期工作,需要不断投入资源,对于金融机构而言,特别是中小金融机构资源相对有限,需要看清楚自身所处阶段,针对当前最亟待解决的问题进行投入,有的放矢。

  统一大数据平台能够帮助金融机构看清自身所处阶段,让不同层级的人都清楚自身当前的重点工作。

  对于日常运维人员,核心价值主要体现在两个方面。一方面,统一平台能够让运维人员看清每天要处理的安全问题;另一方面,通过统一平台能够大大提升运维人员处理问题的效率,之前要去看防火墙、查系统的日志,现在可以通过一个平台就能看清。

  对于管理层,可以通过统一平台,在一段时间内进行对比,认知到自身机构的安全状况是在好转还是恶化,哪些系统的安全状况比较差,需要针对性地增强。之前的系统优化和增强都属于“拍脑袋”决策,现在通过统一平台,可以基于真实结果和数据进行决策。

  数据安全不仅仅是加密解密、防泄漏等技术,数据安全是意识、流程、管理理念等综合在一起的成果,因此,从技术切入做数据安全,很难真正达到目标。想做好数据安全这件事,必须要从数据治理开始。

  做好数据保护,要从了解数据全生命周期入手,从数据的产生、移动、销毁等各个阶段,从业务层面了解每个阶段可能存在的风险,进行再对应到相应的技术,具体分为三个部分。

  首先,数据分类和访问控制,先要找出敏感数据,很多企业都不知道敏感数据在哪里,后续工作根本无法开展。然后才是制定具体访问策略,哪些人员具备访问权限。

  其次,监控和分析。对数据库等系统的访问进行实时监控,并对监控结果进行分析。比如一小时内,连续访问源代码500次,连续访问客户敏感信息30次,出现这类状况就告警。

  由上述步骤可以看出,做好数据保护工作,单单依靠一些单点技术是远远不够的,需要通过一整套体系来实现目标。在这过程中,底层需要有一套统一数据平台来作为支撑。

  通过大数据平台,对不同数据源进行数据治理,针对不同等级的数据进行分类控制,再通过持续实时监控,发现问题,并及时进行拦截。

  当前,大量的金融业务数据存在云端,混合云构建的复杂存储环境对现有的数据安全保障提出了更高的要求。在面对任何系统性灾难面前,数据不被破坏是业务连续性的必要保证。

  数据不被破坏有三点具体要求,经济高效的数据备份方案、数据一致性保证和数据防污染能力。

  为了保障金融数据安全,除了进行私有云的数据多地灾备外,公有云上运行的业务系统也需要实现在不同公有云厂商和在不同地点的数据备份工作。这样就可以保障金融数据在发生战争或者大型自然灾害等不可预见事件时也能得到最高等级的保护。

  而为了保障数据一致性,金融企业需要对数据进行大量的审计工作。一个银行通常有几十个对外的业务渠道,不同终端的用户行为一旦产生差错,就会造成业务数据的不一致。数据审计就是通过对不同用户的行为进行记录审核,一旦数据不一致,可以在一定情况下回滚数据,或者对产生不当行为的系统账户(尤其是系统管理员等特权账户)产生震慑。

  金融级的数据安全还要求对数据具有终端溯源和网络取证的能力。证据数据本身的防污染非常重要,一旦数据被篡改,现有的证据数据就会失去效力。金融机构可以通过对关键数据进行抓包和数字签名,数据安全就可以对存储的数据进行跟踪和验证,从而达到数据防污染的目的。

  典型的数据泄露事件通常发生在金融业务系统内部,通常是由非法访问实现的。黑客通过漏洞潜入业务系统后,可以通过横向移动,实现对系统管理账号的暴力破解。这样,黑客就可以乔装成系统用户从而盗取金融企业的核心数据。

  数据的非法访问通常分为三个阶段,通过系统的脆弱性进入业务系统、通过横向移动对特权账号进行破解、通过特权账号访问涉密信息。

  数据安全的防护通常发生在前两个阶段。应对数据非法访问的过程,金融企业的可以通过构建纵深防御的数据安全平台,逐层对系统进行加固。在系统加固的过程,数据安全平台可以对业务资产进行清点和管理,以在早期构建主动风险防范的措施。

  网站应用入侵防护系统(WAF)会在攻击发起的第一时间对攻击进行检测,若WAF失效,纵深防御的第三层保护措施将启动。非法访问时,入侵者的整个访问路径都可以通过智能大数据分析平台进行跟踪和分析,其中包括了其窃取数据的过程。通过对客户行为进行分析,数据安全平台即可及时阻止非法访问行为的发生。

  可见,数据安全平台可以通过掌控黑客的攻击行为,将数据非法访问的风险降到最低。

  除了外部入侵造成的数据安全问题,内部人员的合法滥用也会引发重大数据安全风险。这通常发生在内部员工通过合法账号访问公司的敏感数据,并将相关数据倒卖给竞争对手。

  根据裁判文书网的一则事例,2018年底某金融公司张某以每条0.2~0.5元的价格将数百万的公民个人信息贩卖给他人,非法牟利近40万元。据调查80%的数据泄露是由公司内鬼利用特权获取而导致的泄露。

  防止数据不被合法滥用,最重要的是利用UEBA工具对员工的行为进行跟踪判断。异常的员工行为信息,例如员工在不合理的时间、地点调用不常用的敏感信息,通常会有较大的数据泄露风险。

  数据合法滥用的难点在于仅发现可疑的员工行为并不能判断员工是否造成数据泄露,需要公司的法务部门或者其他跟员工进行确认。数据安全平台可以为企业提前发现内鬼,提供相应的信息线索和数据取证工具。一方面可以在造成大的损失前,避免损失的发生;另一方面,通过震慑作用,避免员工轻易的滥用数据。

  据Gartner预测,到2020年,人工智能在网络安全领域的份额,将从现在的10%增长到40%。

  在美国,华尔街分析师已经观察到,运用人工智能技术的安全厂商,正在从传统安全厂商手中抢走客户。相关厂商受到了资本市场的重视,例如,2018年11月,Cylance被Blackberry以14亿美元收购,2018年6月,CrowdStrike获得2亿美元E轮融资,估值已升至30亿美元。

  4.1 基于人工智能技术建立一套自适应安全架构,让态势感知具备分析和响应能力

  基于用户行为数据网络,人工智能技术帮助大数据平台实现全局态势感知,完成了防护、检测、响应、预测的闭环:防护环节,加固和隔离系统、转移攻击和阻止事件;检测环节,检测事件、确定风险并排优先级、抑制事件;响应环节,进行模式变更、调查取证;预测环节,主动风险分析、预测攻击。

  通过对上述环节的提升与优化,人工智能使态势感知由原先单纯的数据展现,具备了分析和快速响应能力,进而使监控中心变成指挥中心。同时,依靠机器学习等人工智能技术,系统本身具备学习能力,能够基于结果反馈,不断优化升级,由原先的依靠人工经验调整规则,变成完全由机器决策。

  内部威胁分析的复杂性决定了传统规则模型很难检测出效果。因为基于用户行为数据的分析和预测,并不像病毒检测、垃圾邮件分类等,具备预先定义的模型,每个金融机构的用户环境不一样,要识别人员、行为的异常,很难用一套先定义好的模型适用于每个客户,必须要在每个自身环境生成相应的模型。

  一个典型金融机构每天原始事件在亿到十亿级别,每天告警数量在百万级别,如此多的事件,不可能仅靠人工和规则梳理,只有依靠人工智能强大的自我学习和数据分析能力,才能够迅速、精准地发现其中隐含的问题和潜在风险。

  以瀚思科技的UBA产品为例,利用先进算法可对长达两年周期的历史数据进行精准分析,从海量数据中准确捕捉异常行为。同时结合有监督学习和无监督学习算法,先通过无监督学习进行聚类分析,再通过有监督学习实现对新规则的学习,最终帮助企业发现潜在内部威胁。

  传统安全产品与金融机构的业务之间存在一道天然鸿沟,核心是考虑问题的视角和出发点存在巨大差异,安全公司很难理解金融机构的业务逻辑及应用场景,很难提供真正支持业务安全的产品。

  人工智能技术的出现有助于安全公司跨过这道鸿沟,原因在于,安全公司可以完全基于数据本身和反馈结果,训练出一套模型,模型本身并不特别依赖于场景本身,而只是依赖于场景中产生的数据。

  人工智能在我国金融机构安全防护中,已有不少落地案例。例如,宁夏银行联合瀚思科技构建了其态势感知平台,该平台采用了降维算法、聚合算法、方差演进序列、决策树算法等多种机器学习算法来发现业务安全风险。

  宁夏银行利用人工智能技术进行大数据分析,发现了多起诸如交易异常、账号异常、褥羊毛及业务逻辑漏洞等问题。通过不断的优化及调整,宁夏银行业务安全风险不断降低。

  如前文所言,当前很多金融机构都将由体系化控制向主动防御阶段迈进,这一过程中,金融机构需要具备主动防御能力,当主动防御能力不足,解决办法有两个途径:第一,将深度分析、实时监测能力融入到现有系统中,如NGFW、EDR等;第二,部署、应用下一代安全防御产品,如TDA、UEBA等。

  这样来看,未来的安全产品中,传统防护类安全设备将融入新的思想,增强主动防御能力。而检测类的传统安全设备,将逐步被下一代安全分析检测系统所替代,逐渐在市场中被淘汰出局。

  从安全分析与检测的分类上说,第一类是风险分析与检测,也就是传统风险评估在下一代安全防御体系中的创新应用,变化是风险分析由人工变为系统自动完成,由定性分析变为定量或场景化分析,由要素组合变为要素单独分析;第二类是异常分析,主要包括业务异常(反欺诈)分析、用户行为异常分析两种;第三类是事件分析,是将传统安全防护设备中产生的告警进行归并、关联,输出高质量的事件信息。

  从安全分析与检测的特性上说,首先,安全分析与检测必须是实时完成的,这样才能在威胁、异常、事件刚有迹象的初期,就能够检测出来;其次,安全分析与检测必须能够弥补传统安全设备的不足,能够发现传统安全设备发现不了的问题,这样才能称得上是深度分析;最后,分析检测结果必须能够进行整合、关联,形成有效的内部威胁情报,为安全运营提供决策支持。

  金融信息安全的市场规模与金融机构的科技支出密切相关,考虑到金融机构在金融科技方面的投入比重不断增加,因此,金融信息安全市场会长期保持快速增长。

  根据测算,2020年金融信息安全市场规模约为80-100亿元,增长主要来自金融科技整体投入不断增加,以及安全在整个科技占比不断提升。

  市场规模测算逻辑,先测算金融科技在整个金融机构的支出比例,再考虑了信息安全业务在金融科技的主要占比。

  根据爱分析测算,2020年,金融科技投入会占到整个金融机构投入的1.5-2%,因此,中国金融科技的市场规模为1600-2000亿元。

  根据调研,当前中国信息安全在整个科技支出的比例为2-3%,美国信息安全会占到整个科技支出的7-10%,考虑到未来金融机构对安全投入会持续增加,到2020年,信息安全在整个科技支出的比例有望提升至5%左右。因此,测算出,2020年信息安全市场规模为80-100亿元。

  以数据为核心的安全技术在不同金融客群的渗透率高低,或落地先后顺序,主要受金融客群业务的复杂程度和业务规模的影响。业务越复杂、规模越大,金融机构就越难以通过传统安全手段和人力来预防和处理相关安全问题,且安全事故带来的损失将越大,这会提高大数据安全技术的刚需性。

  以数据为核心的安全技术在银行业渗透率最高,保险业和证券业次之。这是因为银行业的业务最为复杂,涵盖支付、贷款、信用卡、理财等等,且每日交易金额巨大,而保险行业主要是较为低频的保险购买和理赔,证券行业安全与业务的联系较为松散,主要以传统网络安全需求为主。

  以数据为核心的安全技术在各金融行业头部机构的渗透率较高。首先,头部金融机构的业务复杂度和业务规模更高。其次,建设大数据安全平台,例如SOC,需要数百万元的投入,成本较高,且在使用中,对金融机构IT人员的技术水平提出了较高要求,这些资金和人员投入,只有头部机构有足够的实力去承担。以银行业为例,四大国有银行、全国股份制商业银行和中上游的城商行,基本都采购了SOC平台,而规模较小的其他银行,SOC的建设比较少。

  在金融行业信息安全市场中,主要有传统安全厂商、互联网公司、新兴创业公司以及国外厂商四类玩家。

  传统安全厂商,指提供WAF、防火墙、IDS等传统网络安全产品的厂商,包括启明星辰、绿盟科技、亚信安全等。在网络安全以及内部威胁方面,这些厂商拥有自身的边界防护产品,因此对于网络安全漏洞以及威胁有较深的理解,在传统网络安全业务中有一定的优势;但由于这些厂商本身大数据和人工智能技术能力较低,因此在向大数据安全转变的过程中会有较大劣势。在业务安全方面,传统安全厂商较少涉足,这主要是由于业务安全需要对于业务场景理解有较高要求,而传统安全产品并不会涉及业务层面,因此传统安全厂商在这方面并没有积累。

  互联网公司,指有具有互联网背景并提供安全产品或服务的公司,包括华为、360企业安全、蚂蚁金服等。在网络安全以及内部威胁方面,互联网公司本身有较强的技术能力,同时互联网公司自身对网络安全也有较大需求,因此对于大数据安全的理解较深;但互联网公司的交付能力一般较弱,很难由头部企业下沉,即很难服务股份制银行、城商行等。在业务安全方面,互联网公司多从风险定价、交易反欺诈场景切入,由于互联网公司本身拥有大量用户数据,因此在这些场景中有较大优势。

  新兴创业公司,指利用大数据、人工智能等新技服务于安全市场的公司,包括瀚思科技、兰云科技、同盾科技等。在网络安全以及内部威胁方面,新兴创业公司技术能力较强,同时产品本身就是从大数据角度进行开发,由于缺乏传统网络安全产品,新兴创业公司不能提供完整解决方案。在业务安全方面,新兴创业公司有两种切入方向,一种方式为瀚思科技等厂商所选择的方向,自身没有数据,而是从客户获得数据,从身份验证的反欺诈场景切入,结合传统网络安全数据与业务场景来服务客户,采用这种方式的玩家较少,并且由于对于安全和业务场景的理解能力要求都较高,因此整体进入壁垒会更高,另一种方式是同盾科技等厂商所选择的方向,与互联网公司的模式相同,通过自身拥有的数据来服务客户。

  国外厂商,指国外提供安全产品或服务的公司,包括IBM QRadar、Datavisor等。在网络安全以及内部威胁方面,国外厂商的技术能力非常高,并且多数国外厂商的产品已经在标杆客户中完成了部署,产品稳定性以及完整性已经得到验证,对于国内金融行业有较大的吸引力;但多数国外厂商在国内的服务支持能力较差,以提供工具而非解决方案为主,并且国外厂商定价不符合国情,整体投资回报率一般,因此现阶段只有自身安全团队组建较为完善的大型客户会选用国外厂商的产品。在业务安全方面,国外厂商较少,这也是由于业务安全需要大量定制化服务,国外厂商很难提供。除此之外,还需要考虑到现阶段安全已经上升到国家安全层面,并且金融行业的数据非常敏感,对于国产化需求较高,因此未来国外厂商的市场份额占比应该会逐渐下降。

  从目前来看,数据驱动安全在国内还处于起步阶段,技术能力较强的互联网厂商以及新兴创业公司会有较大优势,随着之后这些厂商的场景理解不断积累,后续竞争壁垒会更加明显。

  在传统的网络安全市场中,由于产品线众多,本身市场极度分散,同时,由于之前金融客户多数以合规为主要建设驱动力,因此大厂商虽然产品线完善、技术能力出众,但在客户方并不会有突出优势,进一步造成了传统网络安全市场集中度较低的情况。

  在以大数据平台为核心的信息安全市场中,爱分析预测整体市场集中度会有一定程度的上升。

  一方面,数据融合成为趋势,各类安全业务将基于大数据平台开展,提升市场集中度。不同于传统网络安全众多产品线造成了市场集中度较低的情况,在大数据安全中,各类日志、设备数据都将接入大数据平台中,之后各类安全业务都将基于此大数据平台开展,因此,提供大数据平台的厂商会具有较大优势,整体市场集中度将会提升。

  另一方面,从产品提供商向服务提供商转变提升市场集中度。从美国市场来看,很多客户不再选择在本地建立自己的大数据安全平台,而是选择将数据交予安全厂商进行分析,在这样的服务模式中,安全厂商的规模效应会更为明显,市场集中度将提升;反观国内市场,虽然现阶段客户还没有将数据开放,但服务更多客户的安全厂商对于场景理解能力更为深刻,并且可以得到更多威胁情报,帮助其后续优化模型,同样拥有一定规模效应以提升市场集中度。

  金融信息安全作为安全领域的新兴市场,服务客群主要是银行等金融机构,他们对安全厂商的综合能力要求极高。爱分析主要从技术产品研发和业务落地两个角度分析金融信息安全公司的核心竞争力。

  一方面,大数据、人工智能等技术尚未成熟,安全公司在海量数据处理、人工智能算法工程化等方面的投入,以及将技术转化成企业级产品的能力,都是影响安全公司竞争力的重要因素。

  技术能力决定着安全公司在技术层面是否能够解决客户问题的天花板,而产品能力则影响安全公司的业务效率,是降低业务对人力依赖的重要途径。

  另一方面,客群定位、获取客户的能力以及对客户业务场景的理解能力,直接影响了大数据安全业务是否能落地及落地效果。

  当大数据等技术尚未成熟时,其在不同客群的渗透速度会存在明显差异。选择对新技术接受程度高的客户群体,有助于快速形成应用案例、树立行业口碑及扩大影响力。

  现阶段安全厂商主要服务企业级客户,但是企业级客户的获客周期较长,获客难度较大。银行等金融机构在挑选供应商时,都会有长达数月甚至一年的POC(Proof of Concept)过程。因此,这对安全厂商的获客能力提出较高要求。

  从未来发展方向来看,企业的安全部门所面临的问题不仅仅是信息安全问题,更多是业务安全问题,这对安全公司的业务场景理解能力提出更高要求。安全公司除了解决信息安全问题之外,更重要的是将安全如何与业务融合,满足金融机构业务部门的需求。

  综合以上判断,爱分析认为,金融信息安全公司的核心竞争力包含技术能力、产品能力、客群定位、获客能力以及场景理解能力。

  技术能力:主要体现在数据采集、数据存储与处理、分析引擎, 安全运营等环节。

  数据采集方面,业务系统中全量数据的采集能力是核心影响因素,包含结构化的日志数据和非结构化数据,如对netflow 或资产,漏洞等上下文数据的采集能力,以及通过NLP等技术对文本数据的解析能力等。另外,对网络中新数据源的自动识别能力,解析规则的自动适配能力也是技术能力积累的体现。

  数据存储与处理方面,当数据量级由GB级变成TB,甚至是PB级时,存储和处理海量数据的能力尤为重要。应重点关注安全厂商基于流式技术对海量数据的实时分析能力,对多源异构数据的统一治理能力等。

  分析引擎方面,基于机器学习等新技术方式,从而替代依靠简单规则和统计方式来进行分析决策。应重点关注安全厂商AI算法工程化的能力、AI算法团队规模及相关负责人的背景、能力。同时,将威胁分析能力与 MITRE ATT&CK 知识库对接,从而迅速检验整体安全防护体系能力的盲点,为安全能力的提升规划提供系统性的框架参考。这也是考察厂商分析能力的重要指标。

  安全运营方面,威胁的自动化溯源分析能力以及处置中的自动响应能力;协同工作时,流程可视化编排;联动品类繁多的各种安全设备、应用、资产、漏洞以及威胁情报的能力。这些都是考察厂商在这个方面技术能力的重点。

  产品能力:重点关注大数据安全平台端到端的能力、产品对各类系统的兼容性、各种网络架构、不同数据中心拓扑结构的支持能力,从而满足金融机构类客户需求。例如,能够支持多级数据中心的级联部署、多云混合云架构。同时考虑产品在实际部署交付过程中,由应对各种架构、业务形态、安全需求造成部署实施的难易程度。

  客群定位:客群分析主要是从两个角度:客户对信息安全的接受程度,以及对信息安全的潜在投入规模。

  一方面,考虑大数据对金融机构的渗透速度,定位那些对大数据技术接受程度高的客群,对业务推进有很明显的促进作用。其中头部金融机构更愿意尝试新技术,因为他们自身信息化基础设施更完善,业务人员的能力更强,安全更容易落地。

  另一方面,考虑客户群对大数据技术的潜在投入,也就是客户全生命周期价值(LTV)。鉴于ToB业务的获客难度高,服务高LTV客户对安全公司来说价值度高,头部金融机构的付费能力更强,同时业务规模更大,安全体系规划的系统性强,安全对业务场景的支持能力和价值度更高。

  获客能力:从安全公司的自身市场销售体系建设和实际获客效果来评判获客能力。

  一方面,安全公司自身市场销售团队的完善程度,从售前到客户成功团队的体系建设,以及安全公司的合作伙伴生态和渠道建设能力。从首次客户交流,到产品演示,再到POC 测试,最终产品实际部署运营,有一套行之有效可复制的打法。

  另一方面,安全公司获取标杆客户的能力、获取标杆客户的数量以及客单价、自身在金融行业的品牌影响力,亦是实际获客效果的重要影响因素。

  场景理解能力:重点关注安全厂商“全场景”规划和支持的能力,基于安全本身解决客户业务场景问题的能力。从以外部攻击为主的网络安全, 到内部人员违规、应用安全数据安全、再到业务反欺诈等风控场景问题的解决能力。一方面,安全厂商是否有解决全场景安全问题的产品及其技术能力;另一方面,安全厂商已成功帮助客户构建体系化的建设场景,并在金融行业已具备成功案例。

  IBM QRadar 智能分析平台,对网络、人员、应用和数据进行实时监控,对异常威胁事件进行检测,依据威胁的影响程度和严重性触发报警机制,可追溯威胁的根源和范围,帮助安全团队及早对威胁事件采取行动。

  IBM QRadar 智能分析平台以IBM QRadar SIEM 安全信息和事件管理为核心,整合分布在网络中数千台设备、终端和应用的日志源事件数据和网络流数据,使用Sense Analytics引擎,对数据实施规范化和关联处理,应用于安全运维等场景。

  技术能力上,QRadar Advisor with Watson系统使用机器学习、深度学习、图像模型等人工智能技术,实现对非结构数据进行挖掘和分析,并将其与本地安全违规行为相关联,查找威胁的根源和范围,分析并得出可能的威胁发起人、最终目标以及其他信息,帮助安全团队更深入地洞察威胁根源并采取适当的行动。

  客群定位上,IBM QRadar目标定位中大型企业,重点服务大型金融机构,客群质量高。

  场景理解上,主要覆盖安全运维的六大商业场景,包括高级威胁检测、关键数据保护、内部威胁监视、风险和漏洞管理、未授权流量检测、取证调查和威胁搜寻。

  瀚思科技是国内数据驱动安全领域的标杆公司,现已累计完成4轮融资,服务了国内数十家银行、证券公司、保险公司等金融客户。

  瀚思科技主要基于大数据、AI技术,构建安全智能分析平台,基于一站式HanSight Enterprise大数据安全分析平台,向上延伸用户行为分析系统HanSight UBA、网络流量分析系统HanSight NTA、威胁情报平台HanSight TIP等多款安全产品。

  应用场景从最初的SOC等安全运维领域,逐步切入到数据安全、业务安全、运维等领域,重点服务金融、公安、能源等领域的客户。

  技术能力上,能够处理日志、行为、流量、威胁情报等多维度数据,实现对全场景的数据监控。在内部威胁分析等环节引入机器学习等技术,通过监督学习与无监督学习算法的融合,超越传统规则方式监控到更多异常行为。在流量分析等领域,采用网络流处理架构实现对大流量数据的实时分析。

  产品能力上,一站式大数据安全分析平台整合了UBA系统、NTA流量系统、TIP威胁情报等,依靠统一平台覆盖全安全分析产品。基于多年安全分析技术积累,平台基础架构稳定,可以实现线性扩容。在部署环节,可以实现在客户环境的快速部署(平均2-3天),产品化率高。

  客群定位,类似IBM QRadar,瀚思科技主要定位金融领域的头部机构和腰部机构,单个客户客单价超过百万,未来随着应用向业务场景延伸,LTV有望继续提升。

  获客能力,瀚思科技目前已服务超过半数的金融机构,在2019年金融行业客户新采购的SOC项目中,有一半以上项目是瀚思科技中标,在金融领域获客能力较强。

  场景理解能力,瀚思科技基于数据分析平台,除安全运维场景外,已延伸至数据安全、业务安全和运维场景,切入到反欺诈、业务监测等环节,应用场景有电子银行撞库攻击检测、银行客户账户交易的事中反欺诈等。

  此报告为爱分析制作,报告中文字、图片、表格著作权为爱分析所有,部分文字、图片、表格采集于公开信息,著作权为原著者所有。未经爱分析事先书面明文批准,任何组织和个人不得更改或以任何方式传送、复印或派发此报告的材料、内容及其复印本予任何其它人。

  此报告所载资料的来源及观点的出处皆被爱分析认为可靠,但爱分析不能担保其准确性或完整性,报告中的信息或所表达观点不构成投资建议,报告内容仅供参考。爱分析不对因使用此报告的材料而引致的损失而负上任何责任,除非法律法规有明确规定。客户并不能仅依靠此报告而取代行使独立判断。