在攻防演练日益成为企业安全建设重要一环的背景下,金融行业的安全挑战也呈现出复杂多变的态势。为深入探讨这一话题,腾讯安全携手数世咨询与金科创新社,于12月19日共同举办了“企业安全,攻防有道——企业在攻防演练中的实战智慧”直播研讨会。
会上,数世咨询创始人李少鹏担任主持,与北银金融科技有限责任公司安全团队负责人张勇、腾讯安全玄武实验室高级攻防专家丁天泽、腾讯安全云鼎实验室高级安全服务专家蓝江平等行业专家,就攻防实战化的现状与未来趋势进行了深入探讨。
丁天泽从攻击方的角度指出,随着攻防演练的常态化和时间延长,攻击者有了更多机会针对高难度目标进行攻击。特别是在国产化趋势下,国内软件逐渐替代原有产品时,0day漏洞成为攻击者的重点关注对象。非常规入口RCE漏洞和逻辑漏洞等新型攻击手法,利用现有系统的正常功能和逻辑缺陷,使得传统安全防护机制难以有效应对。
蓝江平则从防守方的角度分析了当前的攻防技战术变化。他表示,尽管攻击手法如0day漏洞利用、Web攻击、供应链攻击及社会工程钓鱼等传统方式依旧存在,但防守方需要更加关注合法用户的异常行为,提高告警的准确性和置信度,以有效应对威胁。
张勇分享了金融行业在攻防演练中面临的挑战。由于金融行业业务模式广泛,线上线下渠道众多,使得攻防范围更广,需要关注更多潜在的安全威胁。他透露,北银金融科技已成立“精卫安全攻防实验室”,专注于攻防技术研究,利用大模型进行自动化信息收集,提高攻击演练效率。
在谈到AI在攻防中的应用时,丁天泽表示,攻击方利用AI生成高度定制化的钓鱼邮件内容,同时AI也被用于加速信息收集过程和工具开发,极大地提高了生产力。几乎所有的钓鱼攻击都已经接入AI能力,成为标准流程的一部分。
针对钓鱼工程,蓝江平提出,防守方需要采取多层面的防御策略,包括技术防御和人员培训。同时,他介绍了腾讯安全的新解决方案,如BAS(模拟攻击系统)和EM(企业资产监控)工具,能够持续发现企业对外发布的资产情况,并实时探测已知或未知的漏洞,提高漏洞发现的及时性和防护措施的有效性。
张勇在分享金融机构攻防对抗最佳实践时提到,银行等金融机构需要构建有效的安全体系,并进行员工意识培训以应对潜在的安全威胁。他介绍了北银金融科技在员工安全意识培训、邮件网关和安全沙箱技术应用、应急响应机制建设等方面的经验。
在谈到攻防演练与人员精力的平衡时,张勇表示,常态化的攻防演练在提高企业防御能力的同时,也需要找到合适的平衡点。他建议通过培训和沟通,让非专业安全人员参与到高强度的防守工作中,提高整体安全防护。同时,他提到了一些银行机构已经实现了安全部门和运维部门的融合,以实现更好的协同工作。
最后,专家们就未来攻击手法和防御策略的变化进行了展望。丁天泽认为,随着攻击常态化,攻击手法将日益隐蔽,需要特别注意海外业务的安全防御。蓝江平则强调,防守方需要提供真正的价值,如可靠的技术工具产品、建立客户信任等,以赢得客户的信任和采用。张勇则希望供应商在未来能够更加积极主动地进行战时情报共享,确保已发现的漏洞不会在合作伙伴之间反复被利用。
