在攻防演練日益成為企業安全建設重要一環的背景下,金融行業的安全挑戰也呈現出復雜多變的態勢。為深入探討這一話題,騰訊安全攜手數世咨詢與金科創新社,于12月19日共同舉辦了“企業安全,攻防有道——企業在攻防演練中的實戰智慧”直播研討會。
會上,數世咨詢創始人李少鵬擔任主持,與北銀金融科技有限責任公司安全團隊負責人張勇、騰訊安全玄武實驗室高級攻防專家丁天澤、騰訊安全云鼎實驗室高級安全服務專家藍江平等行業專家,就攻防實戰化的現狀與未來趨勢進行了深入探討。
丁天澤從攻擊方的角度指出,隨著攻防演練的常態化和時間延長,攻擊者有了更多機會針對高難度目標進行攻擊。特別是在國產化趨勢下,國內軟件逐漸替代原有產品時,0day漏洞成為攻擊者的重點關注對象。非常規入口RCE漏洞和邏輯漏洞等新型攻擊手法,利用現有系統的正常功能和邏輯缺陷,使得傳統安全防護機制難以有效應對。
藍江平則從防守方的角度分析了當前的攻防技戰術變化。他表示,盡管攻擊手法如0day漏洞利用、Web攻擊、供應鏈攻擊及社會工程釣魚等傳統方式依舊存在,但防守方需要更加關注合法用戶的異常行為,提高告警的準確性和置信度,以有效應對威脅。
張勇分享了金融行業在攻防演練中面臨的挑戰。由于金融行業業務模式廣泛,線上線下渠道眾多,使得攻防范圍更廣,需要關注更多潛在的安全威脅。他透露,北銀金融科技已成立“精衛安全攻防實驗室”,專注于攻防技術研究,利用大模型進行自動化信息收集,提高攻擊演練效率。
在談到AI在攻防中的應用時,丁天澤表示,攻擊方利用AI生成高度定制化的釣魚郵件內容,同時AI也被用于加速信息收集過程和工具開發,極大地提高了生產力。幾乎所有的釣魚攻擊都已經接入AI能力,成為標準流程的一部分。
針對釣魚工程,藍江平提出,防守方需要采取多層面的防御策略,包括技術防御和人員培訓。同時,他介紹了騰訊安全的新解決方案,如BAS(模擬攻擊系統)和EM(企業資產監控)工具,能夠持續發現企業對外發布的資產情況,并實時探測已知或未知的漏洞,提高漏洞發現的及時性和防護措施的有效性。
張勇在分享金融機構攻防對抗最佳實踐時提到,銀行等金融機構需要構建有效的安全體系,并進行員工意識培訓以應對潛在的安全威脅。他介紹了北銀金融科技在員工安全意識培訓、郵件網關和安全沙箱技術應用、應急響應機制建設等方面的經驗。
在談到攻防演練與人員精力的平衡時,張勇表示,常態化的攻防演練在提高企業防御能力的同時,也需要找到合適的平衡點。他建議通過培訓和溝通,讓非專業安全人員參與到高強度的防守工作中,提高整體安全防護。同時,他提到了一些銀行機構已經實現了安全部門和運維部門的融合,以實現更好的協同工作。
最后,專家們就未來攻擊手法和防御策略的變化進行了展望。丁天澤認為,隨著攻擊常態化,攻擊手法將日益隱蔽,需要特別注意海外業務的安全防御。藍江平則強調,防守方需要提供真正的價值,如可靠的技術工具產品、建立客戶信任等,以贏得客戶的信任和采用。張勇則希望供應商在未來能夠更加積極主動地進行戰時情報共享,確保已發現的漏洞不會在合作伙伴之間反復被利用。
