11月27日,2020北京国际金融安全论坛在北京金融安全产业园会议中心召开。奇安信董事长齐向东在论坛峰会上发表题为“从实战攻防看金融行业安全态势”的主题演讲。齐向东表示,从奇安信2020年承接金融机构实战攻防演习的数据统计来看,中小金融机构网络安全状况堪忧,中小型金融机构网络安全存在十大薄弱环节。
近几年,我国的金融科技得到了快速发展和广泛应用,互联网金融、移动金融、非接触式金融等金融新业态蓬勃发展。但中小型金融机构在金融业数字化转型过程中,存在着不成熟、有风险的金融科技创新及应用,加大了网络安全风险。
齐向东指出,目前中小型金融机构网络安全存在十大薄弱环节,包括安全意识薄弱,利用社工突破隔离网;互联网存在未知资产易成为攻击跳板;业务互联出口多,安全管控不严;应用系统常规漏洞多;供应链管控弱,自身安全等级低;安全设备0Day漏洞威胁大;集权系统缺少保护策略;服务器不升级、不加固、弱口令,易被攻击;终端安全防御能力弱,不能有效监测攻击;实战化攻击监测能力弱,难以发现真实攻击。
“我们在今年攻防演习中发现,中小型金融机构面临着三大典型的、主要的安全风险。一是0DAY漏洞成为重要攻击渠道,威胁大。二是供应链成为常见攻击短板,管控弱。三是社工钓鱼成为主流攻击方式,意识差。”齐向东表示,并且在实际的网络攻击中,一般攻击者会有组织的,组合利用多个薄弱环节来进行网络攻击。
面对金融机构存在的这些薄弱环节,齐向东建议,金融机构要建立新一代金融网络安全体系,要靠数据驱动的内生安全体系。内生安全框架是奇安信以系统工程的方法论结合“内生安全”理念,创新推出了面向新基建的内生安全框架,将安全能力统一规划、分步实施,逐步建成面向数字化时代的一体化安全体系。
“我相信,金融机构按照这个框架,一定能建立完善的协同联动防御体系,确保金融机构在数字化转型过程中的网络安全。”齐向东表示。