icon当前金融行业面l临的安全挑战icon

近年来,随着云计算、大数据、人工智能等技术的普及,大量的金融操作行为转向线上进行。 据统计,70%以上业务无需人工干预即可通过电子化完成,业务流转化为信息流在网络空间中流 转。这些转变给数据、系统和网络的安全保护带来了严峻挑战。

金融企业上云势在必行

Gartner分析显示,中国云计算产业的市场规模以接近每年38%的速度增 长,并在2016年以后进入集中的爆发期,增长的动力来源于合规、观念转变、 对新兴威胁的认知,以及数字化业务战略的变革。云计算作为一种灵活的计算 资源获取平台和数据处理模式,让金融企业可以及时处理不断增长的业务需 求,并快速适应组织规模的变化,甚至可以实现业务的复制、黏贴,及时响应 市场变化。此外,云计算使得金融企业在IT上的投入,相较传统方式降低了一 个量级,为金融服务的创新提供了支撑。 2016年7月,银监会发布的《中国银行业信息科技“十三五”发展规划监 管指导意见》指出,银行业应稳步实施架构迁移,到"十三五"末期,面向互联 网场景的重要信息系统尽可能迁移至云计算架构平台。金融业拥抱云不再是竞 争优势,而是一种必然。

上云导致安全挑战加剧

云计算的广泛运用使得网络边界从服务集中转向分散,逐渐向动态发展, 由此带来的安全风险因素也日益增多,保证业务连续性、保护核心敏感数据资 产安全等问题成为金融行业在上云过程中需要克服的重重关卡。

风险高度集中

相对传统应用,云服务上用户和信息资源高 度化集中,由此引发的安全事件和风险也高出很 多。其中,敏感信息泄露是金融网络安全最关注 的问题,一旦出现数据丢失,客户隐私、权益均 会受损,甚至影响企业的生存。据云安全联盟 (CSA)统计分析显示:未来云安全的12大威 胁中,数据泄露高居榜首。

业务边界模糊 加速风险外溢

金融业务逐渐连接到多种场景,服务方式向虚拟 化、超融合、跨地区转变,网络边界逐渐模糊从 而加速了业务风险外溢。在金融业转型阶段,对 于信用风险、流动性风险等把握不当极易导致用 户失去信任流失市场。

更强的业务 连续性要求

对金融企业来说,业务连续性不仅是应对灾难的 工具,更与经营管理息息相关,对流量巨大的云 端服务而言,单点故障意味着重大损失。从全球 范围来看,发生的几期信息系统故障事件都表 明,金融上云时代,业务连续性水平亟待提高。

安全合规是金融云基础

金融行业涉及资金、交易、客户身份等大量敏感信息,对云服务供应商的 安全、合规提出了很高的要求。调查表明,17%的专业技术人士表示,由于安 全问题,他们尚未准备好将整个基础架构迁移到云端。云服务数据的安全性和 隐私性仍然是大多数金融机构的主要关注点。金融业上云安全风险的背后,是 复杂的合规难题和技术挑战。 2017年6月正式实施的《网络安全法》明确规定了网络运营商关于个人信息 保护的责任。如不得泄露、篡改、毁损其收集的个人信息;应当采取技术措施和 其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失;符合 “网络安全等级保护测评”、ISO/IEC 27000信息安全管理体系认证、ISO/IEC 20000信息技术服务管理体系认证等相关标准等。这也意味着,企业在上云的时候,需要符合各自的行业标准和行业监管要求。实

icon金融行业安全建设思索 对于安全建设的思考icon

在数据世界中企业的运营能力取决于维持可信环境的能力,尤其是金融企 业掌握着客户资金和信息双重重要信息,更需在日趋复杂的IT环境中紧抓网络 安全中的关键环节,将安全化繁为简,助力业务转型。但安全建设无法一蹴而 就,如何用有限的资源去最大化地解决安全问题,从而提升投资回报率,成为 安全从业者需要思考的难点。 长亭科技从安全防御和业务发展角度出发,充分考虑安全建设价值最大 化,在安全事件的前、中、后阶段,参考PPDR概念思考企业在各阶段遇到的 难点问题,从攻、防、查、抓四个关键防护环节入手来构筑企业安全塔防体 系,将安全建设发挥到极致。

icon攻防查抓构建更完善的安全建设体系icon

攻击者通过收集信息寻找切入路径,进而通过漏洞实现提权以完成攻陷, 企业在安全建设中应该把有限的资源进行聚焦。长亭在帮助多家金融企业进行 安全建设中总结出如下关键点:攻、防、查、抓直击入侵路径各阶段,针对性 地进行安全建设。

“未知攻,焉知防”,企业安全建设中未雨绸缪才是理想境 界。面对激增的漏洞与安全事件,企业须建立一套完善的安全评 估体系,利用准确、易用的扫描器周期性进行资产和漏洞扫描, 同时通过漏洞扫描、渗透测试、安全意识检测等方式,先于攻击 者发现安全隐患,也可通过安全技术培训学习黑客攻击知识,更 好地预测(Predict)自身系统易被攻击的薄弱环节。
金融企业容易存在逻辑弱点、运维漏洞和安全人员实力不足 等问题,而随着业务向线上转移,大量网络攻击行为已转向了应 用层,这使得企业部署高效防御的Web应用防火墙成为关键,同 时还可借助安全意识培训、攻防实训和红蓝对抗等措施提升整体 安全防御(Prevent)能力。
 
 
安全攻防是不对等的,攻击者只要成功利用一个弱点即可切 入并发动更多攻击,而捍卫者必须堵住每个漏洞,企业可通过基线检查和代码审计自查排除可被利用的隐患。金融企业多已通过 堡垒机、邮件管理系统和二次认证等方式对访问进行审查,但倘 若攻击者成功触及服务器,如何检测出来便显得至关重要,应当 善于利用HIDS类工具,如基于 Agent 的服务器安全平台,获得 从服务器内部观察网络环境的安全视角。
安全建设仅做到对攻击的遏制还不够,如何捕获攻击者和发 现自身问题才是安全攻防的最终目标。通过合理部署蜜罐陷阱构建内网威胁感知系统,可赋予内网主动对抗能力,在攻击者进行 提权时告警,以此争取时间并记录信息,进而在应急处置中占领 先机。另一方面,企业可通过攻防实训平台、举办安全竞赛等手 段提升自身响应攻击的能力;若自身精力不足,则可选择专业应 急响应服务作为后备力量。
icon长亭应用安全防护塔防体系icon

随着金融行业信息化进程的快速推进,其业务模式发生了巨大的变革,数据核心由传统机房逐 步向云上迁移,信息安全保障工作也面临着全新的挑战。 专业的信息化安全团队和先进的网络安全体系是保障金融单位信息安全的必要条件。面对庞大 的网络和业务系统时,团队需能快速发现安全隐患,消除安全风险,有效应对各类安全事件;因此 企业需要不断提升安全技术能力和完善安全保障机制,长亭科技为此提供了全面而有效的安全防护塔防体系。

通过产品自动化提升整体安全水平

结合多年高水平的攻防经验,长亭科技将实战中的攻防技术融入多款安全 产品,高效提升产品在安全建设中的价值。同时,长亭科技持续创新,紧跟国 际先进技术理念,在提升产品所呈现结果准确性的同时,增强其智能化及联动 能力,通过一系列自主研发产品助力企业完善安全建设体系。

「攻」洞鉴 (X-Ray) 安全评估系统
洞鉴(X-Ray)集合多类型漏洞与资产的扫描和发现于一体,提供丰富的自定义功能模板,用户可自由组合扫描模块, 真正实现高度自定义扫描,尽可能从交叉维度更全面而准确地发现安全问题。
• 结果精准——高质量漏洞库,扫描结果低误报
• 业务安全——无害Payload,扫描模式自由调整
• 快速响应——极速提供0day漏洞POC,快速清查
• 全面发现——超强爬虫能力,新页面及应用支持良好
「查」牧云(CloudWalker) 服务器安全平台
牧云(CloudWalker)提供从内部观察服务器的角度,提升资产能见度并有效防御入侵。长亭科技通过研究梳理发现, 服务器安全平台应抓住三个维度:管理维、排查维和监控维, 并基于此设计了开源产品牧云的技术框架。
• 安全开源——专业厂商开源代码,安全放心
• 精准检测——高召回率同时,稳定控制精准率
• 探针可控——非root运行,自主限制资源占用
• 维护简易——主机发现结合批量管理,可视化数据呈现
 
 
「防」雷池(SafeLine) 下一代Web应用防火墙
雷池(SafeLine)是全球首发的基于智能语义分析的下一代Web应用防火墙产品,能够基于上下文逻辑实现攻击检测, 有效提升企业对安全威胁的识别能力和处理能力,从而对Web 系统提供更高效的防护。
• 化繁为简——语义分析引擎智能识别攻击,无需维护规则
• 精准分析——更接近漏洞和攻击本质,降低误报漏报
• 优良联动——全开放API,方便集成使用
• 轻松上云——多模式灵活部署,适用多种环境
「抓」谛听(D-Sensor) 内网威胁感知系统
谛听(D-Sensor)结合黑客入侵思维、博弈理论与伪装技术等多种高级反攻击手法,诱骗非法渗透内网的攻击者进入陷阱,全面提升内网发现、记录、溯源等攻击行为的威胁感知能力,为企业争取应急响应时间。
• 告警精准——极低误报,拒绝无效告警
• 产品轻量——灵活部署,业务系统零干扰
• 巧妙伪装——真实环境,难以分清真假
• 高效管理——集中管理,攻击行为直观呈现
利用服务完善整体安全建设

长亭科技安全专家服务团队依托多年实战经验,以用户安全技术体系、规 范制度和人员组织为服务目标,结合业务不同阶段沉淀梳理安全服务需求,为 用户提供基线检查、代码审计、渗透测试、红蓝对抗、应急响应和安全培训六 大安全服务,覆盖业务系统从设计开发、测试上线到运营维护的全生命周期。

基线检查

金融行业IT基础设施庞大,一个高危漏洞或不安全配置都可能 成为安全防护短板,进而导致整体安全防护体系失效。长亭安全服 务专家团队依照国际CIS(Center for Internet Security)标准和 国内相关行业监管安全标准,依托专业人员和工具,结合实时安全 风险态势,制定贴合用户防护需求的安全基线标准,有效消除安全 短板、降低安全事件发生概率,从而建立安全合规、稳定高效的业 务运行环境。

代码审计

金融行业用户业务系统更新频繁,代码质量直接影响业务系统 安全程度,代码审计能够发现隐藏在代码深处的安全问题。长亭资 深安全服务专家团队结合业务逻辑和需求,通过对金融业务系统进 行综合分析,分析发现代码中存在的错误、漏洞和缺陷,并提供详 细的说明与解决方案,在系统上线前消除风险与隐患,有效避免上 线后修正问题可能导致的业务中断、数据丢失等风险。

渗透测试

渗透测试能够模拟攻击入侵行为,快速发现安全体系中存在的 可利用弱点,综合评估安全风险,从而及时采取整改措施。长亭安 全服务专家团队在取得用户合法授权后,严格在授权范围内,以不 影响业务正常运行为前提,对目标系统进行全面而深入的检测,对 发现的风险点模拟可能造成最大程度的危害,使企业先于攻击者发 现问题,做到防患于未然。

应急响应

金融行业用户安全团队常常面临着人手不够或应急响应经验 少的问题,当面对爆发性病毒、重要信息系统破坏等重大安全事 件时,难免力不从心。长亭科技应急响应安全服务,能协助用户 第一时间采取行之有效的处置措施,迅速恢复系统从而降低损 失,同时还原事件过程,必要时配合执法机构进行取证。在事件 处置之后,团队针对事件提供完整的说明报告和改正建议,避免 同类事件再次发生。。

红蓝对抗

实战是检验安全防护体系的最佳手段,在面对专业黑客入侵 时,安全防护体系能否发挥预期作用,既定处置措施能否得到有效 执行,设备、人员和系统能否做到高效协同?长亭安全服务专家团 队提供高水平的红蓝对抗服务,与多次在国际大赛得奖的战队成员 进行红蓝攻防演练,是检验安全建设体系的最好衡量标尺之一。

安全培训

安全建设体系的核心是人,具备安全知识体系的人才是保障整 个安全体系有效运转的核心主体,然而金融行业用户在建设安全体 系过程中常常面临专业安全人才不足的问题。长亭科技特别针对金 融行业安全培训需求,提供贴合实战的安全培训课程。培训讲师拥 有业界领先的攻防经验和技术水平,内容覆盖金融全领域,结合自 主研发的安全攻防实训平台,让安全人员能够快速掌握实战知识及 技能,有效支撑安全防护体系的运转。

icon金融云应用安全最佳解决方案 icon

近年来,金融行业的技术发展突飞猛进。即使大众使用者也已经能明显感觉到,支付已经从 “无现金化”逐步过渡到“无卡化”。对于金融IT从业者来说,随着云计算、大数据、人工智能等 技术的普及,大量的金融操作行为转化为数据在网络空间中流转,业务流转化为信息流。金融上 云,或者说,金融业拥抱创新技术过程中,对安全的需求时常面临着海量敏感信息和严格合规监管 双压齐下的情况。

长亭应用安全塔防体系能带给用户以下竞争优势
1. 创新技术让安全更精准

长亭解决方案的特色是算法创新,区别于传统思路的规则防护,从语言的角度提升检测拦截的 精准度,降低误报漏报,增强未知威胁的防御能力。

2. 创新思路让安全更透明

金融业技术迭代意味着企业将拥有数量庞杂的网络资产,长亭体系化产品防线在增强检测拦截 能力的同时,通过对全盘资产的可见性管理,提升安全全流程透明度,清除安全死角。

3. 扩展性、灵活性、高可用性

可扩展性是云计算最大的技术优势,与此同时,对安全产品的要求势必也是高度可扩展性。此 外,企业为了及时应对企业规模和市场情况而发生的快速变化,金融安全负责人需要更灵活的创 新,有助于提升安全和运维效率。无论对内部员工或外部客户,维持高可用性是强关注项。而这些 正是长亭解决方案作为新型安全产品的核心特色,助力企业的云安全建设处于优势地位。

4. 全程降低人工参与比例

极快安装部署、极低学习成本、极简操作流程。

5. 满足合规监管需求

产品自动化+人工服务辅助的基线检查,及时发现企业安全短板。

6. 贴身安全服务,7x24小时保障金融安全

长亭安全服务团队在国内外顶级安全赛事久经历练,服务于国内百余家金融企业,拥有丰富的 技术储备和成熟的服务理念。 响应及时、质量上乘、解决问题是众多客户给予长亭安全团队的三大标签

icon行业案例icon
icon客户的声音icon
1. 您最喜欢的产品(或服务)是什么?
客户1:雷池(SafeLine),因为它使用了更先进的语义分析技术,能非常精准地识别出正常 请求和攻击威胁,误报率很低。 客户2:雷池(SafeLine),它的部署模式非常创新,可以在私有云上直接进行部署,同时解 决了我们对轻量级和可定制化的双重需求。 客户3:谛听(D-Sensor),这个产品刚部署不久就抓住了一起攻击事件,及时发出告 警给安全团队提供了处理时间,最终没有造成损失,我们现在每天上班都要看一下谛听界面有 没有预警。 客户4:渗透测试服务,长亭的渗透技术实力很强,能发现其他厂商都没挖出的漏洞,而且报 告结果也很有参考性,在修复网站的安全缺陷上帮助很大。据
2. 您为什么购买这个产品(或服务)?
客户1:改善合规性和风险管理,帮助我们更好地达到政策和指引的规范。 客户2:弥补传统WAF在检测未知威胁能力上的不足,提高安全业务流程的灵活性,从而改善对客户的服务。
3. 您之前考虑过其他公司的产品(或服务)吗?
客户1:考虑过别的WAF,但是通过测试对比发现,雷池(SafeLine)在大流量的情况下不 会占用很多的CPU,而且能够保持很强的攻击检测能力,有效地防御SQL注入、命令注入和 XSS。 客户2:渗透测试用过厂商众测的模式,多个厂商依次渗透,长亭科技是最后一个进行测试 的,依然挖出来了质量很高的漏洞。
4. 对于其他用户,您会给出一些建议吗?
传统的WAF依赖规则来检测攻击,这会导致很高误报率,而且维护起来非常困难。雷池 (SafeLine)使用语义分析技术,非常便于使用,并且能够精准地防御未知威胁,所以我建议是时 候放弃基于正常规则表达的传统WAF了。
5. 对于长亭的产品,您的部署需要多长时间?
部署很快。我们发现长亭的产品都非常灵活,在我们不同的网络环境和应用下可以任意选择其 部署模式,所以我们的应用程序几乎不需要太多的改动就能完美融合。
6. 您多久使用一次我们的产品(或服务)?
售后服务很好,有定期的产品检查和技术共享;反应的速度很快,应急响应一般在2小时内就 会快速到位,1天就能解决问题。
7. 您对我们产品(或服务)有什么评价?
售后服务很好,有定期的产品检查和技术共享;反应的速度很快,应急响应一般在2小时内就 会快速到位,1天就能解决问题。
8. 请您用三个关键词评价长亭的产品及服务。
技术全球领先、产品轻量灵活、服务省力省心。
icon关于长亭科技icon

长亭科技是国际顶尖的网络信息安全公司之一,全球首发基于智能语义分析的下一代Web应用防火墙产品。目前,公司已形成以攻(漏洞扫描器)、防(下一代Web应用防火墙)、查(云服务 器安全)、抓(内网威胁感知系统)为一体的全方位企业级应用安全防护塔防体系,并提供优质的 安全测试及咨询服务,为企业级客户带来智能的全新安全防护思路。

技术优势

全球首个智能语义分析下一代Web应用防火墙(NGWAF),服务过百余家大型银行、互联网企业等强技术需求机构,包揽国内外安全大赛前三名,DefCon全球第二名,迄今国内参赛最佳成绩保持者,Pwn2Own世界黑客大赛全球第三名。

技术优势

业内绝对领先的应用解决方案,服务于诸多一线客户,技术受到多家国际权威机构认证,总部北京,上海、深圳设立分公司,并在郑州、南京、武汉、成都等地拥有直属分支机构。

行业认可

OWASP Web应用防火墙认证证书,公安三所销售许可证(增强级),入围Gartner 2018《Web应用防火墙魔力象限报告亚太版》,Gartner《Web应用防火墙魔力象限》提名,获评Cyber Defense Magazine 2017全球网络安全领导者Top25,获评亚太区25家最热门人工智能公司, 公安三所授牌“信息安全合作伙伴”,安全评估、风险评估资质,二级漏洞支持单位,国际CMMI三级认证,国家保密局涉密信息系统产品认证。

产品推荐 查看更多>>
    悬镜灵脉IAST灰盒安全测试平台

    灵脉IAST是全球首个基于代码疫苗技术实现应用安全透明众测的交互式应用安全测试平台,通过全场景流量分析技术,如运行时应用插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术,在不改变现有IT流程的情况下,赋能开发测试人员,在完成应用功能测试的同时自动化实现业务代码上线前的深度安全测试,重点覆盖90%以上的中高危漏洞,防止应用带病上线, 保障软件供应链开发环节的安全运行。

    应用漏洞扫描

    应用安全测试平台

    供应链威胁审查

    应用资产测绘

    默安科技 幻阵高级威胁狩猎与溯源系统

    幻阵是默安科技自主研发的一款基于欺骗防御的高级威胁狩猎与溯源系统。该系统从攻击视角出发,在攻击者必经之路上构造陷阱,从而混淆其攻击目标,精确感知并溯源攻击者行为;并且通过云蜜网将攻击隔离,保护企业内部真实资产,成为企业至关重要的一道安全屏障。

    高级威胁狩猎

    全方位欺骗

    精准威胁溯源

    安全防护

    腾讯云T-Sec移动应用安全检测系统(MASD)

    腾讯云T-Sec移动应用安全检测系统是一套专为客户提供移动安全服务和技术的解决方案,具有国内领先的综合安全能力,能全方位检测移动应用风险,深度保障用户的安全体验,构建了坚不可摧的防护屏障

    应用安全检测

    业务安全检测

    病毒木马检测

    信息泄露检测