移動支付、線上轉(zhuǎn)賬、智能投顧、網(wǎng)上辦卡……如今只能讓你現(xiàn)場排隊等號的銀行已經(jīng)成為過去,越來越多的銀行都在積極進行革新,不斷將金融業(yè)務(wù)電子化,增加對網(wǎng)銀及手機客戶端的投入,以機器代替人工,使得在線上或掌上辦理各種諸如存款、理財、外匯、黃金等的傳統(tǒng)業(yè)務(wù)更為便利。FinTech時代,許多金融機構(gòu)已經(jīng)主動運用新技術(shù)應(yīng)對金融行業(yè)的新挑戰(zhàn),但是由于發(fā)展速度過快,金融科技落地過程中的很多環(huán)節(jié)仍然存在一些不足,其中尤為值得關(guān)注的,就是金融科技帶來的全新業(yè)務(wù)安全問題。
FinTech時代“危”與“機”同行
Fintech在金融生態(tài)中不斷擴張,不斷推出新的應(yīng)用和平臺。銀行、保險、證券和基金公司等金融機構(gòu)正將大量業(yè)務(wù)快速遷移到互聯(lián)網(wǎng)上,但在提供網(wǎng)上便利業(yè)務(wù)的同時,其亦面臨著嚴峻的新興交易欺詐與安全威脅的挑戰(zhàn)。撞庫、申請欺詐、盜用賬戶、用戶信息泄露、欺詐交易等行為令金融機構(gòu)遭受巨大的業(yè)務(wù)風(fēng)險及商譽損害。
總體來說,金融科技時代的業(yè)務(wù)安全風(fēng)險主要集中在以下三個方面:
一、 由業(yè)務(wù)交叉帶來的賬戶安全問題
金融科技促使跨市場、跨行業(yè)、跨機構(gòu)的金融業(yè)務(wù)相互交叉嵌套,而過去“一套賬戶密碼應(yīng)用于多個業(yè)務(wù)系統(tǒng)”的用戶習(xí)慣,不僅給用戶自身賬戶安全帶來隱患,也給金融機構(gòu)的賬戶保護與身份識別增加了挑戰(zhàn)。近年來銀行卡被盜刷的新聞屢見不鮮,不法分子通過撞庫獲取用戶賬戶、密碼及短信驗證碼,可以遠程盜取用戶的銀行賬戶資金。
二、 不斷創(chuàng)新推出的業(yè)務(wù)類型導(dǎo)致業(yè)務(wù)欺詐風(fēng)險不斷增大
當(dāng)下更多傳統(tǒng)金融業(yè)務(wù)依托互聯(lián)網(wǎng)展開,網(wǎng)絡(luò)直銷銀行、微信銀行等新興模式已成為各銀行搶占機遇的利器。然而新模式下持續(xù)推出的線上營銷活動卻讓“羊毛黨“有機可乘。某銀行為用戶準(zhǔn)備的4000份總價值近百萬元的實體贈品,在活動上線的一分鐘內(nèi)即被羊毛黨一搶而光,致使市場促銷效果大打折扣, 造成巨大經(jīng)濟損失。
三、 數(shù)據(jù)安全保護難度增大
2017年6月頒布的《網(wǎng)絡(luò)安全法》圍繞“以數(shù)據(jù)為中心的安全”做了廣泛而具體的規(guī)定。根據(jù)相關(guān)報告,數(shù)據(jù)泄漏所涉及的行業(yè)之中,金融行業(yè)首當(dāng)其沖,24%的數(shù)據(jù)泄漏事件與金融機構(gòu)有關(guān)。因此對于金融機構(gòu)而言,如何防止爬蟲爬取客戶個人信息及其保單、賬單等數(shù)據(jù)信息,已經(jīng)成為金融機構(gòu)的重要課題。
安全是金融機構(gòu)的永恒課題,但目前金融機構(gòu)對金融科技大潮下的新興安全風(fēng)險防護卻略顯力不從心。那么問題來了,如何才能保障FinTech時代下的金融業(yè)務(wù)安全?
“動態(tài)安全”為三大金融業(yè)務(wù)場景“以動化危”
新的金融安全問題需要用新的思路來化解。瑞數(shù)信息提出的“動態(tài)安全”新思路可以出色地解決傳統(tǒng)安全產(chǎn)品難以防御的業(yè)務(wù)安全問題,對金融機構(gòu)的業(yè)務(wù)安全實現(xiàn)更高水準(zhǔn)的防護。
以下將通過三個造成巨大經(jīng)濟損失的典型場景及防護效果,分享瑞數(shù)動態(tài)安全助力銀行實現(xiàn)業(yè)務(wù)防護的具體案例。
1. 客戶賬戶安全 - 防撞庫
作為一家網(wǎng)點遍布全國,擁有超過3億個交易賬戶,資產(chǎn)總額近10萬億人民幣的大型銀行,一旦有攻擊者利用自動化程序?qū)嵤┑顷憞L試,盜取合法賬號,后果將不堪設(shè)想。瑞數(shù)機器人防火墻Botgate對此進行全面動態(tài)防護,識別出44%的流量為自動化工具發(fā)起的撞庫攻擊請求,并進行攔截,使得該銀行異常請求比例在一天內(nèi)迅速下降,降至3%,高效保障了賬戶安全。
2. 信用卡欺詐申請 - 防批量虛假申請
當(dāng)今金融業(yè)務(wù)之中,真實用戶與虛假用戶共存,主動注冊與工具注冊同在。某銀行在開通網(wǎng)絡(luò)直銷銀行業(yè)務(wù)的首日,即收到近十萬次信用卡申請,此類請求不僅會大大增加銀行人工審核成本,影響正常用戶申請的處理效率,而且一旦虛假信息被審核通過,即可能發(fā)生惡意欠款事件,帶來嚴重經(jīng)濟損失。瑞數(shù)動態(tài)防御系統(tǒng)發(fā)現(xiàn),在提交開戶申請的記錄中,95.26%都被判定為機器人自動提交的虛假申請;經(jīng)過有效過濾和阻攔,該銀行信用卡業(yè)務(wù)再未受到類似攻擊。
3. 在線營銷安全 - 防薅羊毛
批量虛假申請會助長“養(yǎng)卡”的惡性風(fēng)潮,為銀行日后各類優(yōu)惠促銷活動中出沒的“羊毛黨“提供溫床,致使活動效果大打折扣。而經(jīng)過瑞數(shù)動態(tài)安全的防護,該銀行一季度內(nèi)的一元搶購、低價秒殺、免費電影票等優(yōu)惠活動均順利進行,避免了因薅羊毛而產(chǎn)生的非法套現(xiàn)可能造成的100余萬人民幣的損失;并且由于活動實惠能真正為用戶所享,客戶數(shù)量也不斷攀升,銀行客戶端用戶同時在線數(shù)量達到230萬,是前一年峰值的3倍,突破歷史最高峰值。
構(gòu)建以“動態(tài)安全”為核心的主動防護新思路
不同于傳統(tǒng)防御方式大多基于特征庫、基于規(guī)則進行攻擊檢測和防御的靜態(tài)、被動特征,瑞數(shù)信息致力于打造一個主動防御系統(tǒng),以動態(tài)封裝、動態(tài)驗證、動態(tài)混淆、動態(tài)令牌四大動態(tài)安全技術(shù)為支撐,從以下四個維度實現(xiàn)從用戶端到服務(wù)器端的全方位“主動防護”。
動態(tài)主動防御 - 做好風(fēng)控前置
瑞數(shù)的動態(tài)安全技術(shù)可以通過主動防御來預(yù)測未知攻擊,幫助金融機構(gòu)提前做好防護,應(yīng)對業(yè)務(wù)欺詐威脅,充分實現(xiàn)“風(fēng)控前置”。
一方面,瑞數(shù)利用動態(tài)封裝、動態(tài)混淆技術(shù),隱藏攻擊入口,阻止針對性攻擊。瑞數(shù)“動態(tài)安全”對服務(wù)器網(wǎng)頁底層代碼進行封裝加密,并對客戶端輸入、提交的敏感數(shù)據(jù)內(nèi)容進行混淆變化,從而在服務(wù)器與客戶端之間實現(xiàn)持續(xù)的雙向動態(tài)加密,既隱藏了頁面漏洞、大幅增加攻擊難度,也增加了服務(wù)器行為的不可預(yù)測性。攻擊者無法分析頁面,就無法找到用戶填寫賬號、密碼、手機號等身份信息的對應(yīng)錄入口徑,也就無法獲取用戶信息進行下一步惡意操作。
另一方面,瑞數(shù)利用動態(tài)驗證、動態(tài)令牌技術(shù),對攻擊來源進行人機識別,將自動化攻擊拒之門外。許多黑客會利用自動化工具批量開戶、批量申請信用卡,由于這些惡意請求并無明顯特征,常常以多IP源和低頻方式進行,因此很難判定是正常來源還是異常攻擊。瑞數(shù)“動態(tài)安全”通過對客戶端環(huán)境與操作行為進行驗證,嚴密檢查運行環(huán)境、瀏覽器指紋、疑似攻擊行為等因素,防止惡意終端訪問,并以一次性的頁面動態(tài)令牌為標(biāo)志,確保業(yè)務(wù)邏輯的正確執(zhí)行,實現(xiàn)對自動化工具的動態(tài)識別,有效驗證訪問網(wǎng)頁的客戶端是“人”還是“自動化工具“,從而過濾大量的自動化攻擊噪音。
全程態(tài)勢感知 - 阻斷惡意攻擊
通過終端指紋采集、業(yè)務(wù)邏輯感知、操作行為感知以及陷阱異常捕獲等技術(shù),可對交易全程感知威脅態(tài)勢,動態(tài)采集非法終端應(yīng)用、模擬合法操作、逆向破解及終端惡意代碼注入等各類終端安全威脅,并對其進行分析判斷,將惡意行為拒之門外。
協(xié)同智能響應(yīng) – 牽制攻擊行為
瑞數(shù)的動態(tài)防御解決方案可以對潛在的業(yè)務(wù)風(fēng)險進行威脅取證,提供可視化分析和報告,并可與其它安全系統(tǒng)進行動態(tài)聯(lián)動,形成自動化協(xié)同響應(yīng)體系,智能攔截威脅,從而有效縮短響應(yīng)時間,快速牽制惡意攻擊行為。
動態(tài)威脅預(yù)測 – 形成防護閉環(huán)
瑞數(shù)動態(tài)安全解決方案結(jié)合了大數(shù)據(jù)和機器學(xué)習(xí)算法,基于本地威脅態(tài)勢、全球風(fēng)險情報和第三方數(shù)據(jù)源,建立欺詐風(fēng)險情報數(shù)據(jù)庫,讓用戶知悉惡意攻擊來源及動向;及時告警人為與自動化攻擊,并發(fā)現(xiàn)潛在的攻擊行為。同時根據(jù)動態(tài)趨勢預(yù)測的結(jié)果,即時應(yīng)對來自各方的安全威脅,調(diào)整防護策略,形成防護閉環(huán)。
正是通過上述四個維度的主動防護,瑞數(shù)信息的“動態(tài)安全”解決方案在中國為大量金融機構(gòu)的業(yè)務(wù)安全運營保駕護航。據(jù)統(tǒng)計,如今瑞數(shù)的解決方案每天可攔截超過6億次在線欺詐行為,保護5億多個賬戶和上萬億的交易額。
FinTech時代的科技變革,對金融行業(yè)的商業(yè)模式帶來顛覆性改變。正因如此,金融安全問題要運用更高的技術(shù)手段和更新的安全思路來解決。瑞數(shù)的“動態(tài)安全”技術(shù)可以幫助金融機構(gòu)主動應(yīng)對繞過現(xiàn)有安全防御機制的新興威脅,保護在線交易、網(wǎng)站和數(shù)據(jù)的安全。我們看到,瑞數(shù)信息所代表的不僅是高效的安全體系,更是一種與時俱進的創(chuàng)新探索精神,在金融科技時代,繪制出安全防護的新藍圖。