在3月24日举办的2020金融安全峰会上,阿里巴巴副总裁、阿里云安全事业部总经理肖力指出:“未来金融机构安全体系建设需要从原来重合规转变到合规与实战双驱动,业务发展与安全效果并重、云上与云下双驱动。”
据媒体报道显示,2019年,网络安全给全球带来的经济损失高达2.5万亿美元。同时,《中国数字金融反欺诈全景报告(2019)》也显示,目前各类金融场景中的欺诈行为已超过100种,包括套现、网络贷款诈骗、刷单、中介代办、电信诈骗、薅羊毛等。
随着金融机构逐步上云,未来所有金融机构都可以基于云安全能力构建高等级安全体系。
肖力指出,基于云原生安全优势,未来新安全体系建设将遵循六大定律。
01系统默认原生安全
移动时代,IOS和安卓操作系统制定了很好的安全基线,PC时代外挂式安全成为过去时。云也是在做操作系统,会将安全内置在所有云产品中,比如服务器内置安全芯片做到可信,云产品策略遵循最小权限原则,网络清洗、调度能力内嵌在系统中等等。系统原生安全将有效提升企业安全能力。
02身份管理成企业安全新边界
随着企业业务场景和办公场景多元化,传统安全边界被打破,身份将成为企业安全新边界。在以统一的身份认证管理为中心的新安全体系下,企业可以做到对员工账号权限的一键管理、特权账号的实时管控等,确保在正确的条件、正确的时间,让正确的用户获取对企业内正确资产的访问权。
03威胁检测和响应全局化
在新安全体系下,数据智能化将会驱动威胁检测和响应向全局化发展,打通系统、网络、身份和应用等日志,改变原来单点做威胁检测和响应的方式,从全局角度洞察威胁,并做到实时检测。同时新安全体系下,防御能力相对于检测更为关键,企业需要一键止血的能力。
04业务安全成为企业新的基础风险域
业务安全越来越多的成为企业的基础风险域,而不是特有风险域。数字化转型过程中,金融企业在用户注册、登陆、营销推广等环节都可能出现业务风险问题,涉及到很多技术风险域,直接决定了企业的基础安全水位。
05借助DevSecOps将安全工作前置
安全重在追本溯源。应用上的漏洞一般是在开发流程中产生的,修复漏洞只是事后响应,根源是在开发流程中降低漏洞的产生,避免潜在安全风险。对于金融机构而言,供应链复杂,借助DevSecOps建立自身的安全开发流程,可以从根本上解决潜在安全风险。
06常态化验证提升真实攻防水位
常态化验证理念应贯穿到企业安全体系的每个领域。安全合规定期做审计,而安全是动态变化的,企业的数百个控制点、安全基线也在不断变化,只依靠合规审计不能保障安全,只有通过常态化的持续验证才能及时找出问题所在,及时修复,确保安全措施的有效性,在面对突发安全事件时应对自如。
未来,所有金融各机构都会在云上,都将基于云安全构建自身安全体系。阿里云也希望将自身在云上的最佳安全实践赋能给云上每个用户。
肖力最后表示,“未来企业安全体系一定会往更统一、更集约化的趋势发展。我们希望将云端全局威胁情报等高等级安全能力赋能给云上每一个客户,让客户不仅在公共云,而且在专有云和本地也能享受到云端的高等级安全能力,实现普惠安全。”
