视觉中国
小李子主演的《逍遥法外》里,有一双巧手伪造票据;明星云集的《十一罗汉》里,完成一宗巨额现金的盗窃案需要精心策划和爆破专家、杂技演员等十余人的团队配合……如今的大盗却丝毫不需要这些真功夫,丢出一个勒索病毒、或者篡改一个关键代码,就有可能赚的盆满钵满。“越来越多金融资产会以数字资产的形式来存放,包括票据、存单、证券、保单等等,各行各业金融资产越来越数字化。”在近日召开的未来金融信息安全论坛上,专家指出,随着数字资产的暴增,金融领域成了网络犯罪分子紧盯的一块“肥肉”。
网络资产偷盗“变现”越来越容易
5年前,在网络上勒索到钱,是个高风险的活计——
黑客需要先威胁,然后做个攻击演习,向“目标”证明自己有能力偷盗,威胁说“如果不给钱就怎样怎样”,然后再发给“目标”自己的银行卡号,对方汇款了才能拿到钱。
而2年前,有了勒索软件和比特币,勒索只要锁了文件,要求支付比特币赎金就能“变现”。最近则直接出现了挖矿软件,勒索者不用“打招呼”就可以获利。
“比特币、挖矿软件等技术被黑产圈应用,使得网络攻击获益越来越容易、越来越暴利。”瀚思科技CEO高瀚昭说。
一方面,越来越多的新技术成为盗贼的趁手兵器;另一方面,金融业务的虚拟化,使得需要仰仗的信息工具越来越多,也使得可以利用的漏洞增多。
中国银保监会统计信息与风险监测部关键信息基础设施监管处副处长黄秋国表示,随着银行保险机构纷纷向数字化战略转型,互联网应用系统大量上线,金融业务从物理网点向线上网络大规模迁移,线上业务规模大幅发展,传统银行逐步向以数字网络为核心的互联网的银行转型,网络攻击、勒索病毒、安全漏洞、内部恶意人员等都成为重要的安全隐患。
“新业务、新技术本身的引入会带来风险,比如区块链,经过权威机关测试,其中的漏洞非常多。”中国工商银行信息科技部副总经理陈满才表示,新技术的引入会带来不易觉察的风险,如果被攻击者利用,也会造成很大的困扰。
新技术的应用,使得黑客对金融系统的攻击,不仅是突袭战还可以是预谋战。例如,具有潜伏性和持续性的APT(高级持续性威胁)攻击,传统安全检测系统无法有效检测发现,防御方法是利用非商业化虚拟机分析技术,对各种邮件附件、文件进行深度的动态行为分析,发现利用系统漏洞等高级技术专门构造的恶意文件,从而发现和确认APT攻击行为。
黑客攻击招无定式AI“见招拆招”
36小时,是企业发现一个漏洞后用传统方法修补的时间。
“我认为这已经是非常强的能力了,相当于花了一个通宵加第二天一个中午的时间把整个全网的补丁打完。”中信建投证券信息科技部副总裁姜明元说,但是,这36小时是不是真的能够抵御黑客攻击,答案是“并不够”,“这不仅仅是我们自己的评估,国际调研报告中也表明这是远远不够的。”
更糟糕的是,很多安全运营事件发生后,“事主儿”压根没觉察。“企业什么时候能感知到数据被窃取了呢?”姜明元说,大多是来自于媒体曝光或者黑产炫耀。安全运营团队感知不到的重要原因在于监测点的日志往往是以百万或者是几十万的单位来计算的,人工很难从这么大量的数据中鉴别哪些是真正有威胁的事件。
“据权威分析机构统计,一个典型金融机构每天的数据量分布为:原始事件在亿到十亿级别,预警在百万级别。这样量级的数据是不可能靠一台服务器来处理的。”高瀚昭说,数据规模的海量化使得传统“保安站队”的方式应接不暇,难以逐一分析,必须有一个更高效的全新方式筛查、预判,从海量数据和告警中发现真正的攻击加以定位和处理,准确筛查需要仰赖大数据技术和人工智能技术。
对于AI的筛查能力,瀚思科技的首席科学家万晓川有了一个生动的比喻:给我两个参数能画一个直线,给我三个参数能画一个曲线,给我四个参数能画一个大象,给我五个参数能把大象鼻子动起来。对于人工智能来说,参数越多、描述能力越强,完成任务的能力越强。
“把病毒特征让AI分类识别,而不是人工挑拣病毒的上千个、上万个特征,现在已经有方法实现流程标准化,甚至可以完全自动化,能够自动对候补特征进行筛选,再选择合适的分类学习算法。”万晓川说。经过深度学习、关联性决策等AI筛查后,百万级别的告警信息,可以聚焦到最有可能的十几个左右。
此外,黑客还会“招无定式”,AI要做到“见招拆招”。“攻击者不会一成不变地按照防御路线进行进攻,而是会进行算法调整,防御算法必须跟着调整。”万晓川说,黑客攻击成本比防守成本低很多,变换攻击算法相对容易,而找到对应的安全防护手段却需要更花工夫。统计显示,以攻击方法来统计,只有17%的攻击方法涉及到一种数据类型,而剩下83%都涉及到两种或两种以上数据类型。所以,除了超强应对的算法外,安全领域的AI还必须处理多样性的数据,进行多数据来源的整合。
金融安防较量转向虚拟世界
“凌晨3点,是蔬菜运输企业最忙碌的时候,我们的尽职调查在这个时间段进行也最真实。”一段招商银行小额贷的公益广告片显示,为了发放贷款前对客户进行尽职调查,银行的工作人员经常需要在出乎意料的环境、时间里工作。
“传统方式的尽职调查往往难以掌握关系、信用等相关的一些关键却潜藏的信息。”陈满才说,但是人工智能却可以做到。
陈满才介绍,信用风险防控是商业银行的看家本领,信贷业务面对的企业情况非常复杂,随着相关业态逐步发展和演变,传统上主要靠信贷员走访或者是分析财务报表的方式,已难以准确预估企业的经营情况,评估贷款风险。
“我们用图数据库技术将积累的客户交易信息,以及国家权威部门,像税务局、工商局的数据,做了数据的综合分析。”陈满才说,分析之后,企业间的资金关系、担保关系、法人之间的任职关系全部可视化的展示出来,用于信贷业务的参考。“通过运用图数据库、机器学习等新技术,客户经理可以全面了解到它的担保权、资金权、控股关系来往等信息。”这些数据以前就有,为什么现在可以达到应用级别呢?陈满才解释,人工智能中全新算法的应用使得效率发生了质的提升。“以前用传统的数据分析技术,在分析这类关联关系方面,效率比较低,实用性不强,结果不便于阅读。”陈满才说,随着云计算能力、数据整合能力的提升,图数据库技术做到了“秒级”出分析结果,随时可以调用。
陈满才说,工商银行运用机器学习技术构建相关模型后,风险预判能力远超传统的基于规则与统计的专家模型算法。
所谓“道高一尺、魔高一丈”。攻、防双方的较量转向虚拟世界。网络攻击行为的智能化要求金融安防体系的智能化,中国人民银行科技司副司长陈立吾认为,智能化的金融网络安全防护体系要做到全面感知、智能协同和动态防护,人工智能(AI)可以助力。记者 张佳星