標籤:

活動 | 8.24上海銀行業網路安全創新沙龍小記

09-02

撰稿 |

 流蘇

編輯 | 

圖圖

2018年8月24日,由安在組織的,針對銀行互金行業網路安全創新沙龍在黃浦江邊的一家私人會所舉行。

雖然本次會議旁邊的建築正在拆遷,外部環境略有喧鬧,但這絲毫沒有影響到參會者的熱情,演講者和嘉賓之間的互動漸漸蓋過外部的噪音。

一直以來,安在希望打造一個連接安全人員的平台,匯聚安全行業中的廠商、負責人、專家、技術骨幹,在會議中多聽、多看、多交流,分享最新的產品和解決方案,並聆聽來自一線安全工作者的感悟、心得及看法。

用戶的反饋讓乙方更加了解企業的安全需求;而乙方的技術分享則給企業帶來最新穎的防禦技術和安全理念。簡單、輕鬆的氛圍讓參會者更加舒適,安全系列活動受到參會者的一致好評。因此,安在還將組織更多有意思的交流活動邀請大家參與,共同探索網路安全的發展。

本次活動由信息安全新媒體安在(AnZer_SH)發起,上海市信息安全測評認證中心、安言諮詢、ISG競賽組委會支持,安在張威為主持人。現場,來自各各大銀行、互聯網金融行業專家、企業安全負責人、一線骨幹員工作為會議嘉賓參與,與安全廠商共同探討銀行互金行業網路安全創新發展。

本次沙龍地點和上一次沙龍地點一致,是上海黃浦江邊、黃曉明投資的一家私人酒庄——

LAN會所

。裝修風格簡約大氣,裡面珍藏著品類豐富的西班牙進口紅酒,茶歇時間,在黃浦江邊品嘗著美酒,聽著LAN會所的老闆講解紅酒知識,朋友之間相互交流著安全知識。

現場氣氛輕鬆而有趣,在介紹完紅酒知識後,LAN會所老闆幽默的說到,之前我在台下聽安全專家們介紹網路安全知識,現在,我給各位安全專家介紹食品安全知識,安全真的是涉及人們生活的方方面面。會議結束後,LAN會所提供美味的自助式西班牙晚餐,參會者載興而來,盡興而歸。

本次活動有幸邀請到諸多重量級銀行互金企業,如華瑞銀行、翼支付、中國銀行、農行數據中心、南洋商業銀行、浦發銀行、快錢支付、上海銀行、光大銀行、渣打銀行、匯通銀行、證通股份、滙豐銀行、民生銀行、理想信息等企業。

各安全部門負責人、專家、一線技術骨幹現場分享實際需求,以及落地的難點、痛點。

此外,安在還邀請到瑞數信息技術總監吳劍剛、春雨科技總監陳俊、看雪安全技術研究員萬嗣超到場進行主題分享,分別是:

一場沒有硝煙的戰爭、讓企業遠離網路釣魚、金融行業和第三方供應商的風險管控。

針對目前最為常見的安全問題和客戶痛點,保障銀行互金行業網路安全。

議題介紹及專家觀點

瑞數信息技術總監

吳劍剛

一場沒有硝煙的戰爭——自動化攻擊與動態防禦演示

網路安全威脅正如一場沒有硝煙的戰爭,網頁應用已經成為最主要、最容易的攻擊入口,而黑客攻擊手段工具化、形式自動化已傳統安全防禦體系捉襟見肘。

瑞數信息技術總監 吳劍剛

瑞數信息提出以「先發制人、掌握先機」的防護哲學,而不是一味的被動防禦。通過四大核心技術如動態驗證、動態封裝、動態混淆和動態令牌技術,最大限度保護企業不受黑客攻擊,讓安全領先一步。

瑞數信息還將為用戶提供全程式威脅感知服務,感知隱蔽性和偽裝性攻擊行為,準確定位攻擊,並提供精準的攻擊者畫像。

專家觀點

專家:工具掃描的識別率有多少呢,哪些工具可以被掃描出來?

吳劍剛

:瑞數信息的技術是工具識別,並沒有對工具進行分類,而是判定這是人的行為還是工具的行為,只要你是工具就一定可以識別並攔截,並不關心工具的種類、品牌和特徵。

專家:瑞數信息是怎麼判斷人的行為和工具行為的?

吳劍剛

:瑞數信息的技術中有兩個方法來識別工具。第一是動態令牌,客戶端請求不是直接到伺服器,而是先到瑞數信息的產品,會將頁面重新載入並含有一次性頁面動態令牌,簡單的工具無法過令牌這一關。第二個是動態驗證,分為三個維度:第一維度是環境校驗,是否時真實用戶環境;第二維度行為識別,是否存在人的行為;第三維度是指紋標識,查看用戶的行為軌跡。每一次校驗的方法都是動態變化的,防止外部黑客熟悉防禦而趁機侵入。

專家:如果是外部侵入是通過移動端進入的,這時候瑞數信息是怎麼防禦的?

吳劍剛

:瑞數信息會植入一個SDK,以此來採集信息。和傳統的SDK不同的是,瑞數信息的SDK是雙向認證的。在APP端的環境校驗部分會檢測SDK,並在APP做移除偵測,如果是逆向打包,那麼會被拒絕掉。而且,在移動端通過SDK採集到的設備指紋信息更加精準,加入動態令牌後形成唯一的指紋特徵。在H5頁面端,會獲取設備相關樣信息,通過取樣內容來識別是人還是工具。

春雨科技總監

陳俊

讓企業遠離網釣

釣魚郵件已成為企業最主要的風險來源,這樣的攻擊方式不僅廉價而且有效。然而,調查顯示,有70 % 的企業信息安全事件是由於員工不當使用電子郵件造成,如何提高員工安全意識尤為重要。

春雨科技總監 陳俊

春雨科技提出Bufmail(巴菲反釣魚系統),這是一款SaaS釣魚情景模擬雲服務,設計目的在於改變員工的風險行為,幫助員工提升對釣魚郵件感知和認識。 Bufmail通過收集真實釣魚郵件,創造逼真的釣魚情景,讓員工定期親身體驗釣魚實例。

企業員工按照註冊、企業認證、選擇服務、充值、模擬釣魚測試、獲得報告等流程進行即可。為了嘉賓們能更好的理解,陳俊現場分享模擬採購郵件、模擬支付郵件、模擬銀行郵件等案例,更貼合企業實際場景和需求。

專家觀點

專家:用戶如果要做釣魚郵件測試需要提供內部郵箱地址,春雨科技是如何進行保護的?

陳俊

:所有的賬戶信息春雨科技都是保密的,而且也會有專門的客服來服務的;在測試完成後,系統會自動刪除所有上傳的信息,資料庫中不會保留任何的資料和信息。而針對內網用戶的話,我們是使用用戶電腦發送郵件,發送完成後當著客戶的面將所有信息刪除,保證數據的安全性。

專家:在做釣魚郵件測試時,其中的鏈接和域名是一樣的嗎還是要重新註冊域名。

陳俊

:一般是根據用戶的要求來做的,和客戶特別像的域名也可以去申請。之前的合作客戶平安普惠就是使用的高相似度域名。如果客戶有需要的話我們也會把域名買下來然後轉到客戶名下。

看雪安全技術研究員

萬嗣超

金融行業和第三方供應商的風險管控

大量的安全事件證明,第三方承包商是主要的外部安全事故誘因,外包對企業而言是有利的,但是卻無法保證安全。NAVEXGlobal發現:67%的金融公司和50%醫療受訪者,都將網路安全風險列為頭等大事——高於欺詐、賄賂和腐敗,以及利益衝突。與此同時,黑客的攻擊方法日益變化,大量的黑客攻擊集中於供應鏈系統。

看雪安全技術研究員 萬嗣超

看雪學院提出通過安全眾測彌補金融行業的第三方供應商系統安全性的不足,在黑盒狀態下技術人員利用黑客技術尋找系統漏洞,防止第三方供應商潛在威脅。

簡而言之,在相關監管部門的審核和監督下,擁有眾多安全技術精英的看雪眾測對廠商的漏洞狀態進行挖掘、統計、修復,包括智能硬體、WEB安全檢測、手機APP安全、企業系統檢測等等。一方面保證企業漏洞不會被有心人利用,免除企業的後顧之憂;另一方面則是集中安全行業的技術精英,為企業修復漏洞,保護企業安全。

截至2018年論壇註冊會員超過70萬,在安全行業有著良好的口碑;其中,看雪論壇已經成為中國安全人士必備的學習、交流網站大量安全人才,通過論壇,從普通IT愛好者成長為安全專才。

現場花絮

主題分享

瑞數信息

:瑞數信息( River Security ),成立於2012年,專註於提供業界最前沿的互聯網動態業務應用安全防護解決方案。總部位於上海,在北京和深圳分別設有分支機構,並在成都設立了研發中心。首創的 「動態安全」主動防護技術完全顛覆了延續20多年的傳統安全技術基礎,可以有效抵禦各類自動化攻擊或模擬合法操作的交易欺詐行為,阻擋能力更高效、更及時,同時大幅度降低部署及使用成本。

春雨科技

:上海春雨信息科技有限公司成立於2008年,自一站式郵件營銷起,已成長為集郵件、簡訊、DSP廣告投放的整合數據營銷解決方案商。團隊成員均來自知名互聯網及數字營銷領域公司,合作、理性、創新、技能點高,公司斬獲多項榮譽。EmailCar是一個專註於電子郵件大數據流技術,先後服務過眾多品牌客戶、大型銀行金融企業,在電子郵件底層數據流的技術處理、電子郵件追蹤及用戶行為分析等大批量數據挖掘上積累了豐富的經驗。

看雪學院

:看雪學院(www.kanxue.com),成立於2000年,是一個專註於PC、移動、智能設備安全研究及逆向工程的開發者社區,經過18年的發展,看雪學院受到業界的廣泛認同。平台為會員提供安全知識的在線視頻課程和教學,同時為企業提供服務端安全、APP安全、反外掛系統、外包等相關服務。看雪學院聚集著大量bat等大型互聯網公司的安全技術精英,擁有著雄厚的技術實力和安全行業經驗。

主辦方簡介

安在:國內最權威的信息安全新媒體,專註為安全廠商提供包括品牌包裝,媒體推宣、市場對接等在內的專業服務。

上海市信息安全測評認證中心:簡稱上海測評中心或SHTEC,於2000年1月掛牌運行,是經上海市人民政府批准成立的專門從事信息技術產品、信息系統安全測評及相關資質認證等業務的第三方專業機構,具有獨立法人資格,是國內最早開展信息安全測評的機構之一。上海測評中心目前是華東地區檢測資質最全、規模最大、綜合性最強的信息安全專業測評機構。作為上海市的重要信息安全基礎設施,上海測評中心在國內首創了「一個測評平台、資源共享、多方授權、服務各方」的集約化模式,是最早通過中國合格評定國家認可委員會的檢測實驗室認可及檢查機構認可的機構之一,是國家首批信息安全風險評估服務資質(一級)機構。

安言:國內最早也是目前最權威的信息安全專業諮詢機構,自2004年起,迄今已在包括銀行、證券、保險、運營商、電力、外企、製造業、互聯網等典型行業積累了數百家客戶案例。

ISG:中國信息安全技能競賽(組委會支撐單位是上海易念科技),是由中國信息安全認證中心與上海市信息安全行業協會聯合發起,參考人社部相關文件要求成立競賽組委會,並由競賽組委會主辦的全國性信息安全專業方向綜合類競技比賽,目前已成為中國網路與信息安全領域最具影響力和權威性的綜合性賽事。ISG所匯聚的信息安全參賽人員及專家團隊,基本涵蓋各行業企業用戶單位的信息安全技術骨幹和管理人員。

「推薦閱讀」

活動 | 甲方乙方對對碰:國企網路安全難題怎解?

活動 | 甲方乙方對對碰:銀行企業數據安全錦囊何在?

活動 | 甲方乙方對對碰:保險業網路安全落地探討

活動 | 甲方乙方對對碰:證券行業安全創新研討

活動 | 甲方乙方對對碰:政府機構網路安全痛點有誰知?

活動 | 7.13北京金融業網路安全創新沙龍小記

活動 | 7.27上海保險業網路安全創新沙龍小記

活動 | 8.10上海證券業網路安全創新沙龍小記

中國網路安全新媒體聯盟

,由聚焦網安行業的包括安在、E安全、Freebuf、看雪論壇、數說安全、安全村、網安視界、遊俠安全網、一本黑等在內的新媒體或自媒體共同發起成立,是非營利非實體性質的新媒體聯絡協調和合作互助機制。

人物

熱點

互動

傳播

長按關注

投稿及商務合作請在後台回復關鍵字


推薦閱讀:

環保裝備製造行業(大氣治理)規範條件發布!
湯臣倍健:好行業,好公司
夜場行業術語
適合各行業— 六大後端暴利策略

TAG:銀行業 | 銀行 | 網路安全 | 安全 | 行業 | 創新 | 上海 | 活動 | 沙龍 | 上海銀行 | 小記 | 網路 |