来源 | 零壹智库

现在的金融安全挑战为什么越来越严峻！？

威胁猎人发布的《2024年上半年数据泄露风险态势报告》显示，上半年金融行业数据泄露事件超过8400起，已接近去年全年（8758起）。而据Statista统计，2024年全球有高达65%的金融机构报告遭遇了勒索软件攻击。

2023年11月，抵押贷款巨头Mr. Cooper被爆遭到黑客攻击，超过1460万用户的敏感个人信息被盗；2024年7月，美国知名银行Evolve Bank Trust遭LockBit勒索软件攻击，导致约760万名客户数据被盗。

2024年10月，国内某贷款平台约4.1万条用户数据被放在暗网上以2000美元的价格进行售卖。同样，国内金融机构也有被勒索的恶性事件。

“如果把以前的金融机构比作成10层楼，它的每一扇窗户都是一个风险敞口，都是清晰可见的。随着数字化的推进，业务和系统越来越多，现在的金融机构可能是100层楼，在绝大多数角度都不可能观察到所有的问题所在。哪扇窗户没有关、哪扇窗户被攻击，金融机构很难发现。”腾讯云一位金融安全专家如此比喻当前的形势。

在“2024腾讯云金融安全峰会”上，腾讯云副总裁胡利明表示，近些年，金融行业的数字化转型处于高速推进和发展当中，科技更广泛应用的同时，其实也面临着更多前所未有的安全挑战。比如，各种高危的漏洞、复杂的攻击、数据泄露、勒索等问题层出不穷。“从去年到今年也可以看到，行业里面逐步出现很多结合最新AI技术的新型攻击方法，使得攻击手段越来越多，而且成本越来越低。”

金融安全，因数字金融的发展和大模型等新技术的演进，变成了一个新的战场。

01 

新战场

网络安全行业是一个快速变化的行业，技术的更新非常快。腾讯安全副总裁、玄武实验室负责人于旸说，“不光是安全技术变得快，我们对安全的认知也在快速变化，有一些认知在产生的当时没错，但是一年、两年之后，如果你还是坚持这个认知，那就错了。”

比如，以前为了应对篡改主页等攻击，一般都是就事论事，被篡改后再改回来就行了。“但随着攻防形势的变化，今天这些认知是有问题的。无论是20年前流行的篡改主页，还是今天流行的勒索，其实都是攻击的最后一环……只是防这最后一步，肯定是有问题的。”

他举了一个例子来说明勒索攻击的变化。

早在1989年就出现了一个叫做“AIDS”的病毒，它的传播方式是邮寄软盘，攻击的操作系统是DOS，软盘标明这是一份艾滋病病毒相关的资料，所以它被称之为AIDS病毒。在1989年，我们可以说勒索攻击就是病毒攻击，防勒索就是防病毒，“但今天显然已经不是这样”。

既然勒索攻击在1989年就诞生了，为什么最近10年才流行？对于勒索攻击，最大的一个问题就是收钱，从上世纪到本世纪勒索攻击在发展过程当中，网络犯罪分子们一直面临着收钱困难。以前只有通过银行转账收钱，无论多么复杂，执法部门顺着转账信息，最终都能找到勒索者。

于旸指出，最近十年，勒索攻击因其与加密货币的结合而变得日益流行。目前，所有的勒索攻击都要求使用加密货币支付赎金，这种方式有效切断了执法部门通过资金流向追踪犯罪分子的可能性。

“有一个非常有意思的事情，加密货币本身使用了加密技术，而现代勒索攻击同样依赖于加密算法。所以，勒索攻击在两个关键环节上都使用了加密技术。”于旸说，“现在加密技术成了最令我们头疼的一种网络安全威胁。”

在当前新的技术环境下，于旸介绍了几种比较典型的威胁：

第一，迂回攻击、曲线攻击。确定目标后，通常攻击者不会硬碰硬，在正面战场发生冲突，这非常困难，所以采取迂回攻击的方式。“我们看到过一种攻击路线，从小银行攻入金融城域网，从金融城域网再打大行。”

第二，从海外分支机构入侵。很多机构在国内安全做得很好，但有些国内的做法到海外没法做，国内用的东西到海外不让用。有的机构在海外用了一些在安全上还不太成熟的SaaS和私有化产品，这些产品本身给系统引入了一些新的安全风险。“我们看到的一些办公软件、远程桌面、中间件等等，有很多的威胁是由于这些危险引入的。”

第三，供应链通路、数据托管、权限委托等环节都有可能成为突破口。“虽然这些突破口可能不是在你这个地方，但是他被突破之后会威胁到你的数字资产。”

这些都是金融行业在攻防演练当中出现过的一些脆弱点。

于旸介绍，攻防当中使用的工具也在不断变化，一开始大家用一些开源免费工具，一般都是单兵工具。

这些年，每个攻击队都开始开发工具，同时这些工具转向平台化协作化操作，从步枪手枪变成航空母舰了。随着平台化水平的提高，整个攻击队形成合力之后的攻击水平也大幅提高：原先攻击队里面有10个人，10个人的水平参差不齐，通过平台协作之后，这10个人都能够接近水平最高的那个人。

“另外平台可以通过引入自动化技术，甚至人工智能技术，进一步提高攻击的效率，这个对于效率的提升也是非常惊人的。”于旸说，攻击队现在都在用大模型。虽然大模型还不能完全替代人力，但是可以极大的提高攻击效率，以前很多在攻击队工作当中相对比较繁杂、但是技术含量不高的工作，现在可以用大模型替代。

甚至在钓鱼攻击中也用上了大模型，有的钓鱼话术都是大模型预先把话语列表做好，在钓鱼中使用的海报之类的物料也可用大模型做好。

“黑灰产会利用大模型、人工智能技术形成一些伪造的信息对风控系统、业务系统进行攻击，这个趋势也在快速增高。” 腾讯安全副总经理、云鼎实验室专家李滨说。

《2024人工智能安全报告》显示，2023年基于AI的深度伪造欺诈暴增了3000%，基于AI的钓鱼邮件增长了1000%。而在今年2月，某英国企业的香港分公司的员工，被骗子用伪造的AI合成视频骗走2亿港币。

新打法

这样一栋几百层而且每天都在迅速增高的数字金融大楼，怎么保护安全？

腾讯安全给出了几个解题方法：

一是为金融机构提供攻击面管理的产品，帮助金融机构把暴露在外面的资产进行盘点。

二是把被动防御变成主动防御。以前很多企业就是被攻击了，才会去补漏洞或者买相应的安全产品，相当于窗户被别人打破了，才去补窗。现在需要监测内网横移和外联，就是东西向和南北向，可以类比为某一扇窗户在对外沟通中发生异常，就会告警。

三是做好威胁情报能力建设。为几百层楼安装一个实时的哨兵系统，外面一旦有最新的威胁、漏洞,可以及时报警，一个漏洞被发现，就会向整栋楼预警。

四是态势感知。建立一整栋楼的应急响应的中心，每一个业务有什么问题都可以知道。

新的技术虽然会带来新的风险，但也会带来新的安全防控手段，比如大模型。因此，金融业界也在从不同角度探索通过大模型提升安全防护的新方式。

李滨表示，“从我们自身的运营角度来讲，AI在安全提效方面发挥着巨大的作用。AI大模型是当前安全领域提升能力的核心，相当于一个智慧大脑。它在数据分类分级管控、安全事件分析和过滤、威胁情报辅助分析，以及安全事件综合处理等方面，给我们带来很大的帮助。”

他用三个核心词来概括腾讯云当前的安全运营策略：数据化，把腾讯日常的管理机制、安全能力、设备利用数据贯通起来；智能化，通过一个大脑辅助进行数据的连通、分析、策略提取；自动化，利用智能化提取的配套指标，实现自动化运营。

“基于这些能力，我们可以针对重大威胁攻击实现秒级全网响应，最大程度地缩小安全攻击的时间窗口。这不仅极大提升了安全运营的效率，还节约了大量资源。”李滨说，“目前我们在8个领域、40多项流程中实现了自动化和大模型的打通。”

腾讯安全副总经理、科恩实验室专家聂森说，“在安全技术方面，比如反入侵的时候，我们会用大模型技术解决产品问题”。 

他介绍，腾讯云做基础安全大模型的时候，产品偏SAAS或者PAAS层，“我们生长在腾讯云之上”。自2018年以来，腾讯云在这方面的工作表明，其大模型技术效能提升与行业是同频的。

“腾讯云有自己的推理加速团队，有服务器管理、网络连通提速、多卡训练提速等方面的能力。”聂森介绍，“在我们做大模型应用端的时候，做搜索增强对话能力的时候，腾讯云也有自己的知识引擎服务、向量部署服务。我们的安全大模型会用到这些组件，效能会大幅度提升。”

新体系

“金融机构越是积极拥抱技术，技术对业务的重塑和改造就越深，相应地，也会衍生出更多的安全问题。”腾讯金融云副总经理王丰辉认为，对于任何金融机构而言，随着系统的增多，其复杂性也随之增大。因此，帮这些金融机构解决安全问题也变得相对复杂。

他认为，腾讯安全服务并非传统的乙方安全供应商。“我们拥有大量的应用场景和业务，在一定程度上具备了甲方安全视角。我们致力于解决自身问题，并在经过迭代、验证、自我测试后，确信其成熟可靠，才会向他人推荐使用。”

李滨表示，在企业建设过程中，我们从两个角度来考虑安全问题。首先就是要建立一个安全攻防态势和防御体系的成熟度阶梯，如果仅将问题简单划分为已知、未知两类，那么这种划分的颗粒度就过于粗糙了。

腾讯安全近年来致力于通过数据驱动、指标驱动来提升安全领域的自动化和智能化水平。整个产品能输出大量的数据，这些数据汇集到一个智能化的安全资源池，即所谓的“安全湖”。

在安全湖中，腾讯安全通过AI大模型进行综合分析，评估当前面临的威胁数量、威胁等级，并决定哪些威胁需要立即处理，哪些可以忽略，以及应该采取何种措施。这一过程涵盖了从数据采集、分析、智能化处理到反馈至各个系统，实现了流程自动化，并确保快速响应的闭环管理。

他介绍，腾讯在全球每秒都会遭受大量的攻击，每天检测到的攻击信号超过50亿次。通过数据的积累和融合专家知识，腾讯安全构建了一个智能体，以实现快速反应。最新效果是，能够在大概45分钟内完成对重要安全事件的影响评估，并在小时级内完成闭环处理。 

“通过这些措施，我们形成了针对海量事件的立体化的过滤，和比较精准的自动化响应，实现对‘已病’和‘未病’的统一处理。”李滨说。

基于这样的思路，针对共性和个性问题，腾讯安全推出4+N体系，通过数据安全、主机安全、Web应用防火墙、云防火墙这4道防线解决云上安全的“基础设施建设”问题；通过游戏反外挂、营销风控、借贷反欺诈、文旅反黄牛等N种行业安全解决方案，帮助企业应对不同的安全需求，为业务发展增质提效。

聂森介绍，在金融行业，我们有一个比较好的实践是解决各家安全产品分散的问题，金融机构和企业可能用一些其他公司的安全产品，“我们希望未来可以内置到我们的腾讯的威胁情包，形成一个安全产品的联动”。

来源 | 零壹智库

现在的金融安全挑战为什么越来越严峻！？

威胁猎人发布的《2024年上半年数据泄露风险态势报告》显示，上半年金融行业数据泄露事件超过8400起，已接近去年全年（8758起）。而据Statista统计，2024年全球有高达65%的金融机构报告遭遇了勒索软件攻击。

2023年11月，抵押贷款巨头Mr. Cooper被爆遭到黑客攻击，超过1460万用户的敏感个人信息被盗；2024年7月，美国知名银行Evolve Bank Trust遭LockBit勒索软件攻击，导致约760万名客户数据被盗。

2024年10月，国内某贷款平台约4.1万条用户数据被放在暗网上以2000美元的价格进行售卖。同样，国内金融机构也有被勒索的恶性事件。

“如果把以前的金融机构比作成10层楼，它的每一扇窗户都是一个风险敞口，都是清晰可见的。随着数字化的推进，业务和系统越来越多，现在的金融机构可能是100层楼，在绝大多数角度都不可能观察到所有的问题所在。哪扇窗户没有关、哪扇窗户被攻击，金融机构很难发现。”腾讯云一位金融安全专家如此比喻当前的形势。

在“2024腾讯云金融安全峰会”上，腾讯云副总裁胡利明表示，近些年，金融行业的数字化转型处于高速推进和发展当中，科技更广泛应用的同时，其实也面临着更多前所未有的安全挑战。比如，各种高危的漏洞、复杂的攻击、数据泄露、勒索等问题层出不穷。“从去年到今年也可以看到，行业里面逐步出现很多结合最新AI技术的新型攻击方法，使得攻击手段越来越多，而且成本越来越低。”

金融安全，因数字金融的发展和大模型等新技术的演进，变成了一个新的战场。

01 

新战场

网络安全行业是一个快速变化的行业，技术的更新非常快。腾讯安全副总裁、玄武实验室负责人于旸说，“不光是安全技术变得快，我们对安全的认知也在快速变化，有一些认知在产生的当时没错，但是一年、两年之后，如果你还是坚持这个认知，那就错了。”

比如，以前为了应对篡改主页等攻击，一般都是就事论事，被篡改后再改回来就行了。“但随着攻防形势的变化，今天这些认知是有问题的。无论是20年前流行的篡改主页，还是今天流行的勒索，其实都是攻击的最后一环……只是防这最后一步，肯定是有问题的。”

他举了一个例子来说明勒索攻击的变化。

早在1989年就出现了一个叫做“AIDS”的病毒，它的传播方式是邮寄软盘，攻击的操作系统是DOS，软盘标明这是一份艾滋病病毒相关的资料，所以它被称之为AIDS病毒。在1989年，我们可以说勒索攻击就是病毒攻击，防勒索就是防病毒，“但今天显然已经不是这样”。

既然勒索攻击在1989年就诞生了，为什么最近10年才流行？对于勒索攻击，最大的一个问题就是收钱，从上世纪到本世纪勒索攻击在发展过程当中，网络犯罪分子们一直面临着收钱困难。以前只有通过银行转账收钱，无论多么复杂，执法部门顺着转账信息，最终都能找到勒索者。

于旸指出，最近十年，勒索攻击因其与加密货币的结合而变得日益流行。目前，所有的勒索攻击都要求使用加密货币支付赎金，这种方式有效切断了执法部门通过资金流向追踪犯罪分子的可能性。

“有一个非常有意思的事情，加密货币本身使用了加密技术，而现代勒索攻击同样依赖于加密算法。所以，勒索攻击在两个关键环节上都使用了加密技术。”于旸说，“现在加密技术成了最令我们头疼的一种网络安全威胁。”

在当前新的技术环境下，于旸介绍了几种比较典型的威胁：

第一，迂回攻击、曲线攻击。确定目标后，通常攻击者不会硬碰硬，在正面战场发生冲突，这非常困难，所以采取迂回攻击的方式。“我们看到过一种攻击路线，从小银行攻入金融城域网，从金融城域网再打大行。”

第二，从海外分支机构入侵。很多机构在国内安全做得很好，但有些国内的做法到海外没法做，国内用的东西到海外不让用。有的机构在海外用了一些在安全上还不太成熟的SaaS和私有化产品，这些产品本身给系统引入了一些新的安全风险。“我们看到的一些办公软件、远程桌面、中间件等等，有很多的威胁是由于这些危险引入的。”

第三，供应链通路、数据托管、权限委托等环节都有可能成为突破口。“虽然这些突破口可能不是在你这个地方，但是他被突破之后会威胁到你的数字资产。”

这些都是金融行业在攻防演练当中出现过的一些脆弱点。

于旸介绍，攻防当中使用的工具也在不断变化，一开始大家用一些开源免费工具，一般都是单兵工具。

这些年，每个攻击队都开始开发工具，同时这些工具转向平台化协作化操作，从步枪手枪变成航空母舰了。随着平台化水平的提高，整个攻击队形成合力之后的攻击水平也大幅提高：原先攻击队里面有10个人，10个人的水平参差不齐，通过平台协作之后，这10个人都能够接近水平最高的那个人。

“另外平台可以通过引入自动化技术，甚至人工智能技术，进一步提高攻击的效率，这个对于效率的提升也是非常惊人的。”于旸说，攻击队现在都在用大模型。虽然大模型还不能完全替代人力，但是可以极大的提高攻击效率，以前很多在攻击队工作当中相对比较繁杂、但是技术含量不高的工作，现在可以用大模型替代。

甚至在钓鱼攻击中也用上了大模型，有的钓鱼话术都是大模型预先把话语列表做好，在钓鱼中使用的海报之类的物料也可用大模型做好。

“黑灰产会利用大模型、人工智能技术形成一些伪造的信息对风控系统、业务系统进行攻击，这个趋势也在快速增高。” 腾讯安全副总经理、云鼎实验室专家李滨说。

《2024人工智能安全报告》显示，2023年基于AI的深度伪造欺诈暴增了3000%，基于AI的钓鱼邮件增长了1000%。而在今年2月，某英国企业的香港分公司的员工，被骗子用伪造的AI合成视频骗走2亿港币。

新打法

这样一栋几百层而且每天都在迅速增高的数字金融大楼，怎么保护安全？

腾讯安全给出了几个解题方法：

一是为金融机构提供攻击面管理的产品，帮助金融机构把暴露在外面的资产进行盘点。

二是把被动防御变成主动防御。以前很多企业就是被攻击了，才会去补漏洞或者买相应的安全产品，相当于窗户被别人打破了，才去补窗。现在需要监测内网横移和外联，就是东西向和南北向，可以类比为某一扇窗户在对外沟通中发生异常，就会告警。

三是做好威胁情报能力建设。为几百层楼安装一个实时的哨兵系统，外面一旦有最新的威胁、漏洞,可以及时报警，一个漏洞被发现，就会向整栋楼预警。

四是态势感知。建立一整栋楼的应急响应的中心，每一个业务有什么问题都可以知道。

新的技术虽然会带来新的风险，但也会带来新的安全防控手段，比如大模型。因此，金融业界也在从不同角度探索通过大模型提升安全防护的新方式。

李滨表示，“从我们自身的运营角度来讲，AI在安全提效方面发挥着巨大的作用。AI大模型是当前安全领域提升能力的核心，相当于一个智慧大脑。它在数据分类分级管控、安全事件分析和过滤、威胁情报辅助分析，以及安全事件综合处理等方面，给我们带来很大的帮助。”

他用三个核心词来概括腾讯云当前的安全运营策略：数据化，把腾讯日常的管理机制、安全能力、设备利用数据贯通起来；智能化，通过一个大脑辅助进行数据的连通、分析、策略提取；自动化，利用智能化提取的配套指标，实现自动化运营。

“基于这些能力，我们可以针对重大威胁攻击实现秒级全网响应，最大程度地缩小安全攻击的时间窗口。这不仅极大提升了安全运营的效率，还节约了大量资源。”李滨说，“目前我们在8个领域、40多项流程中实现了自动化和大模型的打通。”

腾讯安全副总经理、科恩实验室专家聂森说，“在安全技术方面，比如反入侵的时候，我们会用大模型技术解决产品问题”。 

他介绍，腾讯云做基础安全大模型的时候，产品偏SAAS或者PAAS层，“我们生长在腾讯云之上”。自2018年以来，腾讯云在这方面的工作表明，其大模型技术效能提升与行业是同频的。

“腾讯云有自己的推理加速团队，有服务器管理、网络连通提速、多卡训练提速等方面的能力。”聂森介绍，“在我们做大模型应用端的时候，做搜索增强对话能力的时候，腾讯云也有自己的知识引擎服务、向量部署服务。我们的安全大模型会用到这些组件，效能会大幅度提升。”

新体系

“金融机构越是积极拥抱技术，技术对业务的重塑和改造就越深，相应地，也会衍生出更多的安全问题。”腾讯金融云副总经理王丰辉认为，对于任何金融机构而言，随着系统的增多，其复杂性也随之增大。因此，帮这些金融机构解决安全问题也变得相对复杂。

他认为，腾讯安全服务并非传统的乙方安全供应商。“我们拥有大量的应用场景和业务，在一定程度上具备了甲方安全视角。我们致力于解决自身问题，并在经过迭代、验证、自我测试后，确信其成熟可靠，才会向他人推荐使用。”

李滨表示，在企业建设过程中，我们从两个角度来考虑安全问题。首先就是要建立一个安全攻防态势和防御体系的成熟度阶梯，如果仅将问题简单划分为已知、未知两类，那么这种划分的颗粒度就过于粗糙了。

腾讯安全近年来致力于通过数据驱动、指标驱动来提升安全领域的自动化和智能化水平。整个产品能输出大量的数据，这些数据汇集到一个智能化的安全资源池，即所谓的“安全湖”。

在安全湖中，腾讯安全通过AI大模型进行综合分析，评估当前面临的威胁数量、威胁等级，并决定哪些威胁需要立即处理，哪些可以忽略，以及应该采取何种措施。这一过程涵盖了从数据采集、分析、智能化处理到反馈至各个系统，实现了流程自动化，并确保快速响应的闭环管理。

他介绍，腾讯在全球每秒都会遭受大量的攻击，每天检测到的攻击信号超过50亿次。通过数据的积累和融合专家知识，腾讯安全构建了一个智能体，以实现快速反应。最新效果是，能够在大概45分钟内完成对重要安全事件的影响评估，并在小时级内完成闭环处理。 

“通过这些措施，我们形成了针对海量事件的立体化的过滤，和比较精准的自动化响应，实现对‘已病’和‘未病’的统一处理。”李滨说。

基于这样的思路，针对共性和个性问题，腾讯安全推出4+N体系，通过数据安全、主机安全、Web应用防火墙、云防火墙这4道防线解决云上安全的“基础设施建设”问题；通过游戏反外挂、营销风控、借贷反欺诈、文旅反黄牛等N种行业安全解决方案，帮助企业应对不同的安全需求，为业务发展增质提效。

聂森介绍，在金融行业，我们有一个比较好的实践是解决各家安全产品分散的问题，金融机构和企业可能用一些其他公司的安全产品，“我们希望未来可以内置到我们的腾讯的威胁情包，形成一个安全产品的联动”。