Fintech创新,业务安全先行!

2018-04-17 17:04:00 作者:ym 出处 : 比特网

  移动支付、线上转账、智能投顾、网上办卡……如今只能让你现场排队等号的银行已经成为过去,越来越多的银行都在积极进行革新,不断将金融业务电子化,增加对网银手机客户端的投入,以机器代替人工,使得在线上或掌上办理各种诸如存款、理财、外汇、黄金等的传统业务更为便利。FinTech时代,许多金融机构已经主动运用新技术应对金融行业的新挑战,但是由于发展速度过快,金融科技落地过程中的很多环节仍然存在一些不足,其中尤为值得关注的,就是金融科技带来的全新业务安全问题。

  FinTech时代“危”与“机”同行

  Fintech在金融生态中不断扩张,不断推出新的应用和平台。银行、保险、证券和基金公司等金融机构正将大量业务快速迁移到互联网上,但在提供网上便利业务的同时,其亦面临着严峻的新兴交易欺诈与安全威胁的挑战。撞库、申请欺诈、盗用账户、用户信息泄露、欺诈交易等行为令金融机构遭受巨大的业务风险及商誉损害。

  总体来说,金融科技时代的业务安全风险主要集中在以下三个方面:

  一、 由业务交叉带来的账户安全问题

  金融科技促使跨市场、跨行业、跨机构的金融业务相互交叉嵌套,而过去“一套账户密码应用于多个业务系统”的用户习惯,不仅给用户自身账户安全带来隐患,也给金融机构的账户保护与身份识别增加了挑战。近年来银行卡被盗刷的新闻屡见不鲜,不法分子通过撞库获取用户账户、密码及短信验证码,可以远程盗取用户的银行账户资金。

  二、 不断创新推出的业务类型导致业务欺诈风险不断增大

  当下更多传统金融业务依托互联网展开,网络直销银行、微信银行等新兴模式已成为各银行抢占机遇的利器。然而新模式下持续推出的线上营销活动却让“羊毛党“有机可乘。某银行为用户准备的4000份总价值近百万元的实体赠品,在活动上线的一分钟内即被羊毛党一抢而光,致使市场促销效果大打折扣, 造成巨大经济损失。

  三、 数据安全保护难度增大

  2017年6月颁布的《网络安全法》围绕“以数据为中心的安全”做了广泛而具体的规定。根据相关报告,数据泄漏所涉及的行业之中,金融行业首当其冲,24%的数据泄漏事件与金融机构有关。因此对于金融机构而言,如何防止爬虫爬取客户个人信息及其保单、账单等数据信息,已经成为金融机构的重要课题。

  安全是金融机构的永恒课题,但目前金融机构对金融科技大潮下的新兴安全风险防护却略显力不从心。那么问题来了,如何才能保障FinTech时代下的金融业务安全?

  “动态安全”为三大金融业务场景“以动化危”

  新的金融安全问题需要用新的思路来化解。瑞数信息提出的“动态安全”新思路可以出色地解决传统安全产品难以防御的业务安全问题,对金融机构的业务安全实现更高水准的防护。

  以下将通过三个造成巨大经济损失的典型场景及防护效果,分享瑞数动态安全助力银行实现业务防护的具体案例。

  1. 客户账户安全 - 防撞库

  作为一家网点遍布全国,拥有超过3亿个交易账户,资产总额近10万亿人民币的大型银行,一旦有攻击者利用自动化程序实施登陆尝试,盗取合法账号,后果将不堪设想。瑞数机器人防火墙Botgate对此进行全面动态防护,识别出44%的流量为自动化工具发起的撞库攻击请求,并进行拦截,使得该银行异常请求比例在一天内迅速下降,降至3%,高效保障了账户安全。

  2. 信用卡欺诈申请 - 防批量虚假申请

  当今金融业务之中,真实用户与虚假用户共存,主动注册与工具注册同在。某银行在开通网络直销银行业务的首日,即收到近十万次信用卡申请,此类请求不仅会大大增加银行人工审核成本,影响正常用户申请的处理效率,而且一旦虚假信息被审核通过,即可能发生恶意欠款事件,带来严重经济损失。瑞数动态防御系统发现,在提交开户申请的记录中,95.26%都被判定为机器人自动提交的虚假申请;经过有效过滤和阻拦,该银行信用卡业务再未受到类似攻击。

  3. 在线营销安全 - 防薅羊毛

  批量虚假申请会助长“养卡”的恶性风潮,为银行日后各类优惠促销活动中出没的“羊毛党“提供温床,致使活动效果大打折扣。而经过瑞数动态安全的防护,该银行一季度内的一元抢购、低价秒杀、免费电影票等优惠活动均顺利进行,避免了因薅羊毛而产生的非法套现可能造成的100余万人民币的损失;并且由于活动实惠能真正为用户所享,客户数量也不断攀升,银行客户端用户同时在线数量达到230万,是前一年峰值的3倍,突破历史最高峰值。

  构建以“动态安全”为核心的主动防护新思路

  不同于传统防御方式大多基于特征库、基于规则进行攻击检测和防御的静态、被动特征,瑞数信息致力于打造一个主动防御系统,以动态封装、动态验证、动态混淆、动态令牌四大动态安全技术为支撑,从以下四个维度实现从用户端到服务器端的全方位“主动防护”。

  动态主动防御 - 做好风控前置

  瑞数的动态安全技术可以通过主动防御来预测未知攻击,帮助金融机构提前做好防护,应对业务欺诈威胁,充分实现“风控前置”。

  一方面,瑞数利用动态封装、动态混淆技术,隐藏攻击入口,阻止针对性攻击。瑞数“动态安全”对服务器网页底层代码进行封装加密,并对客户端输入、提交的敏感数据内容进行混淆变化,从而在服务器与客户端之间实现持续的双向动态加密,既隐藏了页面漏洞、大幅增加攻击难度,也增加了服务器行为的不可预测性。攻击者无法分析页面,就无法找到用户填写账号、密码、手机号等身份信息的对应录入口径,也就无法获取用户信息进行下一步恶意操作。

  另一方面,瑞数利用动态验证、动态令牌技术,对攻击来源进行人机识别,将自动化攻击拒之门外。许多黑客会利用自动化工具批量开户、批量申请信用卡,由于这些恶意请求并无明显特征,常常以多IP源和低频方式进行,因此很难判定是正常来源还是异常攻击。瑞数“动态安全”通过对客户端环境与操作行为进行验证,严密检查运行环境、浏览器指纹、疑似攻击行为等因素,防止恶意终端访问,并以一次性的页面动态令牌为标志,确保业务逻辑的正确执行,实现对自动化工具的动态识别,有效验证访问网页的客户端是“人”还是“自动化工具“,从而过滤大量的自动化攻击噪音。

  全程态势感知 - 阻断恶意攻击

  通过终端指纹采集、业务逻辑感知、操作行为感知以及陷阱异常捕获等技术,可对交易全程感知威胁态势,动态采集非法终端应用、模拟合法操作、逆向破解及终端恶意代码注入等各类终端安全威胁,并对其进行分析判断,将恶意行为拒之门外。

  协同智能响应 – 牵制攻击行为

  瑞数的动态防御解决方案可以对潜在的业务风险进行威胁取证,提供可视化分析和报告,并可与其它安全系统进行动态联动,形成自动化协同响应体系,智能拦截威胁,从而有效缩短响应时间,快速牵制恶意攻击行为。

  动态威胁预测 – 形成防护闭环

  瑞数动态安全解决方案结合了大数据和机器学习算法,基于本地威胁态势、全球风险情报和第三方数据源,建立欺诈风险情报数据库,让用户知悉恶意攻击来源及动向;及时告警人为与自动化攻击,并发现潜在的攻击行为。同时根据动态趋势预测的结果,即时应对来自各方的安全威胁,调整防护策略,形成防护闭环。

  正是通过上述四个维度的主动防护,瑞数信息的“动态安全”解决方案在中国为大量金融机构的业务安全运营保驾护航。据统计,如今瑞数的解决方案每天可拦截超过6亿次在线欺诈行为,保护5亿多个账户和上万亿的交易额。

  FinTech时代的科技变革,对金融行业的商业模式带来颠覆性改变。正因如此,金融安全问题要运用更高的技术手段和更新的安全思路来解决。瑞数的“动态安全”技术可以帮助金融机构主动应对绕过现有安全防御机制的新兴威胁,保护在线交易、网站和数据的安全。我们看到,瑞数信息所代表的不仅是高效的安全体系,更是一种与时俱进的创新探索精神,在金融科技时代,绘制出安全防护的新蓝图。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。