移动支付、线上转账、智能投顾、网上办卡……如今只能让你现场排队等号的银行已经成为过去,越来越多的银行都在积极进行革新,不断将金融业务电子化,增加对网银及手机客户端的投入,以机器代替人工,使得在线上或掌上办理各种诸如存款、理财、外汇、黄金等的传统业务更为便利。FinTech时代,许多金融机构已经主动运用新技术应对金融行业的新挑战,但是由于发展速度过快,金融科技落地过程中的很多环节仍然存在一些不足,其中尤为值得关注的,就是金融科技带来的全新业务安全问题。
FinTech时代“危”与“机”同行
Fintech在金融生态中不断扩张,不断推出新的应用和平台。银行、保险、证券和基金公司等金融机构正将大量业务快速迁移到互联网上,但在提供网上便利业务的同时,其亦面临着严峻的新兴交易欺诈与安全威胁的挑战。撞库、申请欺诈、盗用账户、用户信息泄露、欺诈交易等行为令金融机构遭受巨大的业务风险及商誉损害。
总体来说,金融科技时代的业务安全风险主要集中在以下三个方面:
一、由业务交叉带来的账户安全问题
金融科技促使跨市场、跨行业、跨机构的金融业务相互交叉嵌套,而过去“一套账户密码应用于多个业务系统”的用户习惯,不仅给用户自身账户安全带来隐患,也给金融机构的账户保护与身份识别增加了挑战。近年来银行卡被盗刷的新闻屡见不鲜,不法分子通过撞库获取用户账户、密码及短信验证码,可以远程盗取用户的银行账户资金。
二、不断创新推出的业务类型导致业务欺诈风险不断增大
当下更多传统金融业务依托互联网展开,网络直销银行、微信银行等新兴模式已成为各银行抢占机遇的利器。然而新模式下持续推出的线上营销活动却让“羊毛党“有机可乘。某银行为用户准备的4000份总价值近百万元的实体赠品,在活动上线的一分钟内即被羊毛党一抢而光,致使市场促销效果大打折扣, 造成巨大经济损失。
三、数据安全保护难度增大
2017年6月颁布的《网络安全法》围绕“以数据为中心的安全”做了广泛而具体的规定。根据相关报告,数据泄漏所涉及的行业之中,金融行业首当其冲,24%的数据泄漏事件与金融机构有关。因此对于金融机构而言,如何防止爬虫爬取客户个人信息及其保单、账单等数据信息,已经成为金融机构的重要课题。
安全是金融机构的永恒课题,但目前金融机构对金融科技大潮下的新兴安全风险防护却略显力不从心。那么问题来了,如何才能保障FinTech时代下的金融业务安全?
“动态安全”为三大金融业务场景“以动化危”
新的金融安全问题需要用新的思路来化解。瑞数信息提出的“动态安全”新思路可以出色地解决传统安全产品难以防御的业务安全问题,对金融机构的业务安全实现更高水准的防护。
以下将通过三个造成巨大经济损失的典型场景及防护效果,分享瑞数动态安全助力银行实现业务防护的具体案例。
1.客户账户安全 - 防撞库
作为一家网点遍布全国,拥有超过3亿个交易账户,资产总额近10万亿人民币的大型银行,一旦有攻击者利用自动化程序实施登陆尝试,盗取合法账号,后果将不堪设想。瑞数机器人防火墙Botgate对此进行全面动态防护,识别出44%的流量为自动化工具发起的撞库攻击请求,并进行拦截,使得该银行异常请求比例在一天内迅速下降,降至3%,高效保障了账户安全。
2.信用卡欺诈申请 - 防批量虚假申请
当今金融业务之中,真实用户与虚假用户共存,主动注册与工具注册同在。某银行在开通网络直销银行业务的首日,即收到近十万次信用卡申请,此类请求不仅会大大增加银行人工审核成本,影响正常用户申请的处理效率,而且一旦虚假信息被审核通过,即可能发生恶意欠款事件,带来严重经济损失。瑞数动态防御系统发现,在提交开户申请的记录中,95.26%都被判定为机器人自动提交的虚假申请;经过有效过滤和阻拦,该银行信用卡业务再未受到类似攻击。
3.在线营销安全 - 防薅羊毛
批量虚假申请会助长“养卡”的恶性风潮,为银行日后各类优惠促销活动中出没的“羊毛党“提供温床,致使活动效果大打折扣。而经过瑞数动态安全的防护,该银行一季度内的一元抢购、低价秒杀、免费电影票等优惠活动均顺利进行,避免了因薅羊毛而产生的非法套现可能造成的100余万人民币的损失;并且由于活动实惠能真正为用户所享,客户数量也不断攀升,银行客户端用户同时在线数量达到230万,是前一年峰值的3倍,突破历史最高峰值。
构建以“动态安全”为核心的主动防护新思路
不同于传统防御方式大多基于特征库、基于规则进行攻击检测和防御的静态、被动特征,瑞数信息致力于打造一个主动防御系统,以动态封装、动态验证、动态混淆、动态令牌四大动态安全技术为支撑,从以下四个维度实现从用户端到服务器端的全方位“主动防护”。
动态主动防御 - 做好风控前置
瑞数的动态安全技术可以通过主动防御来预测未知攻击,帮助金融机构提前做好防护,应对业务欺诈威胁,充分实现“风控前置”。
一方面,瑞数利用动态封装、动态混淆技术,隐藏攻击入口,阻止针对性攻击。瑞数“动态安全”对服务器网页底层代码进行封装加密,并对客户端输入、提交的敏感数据内容进行混淆变化,从而在服务器与客户端之间实现持续的双向动态加密,既隐藏了页面漏洞、大幅增加攻击难度,也增加了服务器行为的不可预测性。攻击者无法分析页面,就无法找到用户填写账号、密码、手机号等身份信息的对应录入口径,也就无法获取用户信息进行下一步恶意操作。
另一方面,瑞数利用动态验证、动态令牌技术,对攻击来源进行人机识别,将自动化攻击拒之门外。许多黑客会利用自动化工具批量开户、批量申请信用卡,由于这些恶意请求并无明显特征,常常以多IP源和低频方式进行,因此很难判定是正常来源还是异常攻击。瑞数“动态安全”通过对客户端环境与操作行为进行验证,严密检查运行环境、浏览器指纹、疑似攻击行为等因素,防止恶意终端访问,并以一次性的页面动态令牌为标志,确保业务逻辑的正确执行,实现对自动化工具的动态识别,有效验证访问网页的客户端是“人”还是“自动化工具“,从而过滤大量的自动化攻击噪音。
全程态势感知 - 阻断恶意攻击
通过终端指纹采集、业务逻辑感知、操作行为感知以及陷阱异常捕获等技术,可对交易全程感知威胁态势,动态采集非法终端应用、模拟合法操作、逆向破解及终端恶意代码注入等各类终端安全威胁,并对其进行分析判断,将恶意行为拒之门外。
协同智能响应 – 牵制攻击行为
瑞数的动态防御解决方案可以对潜在的业务风险进行威胁取证,提供可视化分析和报告,并可与其它安全系统进行动态联动,形成自动化协同响应体系,智能拦截威胁,从而有效缩短响应时间,快速牵制恶意攻击行为。
动态威胁预测 – 形成防护闭环
瑞数动态安全解决方案结合了大数据和机器学习算法,基于本地威胁态势、全球风险情报和第三方数据源,建立欺诈风险情报数据库,让用户知悉恶意攻击来源及动向;及时告警人为与自动化攻击,并发现潜在的攻击行为。同时根据动态趋势预测的结果,即时应对来自各方的安全威胁,调整防护策略,形成防护闭环。
正是通过上述四个维度的主动防护,瑞数信息的“动态安全”解决方案在中国为大量金融机构的业务安全运营保驾护航。据统计,如今瑞数的解决方案每天可拦截超过6亿次在线欺诈行为,保护5亿多个账户和上万亿的交易额。
FinTech时代的科技变革,对金融行业的商业模式带来颠覆性改变。正因如此,金融安全问题要运用更高的技术手段和更新的安全思路来解决。瑞数的“动态安全”技术可以帮助金融机构主动应对绕过现有安全防御机制的新兴威胁,保护在线交易、网站和数据的安全。我们看到,瑞数信息所代表的不仅是高效的安全体系,更是一种与时俱进的创新探索精神,在金融科技时代,绘制出安全防护的新蓝图。
