首页 > 新闻 > 公司前沿
金融安全的新战场:“攻击队都在用大模型”
2024年12月14日 09:10 来源: 彭佳焱,朱朝阳
作者 | 彭佳焱,朱朝阳

来源 | 零壹智库

现在的金融安全挑战为什么越来越严峻!?

威胁猎人发布的《2024年上半年数据泄露风险态势报告》显示,上半年金融行业数据泄露事件超过8400起,已接近去年全年(8758起)。而据Statista统计,2024年全球有高达65%的金融机构报告遭遇了勒索软件攻击。

2023年11月,抵押贷款巨头Mr. Cooper被爆遭到黑客攻击,超过1460万用户的敏感个人信息被盗;2024年7月,美国知名银行Evolve Bank & Trust遭LockBit勒索软件攻击,导致约760万名客户数据被盗。

2024年10月,国内某贷款平台约4.1万条用户数据被放在暗网上以2000美元的价格进行售卖。同样,国内金融机构也有被勒索的恶性事件。

“如果把以前的金融机构比作成10层楼,它的每一扇窗户都是一个风险敞口,都是清晰可见的。随着数字化的推进,业务和系统越来越多,现在的金融机构可能是100层楼,在绝大多数角度都不可能观察到所有的问题所在。哪扇窗户没有关、哪扇窗户被攻击,金融机构很难发现。”腾讯云一位金融安全专家如此比喻当前的形势。

在“2024腾讯云金融安全峰会”上,腾讯云副总裁胡利明表示,近些年,金融行业的数字化转型处于高速推进和发展当中,科技更广泛应用的同时,其实也面临着更多前所未有的安全挑战。比如,各种高危的漏洞、复杂的攻击、数据泄露、勒索等问题层出不穷。“从去年到今年也可以看到,行业里面逐步出现很多结合最新AI技术的新型攻击方法,使得攻击手段越来越多,而且成本越来越低。”

金融安全,因数字金融的发展和大模型等新技术的演进,变成了一个新的战场。

 01 新战场

网络安全行业是一个快速变化的行业,技术的更新非常快。腾讯安全副总裁、玄武实验室负责人于旸说,“不光是安全技术变得快,我们对安全的认知也在快速变化,有一些认知在产生的当时没错,但是一年、两年之后,如果你还是坚持这个认知,那就错了。”

比如,以前为了应对篡改主页等攻击,一般都是就事论事,被篡改后再改回来就行了。“但随着攻防形势的变化,今天这些认知是有问题的。无论是20年前流行的篡改主页,还是今天流行的勒索,其实都是攻击的最后一环……只是防这最后一步,肯定是有问题的。”

他举了一个例子来说明勒索攻击的变化。

早在1989年就出现了一个叫做“AIDS”的病毒,它的传播方式是邮寄软盘,攻击的操作系统是DOS,软盘标明这是一份艾滋病病毒相关的资料,所以它被称之为AIDS病毒。在1989年,我们可以说勒索攻击就是病毒攻击,防勒索就是防病毒,“但今天显然已经不是这样”。

既然勒索攻击在1989年就诞生了,为什么最近10年才流行?对于勒索攻击,最大的一个问题就是收钱,从上世纪到本世纪勒索攻击在发展过程当中,网络犯罪分子们一直面临着收钱困难。以前只有通过银行转账收钱,无论多么复杂,执法部门顺着转账信息,最终都能找到勒索者。

于旸指出,最近十年,勒索攻击因其与加密货币的结合而变得日益流行。目前,所有的勒索攻击都要求使用加密货币支付赎金,这种方式有效切断了执法部门通过资金流向追踪犯罪分子的可能性。

“有一个非常有意思的事情,加密货币本身使用了加密技术,而现代勒索攻击同样依赖于加密算法。所以,勒索攻击在两个关键环节上都使用了加密技术。”于旸说,“现在加密技术成了最令我们头疼的一种网络安全威胁。”

在当前新的技术环境下,于旸介绍了几种比较典型的威胁:

第一,迂回攻击、曲线攻击。确定目标后,通常攻击者不会硬碰硬,在正面战场发生冲突,这非常困难,所以采取迂回攻击的方式。“我们看到过一种攻击路线,从小银行攻入金融城域网,从金融城域网再打大行。”

第二,从海外分支机构入侵。很多机构在国内安全做得很好,但有些国内的做法到海外没法做,国内用的东西到海外不让用。有的机构在海外用了一些在安全上还不太成熟的SaaS和私有化产品,这些产品本身给系统引入了一些新的安全风险。“我们看到的一些办公软件、远程桌面、中间件等等,有很多的威胁是由于这些危险引入的。”

第三,供应链通路、数据托管、权限委托等环节都有可能成为突破口。“虽然这些突破口可能不是在你这个地方,但是他被突破之后会威胁到你的数字资产。”

这些都是金融行业在攻防演练当中出现过的一些脆弱点。

于旸介绍,攻防当中使用的工具也在不断变化,一开始大家用一些开源免费工具,一般都是单兵工具。

这些年,每个攻击队都开始开发工具,同时这些工具转向平台化协作化操作,从步枪手枪变成航空母舰了。随着平台化水平的提高,整个攻击队形成合力之后的攻击水平也大幅提高:原先攻击队里面有10个人,10个人的水平参差不齐,通过平台协作之后,这10个人都能够接近水平最高的那个人。

“另外平台可以通过引入自动化技术,甚至人工智能技术,进一步提高攻击的效率,这个对于效率的提升也是非常惊人的。”于旸说,攻击队现在都在用大模型。虽然大模型还不能完全替代人力,但是可以极大的提高攻击效率,以前很多在攻击队工作当中相对比较繁杂、但是技术含量不高的工作,现在可以用大模型替代。

甚至在钓鱼攻击中也用上了大模型,有的钓鱼话术都是大模型预先把话语列表做好,在钓鱼中使用的海报之类的物料也可用大模型做好。

“黑灰产会利用大模型、人工智能技术形成一些伪造的信息对风控系统、业务系统进行攻击,这个趋势也在快速增高。” 腾讯安全副总经理、云鼎实验室专家李滨说。

《2024人工智能安全报告》显示,2023年基于AI的深度伪造欺诈暴增了3000%,基于AI的钓鱼邮件增长了1000%。而在今年2月,某英国企业的香港分公司的员工,被骗子用伪造的AI合成视频骗走2亿港币。

 02 新打法

这样一栋几百层而且每天都在迅速增高的数字金融大楼,怎么保护安全?

腾讯安全给出了几个解题方法:

一是为金融机构提供攻击面管理的产品,帮助金融机构把暴露在外面的资产进行盘点。

二是把被动防御变成主动防御。以前很多企业就是被攻击了,才会去补漏洞或者买相应的安全产品,相当于窗户被别人打破了,才去补窗。现在需要监测内网横移和外联,就是东西向和南北向,可以类比为某一扇窗户在对外沟通中发生异常,就会告警。

三是做好威胁情报能力建设。为几百层楼安装一个实时的哨兵系统,外面一旦有最新的威胁、漏洞,可以及时报警,一个漏洞被发现,就会向整栋楼预警。

四是态势感知。建立一整栋楼的应急响应的中心,每一个业务有什么问题都可以知道。

新的技术虽然会带来新的风险,但也会带来新的安全防控手段,比如大模型。因此,金融业界也在从不同角度探索通过大模型提升安全防护的新方式。

李滨表示,“从我们自身的运营角度来讲,AI在安全提效方面发挥着巨大的作用。AI大模型是当前安全领域提升能力的核心,相当于一个智慧大脑。它在数据分类分级管控、安全事件分析和过滤、威胁情报辅助分析,以及安全事件综合处理等方面,给我们带来很大的帮助。”

他用三个核心词来概括腾讯云当前的安全运营策略:数据化,把腾讯日常的管理机制、安全能力、设备利用数据贯通起来;智能化,通过一个大脑辅助进行数据的连通、分析、策略提取;自动化,利用智能化提取的配套指标,实现自动化运营。

“基于这些能力,我们可以针对重大威胁攻击实现秒级全网响应,最大程度地缩小安全攻击的时间窗口。这不仅极大提升了安全运营的效率,还节约了大量资源。”李滨说,“目前我们在8个领域、40多项流程中实现了自动化和大模型的打通。”

腾讯安全副总经理、科恩实验室专家聂森说,“在安全技术方面,比如反入侵的时候,我们会用大模型技术解决产品问题”。 

他介绍,腾讯云做基础安全大模型的时候,产品偏SAAS或者PAAS层,“我们生长在腾讯云之上”。自2018年以来,腾讯云在这方面的工作表明,其大模型技术效能提升与行业是同频的。

“腾讯云有自己的推理加速团队,有服务器管理、网络连通提速、多卡训练提速等方面的能力。”聂森介绍,“在我们做大模型应用端的时候,做搜索增强对话能力的时候,腾讯云也有自己的知识引擎服务、向量部署服务。我们的安全大模型会用到这些组件,效能会大幅度提升。”

 03 新体系

“金融机构越是积极拥抱技术,技术对业务的重塑和改造就越深,相应地,也会衍生出更多的安全问题。”腾讯金融云副总经理王丰辉认为,对于任何金融机构而言,随着系统的增多,其复杂性也随之增大。因此,帮这些金融机构解决安全问题也变得相对复杂。

他认为,腾讯安全服务并非传统的乙方安全供应商。“我们拥有大量的应用场景和业务,在一定程度上具备了甲方安全视角。我们致力于解决自身问题,并在经过迭代、验证、自我测试后,确信其成熟可靠,才会向他人推荐使用。”

李滨表示,在企业建设过程中,我们从两个角度来考虑安全问题。首先就是要建立一个安全攻防态势和防御体系的成熟度阶梯,如果仅将问题简单划分为已知、未知两类,那么这种划分的颗粒度就过于粗糙了。

腾讯安全近年来致力于通过数据驱动、指标驱动来提升安全领域的自动化和智能化水平。整个产品能输出大量的数据,这些数据汇集到一个智能化的安全资源池,即所谓的“安全湖”。

在安全湖中,腾讯安全通过AI大模型进行综合分析,评估当前面临的威胁数量、威胁等级,并决定哪些威胁需要立即处理,哪些可以忽略,以及应该采取何种措施。这一过程涵盖了从数据采集、分析、智能化处理到反馈至各个系统,实现了流程自动化,并确保快速响应的闭环管理。

他介绍,腾讯在全球每秒都会遭受大量的攻击,每天检测到的攻击信号超过50亿次。通过数据的积累和融合专家知识,腾讯安全构建了一个智能体,以实现快速反应。最新效果是,能够在大概45分钟内完成对重要安全事件的影响评估,并在小时级内完成闭环处理。 

“通过这些措施,我们形成了针对海量事件的立体化的过滤,和比较精准的自动化响应,实现对‘已病’和‘未病’的统一处理。”李滨说。

基于这样的思路,针对共性和个性问题,腾讯安全推出4+N体系,通过数据安全、主机安全、Web应用防火墙、云防火墙这4道防线解决云上安全的“基础设施建设”问题;通过游戏反外挂、营销风控、借贷反欺诈、文旅反黄牛等N种行业安全解决方案,帮助企业应对不同的安全需求,为业务发展增质提效。

聂森介绍,在金融行业,我们有一个比较好的实践是解决各家安全产品分散的问题,金融机构和企业可能用一些其他公司的安全产品,“我们希望未来可以内置到我们的腾讯的威胁情包,形成一个安全产品的联动”。

新闻推荐