文/陈锋
今年1月,摩根大通资产与财富管理公司部门负责人Mary Erdoes,在世界经济论坛发表的“银行是否做好准备迎接未来?”演讲中提到了一组数据:
摩根大通6.2万名技术人员中,有相当一部分人员专职应对每天遭受的450亿次网络攻击行为,这些行为不仅在频次上是2022年的两倍,攻击的形式也更加复杂。
尽管摩根大通CEO Jamie Dimon很快更正了“每天遭受450亿次攻击”的说法,称这些攻击行为本身可能是有意或无意(例如设置不当的网页内容抓取工具等)的,也不一定是有意针对摩根大通,但这组数据反映出来的一个事实,已经成了金融业最大的挑战之一:
随着金融业数字化改革不断深化、AI和大模型加速落地,金融机构该如何筑牢“安全墙”?
事实上,无论是从供给侧视角来看,还是从需求侧视角来看,安全挑战都同时存在。
《2024年中国金融行业网络安全研究报告》中提到,目前国内参与金融行业的网络安全厂商约有260家,其中综合型厂商是主要的参与者,不过在细分领域能提供扎实技术、产品和服务的中小型厂商,同样具备较强的竞争优势。
但金融业的整体安全诉求也在发生变化。
一来,在合规性这一核心驱动力下,金融业的安全体系建设,对实战应对能力的要求在不断增强,金融机构们也更关注安全能力的深度应用和内部整合。
二来,技术环境的加速变化,也在进一步影响金融业安全理念的变化、丰富安全价值的内涵。
比如9月6日,2024腾讯全球数字生态大会的数字安全专场上,腾讯集团高级执行副总裁、腾讯云与智慧产业事业群CEO汤道生表示,当技术突破和应用创新成为企业普遍追求的二次增长曲线、当数据成为贯穿企业业务环节的血液,就不能再以被动思路来建设安全,而是应当建立起一套可感知、可掌控、可增长的主动安全建设框架。
腾讯集团高级执行副总裁、腾讯云与智慧产业事业群汤道生,图源腾讯安全微信公众号
上述背景下,安全厂商的压力也变得更大了,他们需要思考,如何在新的形势下,适配好金融机构更加复杂、专业性要求更高的安全诉求?
而腾讯安全给出的解决方案,是一个值得研究的样本。
1、AI加速金融业数字化改革,但也带来了新的挑战
过去多年,由于金融行业的特殊性,即拥有大量的敏感数据,包括个人信息、交易记录、财务报告等,这些数据的安全直接关系到消费者的利益和金融市场的稳定,金融行业在网络安全建设上,一直处在前列。
IDC在最近的一次预测中提到,2024年,政府、金融服务、电信,将仍是网络安全支出前三的行业,支出占比预计分别为24.9%、18.9%和15.0%。
作为数据资源最丰富的行业之一,金融业也是数字化重塑最彻底的行业之一,持续做好数智化转型,是当下每一家金融机构的必答题。
艾瑞咨询在《2024年中国金融科技行业发展洞察报告》中预测,2023-2027年,国内金融科技市场预计将以约12%的增速,于2027年突破5800亿元,增速也将连年扩大。
图源艾瑞咨询
这对应的是,从多模态数据处理到低代码平台应用,从大模型到AI数智人等智慧智能应用,等等,金融业对技术的敏锐度在提升,拥抱新技术的意愿也越来越强。
IBM的一则统计数据显示,在被调研金融机构中,有86%正在实施生成式AI用例,并且正处于制作或准备上线的阶段。
但这些新技术的加速应用,也带来了潜在的安全风险。
以大模型为例,AI大模型某种程度上开启了新一轮的‘攻强守弱’——大模型高效泛化内容生成的特点,会让黑客以更低的门槛和成本发动更密集的攻击,防守方则需要更缜密的逻辑关联、更精确的溯源能力,等等。
此外,AIGC的迅猛发展衍生出来的AI欺诈、AI仿冒问题,已经成了不少企业的痛点。
今年1月,香港某跨国公司财务员工,被骗子利用Deepfake换脸技术冒充公司CFO进行视频会议后,被诈骗了2500万美元;今年5月,某跨国贸易公司的一名职员,收到伪冒为英国总公司CFO的WhatsApp信息,期间深伪技术生成的“假上司”指示这名职员将近400万港元转款至一个本地账户。
进一步拆分来看,数字化改革进程日益纵深的背景下,金融业面临的安全风险其实更加复杂——从数据安全到业务安全到供应链安全,再到开发安全等等,都变得更加严峻了。
一方面,数据的开放性、流转型的增强,虽然大幅提高了资源配置效率和金融产品风险定价的有效性,能够帮助金融机构更精准捕捉到个人和企业的潜在需求,进一步拓宽服务边界。
但与此同时,这也加剧了数据安全问题的复杂性、严峻性。
比如非结构化数据分类分级覆盖度和准确度还比较低,导致这部分数据很难执行更细颗粒度的保护标准;比如数据泄露、滥用、窃取、篡改等安全事件的发生频率和严重程度还在上升。
另一方面,聚焦到业务侧,当前,很多金融机构尤其是中小金融机构,在业务安全方面普遍面临着两大挑战:
一是业务场景碎片化所导致的,很多金融机构自主开发的产品体系较难实现标准化;二是业务安全的决策流程,也需要业务数据的相关积累,而如何将碎片化的数据源进行整合,也在变得越来越难。
种种挑战下,金融机构该如何应对?
2、从理念到策略,金融机构都要更“化被动为主动”
日益严峻的安全挑战背后,连线Insight注意到,今年以来,金融行业网络安全市场,在加速回暖。
根据《2024年中国金融行业网络安全研究报告》,2023年,受宏观环境影响,中国金融行业网络安全甲方支出市场规模约为91.94亿元,同比下降了12%,为近五年首次负增长。不过从今年一季度来看,预计2024年中国金融行业网络安全市场的甲方支出规模约为99.97亿元,同比增长8.7%。
另一个视角是,今年一季度,银行和金融其他领域网络安全的采购增速在加速回升;CSRadar 商业分析平台的监测也显示,当前金融行业具有网络安全采购行为的客户数量超过 3500 家,在2020年至2023年期间呈现逐年增长态势。
这说明,金融行业的网络安全需求,还在持续增长。
当然,由于体量、规模不同,不同金融机构在安全建设上的重点也呈现出差异化趋势:
大规模头部金融机构,很多都倾向于自研或与安全厂商联合开发,更关注数据安全和安全运营;
对很多小规模金融机构而言,常态化的实网攻防演习和攻防演练,也促进了他们对场景化安全能力的需求,相比之下,他们会更加灵活地通过购买安全产品或服务的方式,来补足安全能力短板。
但随着产业互联网迈入智能化下半场,金融机构做到上述还远远不够,他们过往的安全建设理念和策略,或多或少还有升级空间。
核心原因在于,数字化、智能化程度越高,某种程度上也意味着,企业安全防御的半径将大幅增加,遭遇攻击后的反应窗口期也将进一步缩短。
基于此,金融企业如何从过去的“被动防御”,转向构建起“主动安全”防线,成了一个重要课题。
举个例子,在金融风控这一场景下,随着深度伪造技术的发展,很多金融机构在识别AI换脸欺诈与假人骗贷行为时,开始显得有点“力不从心”,越来越的金融机构意识到,随着黑灰产组织日益利用AGI技术虚构“仿真人”进行恶意欺诈攻击,加上外部经济环境持续变化与客群下沉等等因素,过往的风控策略亟待升级。
一方面,金融机构风控建模的压力在不断变大。
比如以前,企业建一个通用模型就能用好几年,风控专家根据欺诈态势灵活调整风控规则,就能抵御绝大部分欺诈风险。但现在,在高度动态、千人千面式的假人骗贷、AI换脸欺诈行为中,往往几个月就得升级迭代一次风控模型,甚至需要更快。
基于此,IDC认为,业务风控正在由“规则对抗”进入“模型对抗”时代。
其认为,在精细化运营趋势和AGI技术发展迅猛的情况下,传统基于过去行为预测未来行为的风控策略将局部失效,金融机构对反欺诈的服务要求逐渐从通用型服务转化为针对自身场景调优的定制服务为主,亟需敏捷迭代风控体系和规则。
另一方面,很多金融机构过往的风控策略,更多侧重于单点防御,而缺乏多维度的、能交叉验证的身份识别等风控措施。
从这一核心场景出发,可以窥见,在持续做好安全建设这件事上,金融机构需要更加“化被动为主动”,构建起主动安全防线,让金融安全不再是“黑盒子”。
3、让安全可感知、可掌控、可增长,
腾讯安全如何帮助金融机构筑牢“安全墙”?
如我们上文所述,当前形势下,金融行业安全体系建设对实战应对能力的要求,在不断提高。
安全厂商也迎来了新的挑战。他们不仅要能够提供出可信赖的安全产品,如在数据安全、终端安全、供应链安全等层面,更重要的是,要深入到产业场景,提供更全面的安全防御能力。
连线Insight观察到,在一众安全厂商中,腾讯安全,是在产业安全实践上较有代表性的一家。
围绕各行各业的安全建设,腾讯安全的思路是让安全能“看得见”,如汤道生所说,近年来,腾讯安全已经建立起了一套可感知、可掌控、可增长的主动安全建设框架。
整体来看,腾讯这套框架的打法,其实是层层递进的。
首先,在基础防线外部,腾讯安全建立起了百亿级的威胁情报体系,覆盖情报收集、分析和处置,并集成到了全系的安全产品中。这意味着,当风险来临时,这一体系能够更快地帮助企业感知到。
其次,在云上场景,腾讯安全提供了“腾讯云数据安全+腾讯云主机安全+腾讯云WEB防火墙+腾讯云防火墙”这四道动态防线,逐级来降低安全风险,一定程度上,能帮助企业掌握攻防对抗的主动权。
在这一方面,腾讯安全还有另一重差异化优势——这四道防线实现了云安全产品与腾讯云、微信等腾讯系产品的联动,也能基于AI能力实现风险自动化处置。
腾讯安全告诉我们,当前,这四道动态防线,已经能够满足企业90%的安全基线要求。
9月6日的数字安全专场上,腾讯安全又进一步发布了腾讯云安全“4+N”体系,其中“4”可以简单理解为上述四道动态防线构成的基础设施安全,“N”则是腾讯安全面向不同行业所提出的个性化场景方案。
腾讯云安全“4+N”体系,图源腾讯安全微信公众号
换言之,“4”代表的是腾讯面向不同行业场景的通用基础安全能力,而“N”则针对性更强。腾讯安全基于从自身的安全能力提炼出来的风控能力,结合不同的场景特点,进一步打造了专属于不同行业、不同业务场景的安全解决方案。
聚焦到金融行业,面向营销、交易、信贷等场景,腾讯安全都提供了个性化的场景方案。
比如交易场景下,针对行业频发的AI欺诈问题,腾讯安全提出了防AI仿冒可信身份解决方案,以设备、账号风控为基础,结合AI模型的策略能力,再与实际场景相结合,来帮助客户规避风险。
在登录验证、交易转账、进件审核、线上支付等应用场景,这套解决方案的风险识别率达到了99%+。
图源腾讯安全微信公众号
针对交易和信贷场景的电信网络诈骗风险,腾讯安全提出了金融反电诈解决方案,引入了全面鲜活的网络风险感知模型,能够在行内资金风控的基础上,更前置防范涉及电诈的风险卡。
在账户开立、账户存续、保护用户、解除误控这四个场景下,这套解决方案能够保障银行网点的业务秩序,降低电诈对业务开展的影响。
具体来看,这一解决方案对涉诈账户的覆盖率超过了90%、对诈骗风险的感知率超过了98%、对风险的提前洞察率超过了80%、解控提额的自动化率超过了70%。
目前,腾讯安全已经为包括招商银行、中信银行、浦发银行等在内的超过30家银行、消费互联网金融等机构,提供了反诈服务。
再比如,围绕信贷场景,腾讯安全还推出了专为金融机构设计的天御金融风控大模型,能够有效识别多种金融信贷欺诈风险,快速适应新的风险环境和场景,为金融机构提供定制化的解决方案。
来看几个实际案例。
某城商行原先风控水平低于同业平均水平,部署天御金融风控大模型后,快速提升了风控能力,并将逾期率降低了2%;某家大型银行信用卡中心在应用天御风控大模型后,精准击中了0.2%的信贷欺诈人群,自2023年起累计挽回了2.6亿元损失。
此外,中原消金也通过天御专属风控模型,构建了“获客+授信准入+贷中管理+贷后管理”的全流程智能风控体系,最后信贷不良率降低了20%以上,模型迭代效率提升了8倍。
腾讯安全透露,截至目前,腾讯云天御风控解决方案已经覆盖金融领域超过80%的标杆客户,为银行、证券、保险等客户提供欺诈识别、金融级身份认证、防止恶意营销、预防“羊毛党”等服务,累计拦截了超5000万次可疑交易,护航银行安全放款超过万亿元。
最后,总结来看,正如汤道生所言,“安全不应该只是默默投入的成本单元,也可以是协助业务发展的增长动力。”
而当腾讯安全帮助这些金融机构不断筑牢安全防线的同时,安全就不仅仅是基于攻防场景的“矛”与“盾”了,也是新的生产力。