瀚思科技高瀚昭:AI+安全 金融网络安全的供给侧改革
中新网11月15日电 大数据、人工智能和金融行业深度融合,加快金融服务业数字化、网络化、智能化。技术为金融市场带来了业务模式、应用、流程、产品的创新,对金融市场、金融机构、金融服务的提供方式产生重大影响并带来了金融行业的蓬勃发展影响到了我们每一个人。
金融行业数据呈爆发式增长,成为国家基础性战略资源,而数据的开放程度逐渐加深,又对数据防泄漏、信息资产管理提出更高要求。金融行业的关键信息、基础设施是经济社会运行的神经中枢,是网络安全的重中之重,势必成为重点攻击的目标。攻击,病毒,漏洞,内部恶意人员等都已经成为重大隐患,不出问题则已,一出就可能导致金融行业秩序紊乱,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好金融机构关键信息基础设施安全防护。
一、金融数字化转型
金融机构数字化转型的核心动力是什么?如何利用新技术改造旧有的业务,进行业务创新,以及通过业务创新提升自己的竞争优势。
在这个过程中会有两个巨大的挑战。一是越来越多金融资产会以数字资产的形式来存放,不管是票据、存单、证券、保单等等,各行各业金融资产越来越数字化;二是当我们在做数字化创新的时候,开放的数据接口也给更多攻击者可乘之机,像黑产论坛上会讲这些对于黑产的人是最好的时代,他们变现越来越容易,攻击的利益也越来越大。从这个角度来说,金融行业和黑产圈汇集了世界上顶尖的优秀人才在一起进行碰撞,所以他们的融合越来越紧密,会给我们带来越来越大的安全挑战。
二、IUT驱动安全演进
回顾安全的发展有三个大的驱动力:一是I,基础架构,从PC时代到20年前转入互联网时代,到10年前移动互联网,到现在的万物互联。随着我们的连接度越来越高,所以它的产品能力和攻击能力越来越强,所以每一次新的基础架构的改变都给新的安全带来极大的挑战,给攻击者带来更多攻击平面和攻击入口,从防御角度来讲带来更多安全防御上的挑战,这也是安全行业要不断迭代来更进最新形势、基础架构发展;二是U,用户,大家以前都是用存单去银行办理一些事情,现在越来越多通过PC、手机、APP,各种信息的暴露,包括交易记录全部暴露在互联网上,虽然我们有各种加密、解密的技术,但是从用户角度,他的行为改变,程序设计总会有不当的地方,更多的交易信息、数据会使得攻击者能够有更多的获取信息的机会;三是T,攻击者,威胁的改变。
五年前,一个攻击者要获利基本上是两个办法,一种方法是威胁,进行Doos攻击,如果你不付钱,就把你的业务做瘫痪,别人要相信他的威胁可以成真,甚至还要做攻击演习,他还要给对方银行卡号,对方才能汇到他的帐号上,在各个层面他都面临着被发现和抓住的可能性,两年后有了勒索软件和比特币之后勒索变得非常容易,你只要付得到比特币就可以解密,流程变得更加快速和闭环,而且相对来讲他的获利越来越匿名。而到今天,大量用户出现了挖矿软件,甚至都不需要和用户进行交互就可以获得利益,可以看到威胁是不断演化的,而且它的闭环和获利也是越来越快速的。这也是由基础架构、用户到威胁的演进,都在倒逼信息安全要有相应的改进,不能再依赖传统防御体系的安全架构。
当我们和Gartner而交流时,他们判断信息安全已经变成大数据智能分析的问题。右边是一个典型的金融机构的数据量分布,大量每一天原始事件在亿到十亿级别,每天的告警以后在百万级别,这样的原始数据是不可能靠一台服务器来处理的,一定要依赖于大数据技术,而这样原始告警的分析不可能靠人工和规则梳理,如果从海量数据和告警中真正发现成功的攻击加以定位和处理,必须依赖于大数据技术和人工智能技术,高瀚昭强调。
三、供给侧:AI在安全领域的成功应用
人工智能在安全领域的应用不是新的课题,已经有很多成功的应用,早在十年前,像垃圾邮件识别、智能语言处理、病毒分类等等,异常行为监测、异常行为分析等等也是新的话题。业内也在思考,究竟为什么有些人工智能的技术十年前就得到应用,有些人工智能技术到今天才开始应用,而有些人工智能的技术在应用中还在不断的探索。
高瀚昭把人工智能的技术分为三个阶段:第一阶段,有统一的方法,有预定义模型,是可预测的人工智能。比较典型的是病毒检测、垃圾邮件分类。十年前所有的正常文件或者是病毒、正常邮件样本、垃圾邮件样本都是由厂商搜集的,厂商在后台运行了大的大数据集群,虽然那时候还没有大数据概念,并且在上面跑人工智能算法,然后生成对病毒检测、垃圾邮件过滤的模型。但是今天的形势不太一样,虽然有统一的方法,但是缺乏预定义模型,也就是每个用户环境不一样,要识别人员、行为的异常,因为每个用户的环境不一样,每个人的行为也不一样,所以很难用一套事先定义好的模型试用于每一个客户,必须要在每个自身的环境中跑这样一套方法生成相应的模型,并加以应用,所以标签、模型的生成、数据的处理必须在适合的环境现场做,再往后连统一的方法都没有,典型的像业务安全场景,或者是APT检测的场景,因为没有预先定义的模式,在这样情况下如何用人工智能发现也是学术界探讨的话题。在人工智能应用中惊喜出现在第一步和第二步,十年前惊喜出现在第一阶段,现在在第二阶段,希望未来在第三阶段。
第一个话题的实践,不是看到只有病毒和垃圾邮件,像WAF大家说了十年,但是检测率一直停留在80%几的阶段,瀚思科技用了不到半年时间,试着把人工智能应用在Web应用检测,发现完全可以做到四个九的检测率。我们可以看到,即使是传统的安全领域也有大量的人工智能用武之地,可以进行很好的改造。
第二阶段,更加惊喜在用户行为分析上,不管是内部的还是外部的通过无监督算法,很容易分出一些你看着可疑的类型,只是这个类型究竟是什么样的类型,有的是安全部门有知识,有的是业务部门有知识,要去进行分类。如果它是攻击,可能安全部门知道,但是如果是薅羊毛或者是刷票等等行为,或者是搞一些活动发优惠券,安全部门不一定理解,需要和业务部门配合才能把事情做好,但是整体的方法不管是做内部的数据防泄露还是做外部的攻击检测或者是刷单,都可以用同样的算法模型,只不过很难事先用定义好的模型套到每一个环境,必须在每一个环境生成类型和自动生成标签,然后再做有监督的检测,相对来讲效率是非常高的,不光是金融行业,其他的行业也给也有较好的实践。。
人工智能应用既有很快能看到成果的地方,也有可能你做了很久但是很沮丧的地方。希望各位在实践中尽量的区分开来,既有探索解决新的问题,同时也有短期可以见效,能够让自己、团队,甚至让领导能够看到效益的地方,这两步可以并进,是两步走的战略。
瀚思科技也做同样的事情,一方面和大量金融机构合作,把一些可落地的事情落地,同时建立联合实验室进行探索课题,同时和百度、华为等机构展开有益的活动,使人工智能在新的领域能够有新的落地场景做快速的探索。