網絡攻擊防不住？360為金融機構守住“安全最後一公里”

12月18日，360與深圳市互聯網金融協會共同舉辦“新時代金融網絡安全的攻與防”研討會，360多位專家現場“把脈”，就金融行業在網絡安全框架建設、實網攻防演練、反欺詐領域展開討論。

360集團金融事業羣技術總監訾雅彬談到，大安全時代下，針對關鍵基礎設施的攻擊成為常態，而APT攻擊目的性強，往往藉助釣魚郵件進行攻擊，從內部瓦解金融系統堅實的安全堡壘，還會通過變種木馬、勒索病毒，組建殭屍網絡、挖礦木馬、暗網流量等，對金融系統造成了嚴重的安全威脅。

“目前360已累計監測到針對中國境內目標發動攻擊的境內外APT組織41個，金融機構是APT攻擊的第二大目標，” 訾雅彬説道。

360集團網盾業務部高級研究員梁萌表示，當前一些金融機構安全防護能力參差不齊，超範圍收集個人信息、仿冒釣魚現象等問題突出，威脅互聯網金融安全。

面對更加有組織、有目的，更難追蹤的網絡威脅以及邊界愈發模糊的複雜業務環境，企業應當如何應對？

“危則變，變則通，通則久，我們需要改變思路，從攻防對抗角度進一步提升企業安全能力。“360集團攻防產品事業部總經理張錦章強調道。

張錦章表示，回顧以往的金融機構網絡安全建設實踐，往往是在合規驅動下，應對外在威脅的思維模式是單純軟硬件安全產品的堆砌，因此無法從整體角度評價安全水平。

而安全是發展的，動態的，只有通過實網攻防的對抗可以精準挖掘金融機構潛在的脆弱性及威脅，有效驗證安全防護是否健壯，促進安全體系的改進並提升人員的安全能力。

在他看來，講一百遍不如打一遍，只有在接近網絡攻防的真實環境下，才能發現問題、補齊短板。通過網絡攻防實戰演練積累經驗、錘鍊隊伍、培養人才、磨鍊技術，才是金融行業應對未知安全威脅的長久之計。

在攻防方面,360不僅在Pwn2Own、DEFCON等世界頂級賽事上獲得多項冠軍榮譽,其多項領先技術也已形成個性化方案落地到行業的業務場景中,成為360護航金融安全的優勢。

安全不僅是發展的底線，更已經成為金融行業數字化轉型的核心競爭力。作為天然的數據密集性行業，金融行業面臨的安全風險更加複雜，因此提升對金融風險的識別和預警能力尤其重要。360提出集合感知預警、快速反應、實網練兵、漏洞管理、人才培養為一體的安全防護解決方案，助力金融機構從傳統安全被動防禦的思維，轉為全面高效、主動防護的安全模式，提升客户看見威脅、阻斷威脅的網絡安全防護能力，構築金融業安全防線。