AI、零信任:如何构建以人为核心的业务安全
作者: 日期:2019年09月17日 阅:36,459

随着移动应用、互联网的发展,通过技术实施犯罪案件逐年递增,传统安全防御方式无法有效抵御来自黑灰产的新型风险。趋利本能驱动着黑灰产,使其迅速扩大,预计业务安全市场潜在需求规模将超千亿。如何从根本上解决业务安全给企业带来的威胁,通过什么手段提升企业系统的自身免疫能力?安全牛记者采访到了芯盾时代创始人郭晓鹏,针对业务安全领域的发展展开了讨论。

一、业务安全核心风险

随着 O2O 的兴起,用户线上交易行为增加,网站已经从原本的单纯内容展示,转而承载更多业务上的逻辑和流程。根据 2019 年埃森哲网络犯罪成本研究报告中数据显示,网络犯罪带来的平均成本在 2018 年达到了 1300 万美元,比上一年增长了 12%。其中银行和公共事业的损失最大,而内部恶意软件和勒索软件造成的损失增长最快。组织机构主动运用新技术应对时代带来的新挑战,其中尤为值得关注的就是业务安全问题。

业务安全的核心风险可以划分为:

(1)虚假账号带来的问题,比如虚假流量、“薅羊毛” 等

(2)非法爬虫获取信息

(3)组织内部员工恶意信息泄露

(4)未安装补丁或不可修复的设备

(5)存在安全风险的第三方服务供应商

为最大限度的缩小安全事故的影响,企业应该更多在事故发生前阻断、控制威胁的发展。企业应选择怎样的解决方案能够从事中阻断事件的发生呢?

二、以人为核心解决业务安全问题

业务安全顾名思义,业务一定在安全前面,对于业务的理解直接影响业务安全的规划和实施。国内企业业务线的放量、黑灰产的威胁形势同比快速增长,业务安全问题愈加严峻。业务安全本身是抵御攻击,随着业务安全需求的变化,也逐渐走进下一个时代,感知风险在事件发生前及时阻断、遏制。

郭晓鹏解释道:不论是由于终端、身份认证、在线交互等产生的风险,首先要解决人的问题,再考虑访问者进入系统后的统一身份管理、智能行为认证 (IPA),形成整个业务安全流程的解决方案。我们从最早的身份认证向外延伸,业务安全是以人为核心,只有解决了人的问题,其他问题才能迎刃而解。

企业的业务流程贯穿企业外部客户和内部员工,业务安全问题会同时面临来自于外部(C端)和内部(E端)的两部分风险。

评:互联网对生活的渗透已经进入前所未有的阶段,黑灰产的流量获取方式和变现模型随之发生巨大的变化。以人为核心的业务安全,确保合适的人员具备合理的访问权限,从而为业务保驾护航。在业务过程中悄无声息验证用户身份,并借助独特的分析功能,快速发现异常情况,及时做出用户访问权限修改决策。

三、AI赋能业务安全

芯盾时代与其他友商最大的不同点在哪?郭晓鹏解答道,身份管理未来发展一定是连续自适应方向,比如大数据反欺诈产品等。现在已经有很多友商在做该内容的产品,客户选择芯盾时代是因为产品基于AI和机器学习,在使用过程中动态调整规则,效率高且节省人工成本。

芯盾时代联合创始人孙悦也介绍道,反欺诈产品包含两部分:规则引擎和机器学习引擎,前者目的是实时反馈结果,处理已经发生过的安全事件,将已形成经验总结成规则,然后进一步过滤,优势在于实时反馈信息,弱点在于多次运行之后准确率会随时间推移下降,原因是黑灰产的攻击手段在不断进化,仅依靠规则防御,必然不是永久性的。所以要有人工智能反欺诈引擎作为补充,非实时但能有效发现潜在危机,清楚明了的判断和分析攻击方的逻辑和要点。

AI 产品是否优秀主要考虑以下两点:

(1)能否带来用户效率的大幅度提升

(2)参与业务的位置在事中而非事后

因此,人工智能 / 大数据产品给用户的办公效率带来极大提升。银行业传统风控部门人工判定一个操作为攻击行为平均时间为 1 周,需要设立 30~100 人的风控团队对疑似欺诈行为进行分析,部署芯盾时代反欺诈系统后,确认时间从 1 周提升到了 1 小时,风控人员数量也相应减少,极大的提升了确认交易风险的效率;人工智能反欺诈产品是在金融交易的过程中评估安全风险,百万用户量级响应时间小于 100ms,反欺诈系统会将当前操作的风险分值反馈给业务系统,并提出相应的处置手段,大幅减少人员参与交易流程的比例,如今人工智能反欺诈产品已经成为金融交易系统的必备模块之一。

评:业务安全在业务上线前进行缜密的逻辑设计和梳理,将最大的风险提前规避。在充分了解黑灰产的分工和运作流程后,科学合理的设计可以帮助运营活动规避半数以上的安全隐患,结合 AI 可以帮助理清繁杂的业务逻辑并隔离内部可疑用户。

四、践行零信任理念

零信任理念是什么?其本质是以身份为中心的动态访问控制。基于企业边界的瓦解,传统边界安全防护体系正在失效,企业要重新评估和审视安全规划,而持续自适应认证 (CARTA) 实现了认证能力里程碑式的突破,通过增强核心实力,实现了多种能力的提升,极大的保障了场景复杂、组织结构庞大、业务高并发等极端应用场景下的安全认证和服务。

芯盾时代从零信任安全出发,保持上线方式兼容,不破坏原本边界防护的前提下,由端点安全、智能安全大脑和连续自适应认证多维技术驱动,提供场景化的业务安全解决方案。在中等风险使用环境下,密码和令牌的使用率逐渐减少,越来越多的系统根据实际场景划分风险等级,这与识别技术不断迭代发展紧密相连。近几年数据泄露事件频发,组织机构难以根除弱口令等不安全的密码使用习惯,随着生物识别技术的发展,在高风险的组织机构中逐渐广泛推广开来。郭晓鹏在采访中回应道:我们开发了基于零信任框架包括 ECP、UEBA 在内的产品,根据市场需求未来还会陆续上线其他产品。

评:身份认证是实现零信任安全架构的前提和基石,基于身份的认证为零信任网络的人、设备、应用、系统等物理实体建立统一的数字身份标识和治理流程,并进一步的构筑动态访问控制体系,将安全边界延伸至身份实体,实现安全架构的关口前移。

总结

随着越来越多的企业投身于业务安全领域,整个领域的专业水平都有了很大的提升,但仍存在需要改进的问题,比如平衡具体项目定制化和交付成本之间的问题,缩短识别身份或访问行为的认证时间以及降低误差率,毕竟金融、政府和电信行业的用户基数十分庞大。希望有更多的人加入业务安全领域之中来,共同面对解决黑灰产的攻击,推动组织业务快速增长。

相关阅读

简析零信任:网络安全新中心点

机器学习、人工智能与网络安全的未来

 

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章