安全寶馬杰:互聯網金融運黃金必須有走鏢人
責編:rhliu |2015-02-02 16:31:31014年8月,平安陸金所發現蘋果App Store上線一款山寨版陸金所客戶端,客戶登錄APP賬戶將面臨風險;
2014年8月,深圳P2P網貸平臺金海貸遭遇黑客勒索攻擊,網站無法正常運營;
2014年3月,網貸之家遭到黑客持續一周多時間的惡意攻擊,包括數萬IP的CC攻擊,持續10分鐘30G/s的流量攻擊;
2014年1月,拍拍貸、好貸網等多家互聯網金融企業也同時遭遇黑客DDoS攻擊;
2014年1月9日,人人貸剛剛宣布獲得1.3億美元融資,就遭到黑客猛烈的攻擊;
…
互聯網金融遭黑客攻擊事件不勝枚舉,黑客攻擊從未停歇,也永遠不會!
如果將互聯網金融比作互聯網上的錢莊,就必須要有“走鏢人”——專業網站安全廠商保駕護航。
跑得快,漏洞也越多
近日,在安全寶主辦的“金融·互聯跨界融合——2015互聯網金融干貨分享”沙龍上,安全寶CEO馬杰接受媒體專訪時表示:“互聯網金融業務豐富,復雜得就像是一座城堡有無數門窗、無數入口。即便你守衛好前門和后門,仍然不能保證安全,因為還有天臺、地下室等各個渠道可以潛入。安全風險無處不在。”
對于互聯網金融平臺的安全性復雜度,人人貸副總裁藍晏翔深有感觸:“互聯網安全威脅一部分來自于產品本身,比如基礎架構、產品研發和系統運維方面,另一部分則來自于信息安全,包括內部和外部信息安全。此外,安全風險還包括金融安全,主要來自于支付和交易的環節,如何識別出壞的客戶和具有風險的交易。”
互聯網金融的發展速度超乎預期,但是安全體系的建設卻并非一朝一夕可以完成,因此跑得越快,漏洞也就越多。究其原因,馬杰認為主要來自五個方面:一是安全意識還不夠,甚至為了提高信息可信度,很多敏感數據直接展現出來了;二是IT技術薄弱,缺乏安全人才;三是IT基礎架構設計不盡合理;四是行業發展快,程序上線前審核不夠嚴格,漏洞百出;五是沒有良好的運維體系。
損失不只是錢和用戶信息
資金量巨大、安全防護不足的現實,自然會吸引黑客不斷尋找滲透機會。當前,互聯網金融的安全風險包括資金安全威脅、用戶信息安全風險、黑客勒索攻擊甚至同業惡意競爭等多個方面。
在資金盜取方面,比特幣網站是主要的受害者。昔日全球最大的比特幣交易網站Mt.Gox就因為被黑客盜取65萬個比特幣而最終倒閉。“以比特幣為代表的電子貨幣的設計機制是匿名的,因此被盜取之后根本無法追蹤。”
無論用于用戶客戶獲取、征信,還是用于賬戶資金竊取、電信詐騙,互聯網金融的用戶信息都具有很高價值。用戶數據到了競爭對手那,對方還可以了解投資人和借款人資源,而這些都是互聯網金融企業的核心競爭力,如果能夠以更簡單的途徑獲得,實際上是降低了運營成本,增加了商業機會。這就讓一些地下黑色產業鏈看到了“商機”。
更重要的是,黑客攻擊讓企業損失的不僅僅是錢和用戶信息,而且全方位地影響到企業運營的方方面面,包括商譽和公關戰。
雇傭黑客對競爭對手進行DDoS攻擊、CC攻擊在互聯網金融領域早已是公開的秘密。“這種暴力型流量攻擊目的是讓用戶無法訪問你的網站,讓你沒辦法開門做生意。這里面有互相的惡性競爭,也有直接來自黑色產業鏈的勒索。”馬杰提示,這種攻擊在節日期間或者網站促銷活動期間最容易發生。
必須及早雇傭“走鏢人”
事實上,互聯網金融企業并不是不重視安全,而是大多還在忙于跑馬圈地,無暇顧及安全防護。大部分互聯網金融平臺都是在碰到安全事件需要緊急處理時,才會想起跟安全廠商合作。
對此,馬杰表示:“2014年安全事件已經足夠多了,2015年互聯網金融行業的發展將趨于成熟,企業在安全和風控方面的水平將直接影響用戶的選擇。因此,企業在發展過程中,越早與安全公司合作越好。”
馬杰將互聯網金融平臺比作互聯網上運送黃金的錢莊,而安全廠商則是保護黃金的“走鏢人”。那么,互聯網金融企業該如何選擇自己的 “鏢師”呢?
當前,安全廠商分為產品型公司和服務型公司兩類。產品型公司適合規模較大,有自己強大運維團隊的公司。而互聯網金融行業大多是創業型公司,它們更適合選擇服務型的安全公司。因為沒有強大的運維團隊,安全產品買回去之后如果用不好,不能及時更新規則就成了一個擺設。而既懂自身業務又懂網絡安全的人才薪水一年要幾十萬,由此設備的總體擁有成本立即上升不少。
在服務類安全廠商中,既有提供普適安全服務的平臺,也有提供個性化定制的服務型企業。基于互聯網金融的特性,馬杰更傾向于后者:“無論半夜幾點出問題,我們都有人接電話,給企業做應急響應,為其修復漏洞,實時阻斷黑客滲透,清除黑客攻擊后門。當遇到DDoS和CC等暴力型的流量攻擊,網站只要切入到安全寶的抗D中心,就可以輕松應對百G的攻擊。”
