2018-01-17 16:50
非常感谢主办方的邀请,跟大家分享一下安全话题,提到这个话题,大家第一时间想到的就是黑客,我们所说的安全就是针对黑客,我会围绕行业目前的安全现状分析,以及梆梆金服在行业中做的一些事情。
首先介绍一下,梆梆金服是移动安全服务商梆梆安全的孵化子公司,专注于金融科技领域。给大家看一组数据,这个数据是国家互联网金融安全技术委员会的分析数据,是我们目前互联网金融行业的安全现状。因为我们是国家互联网金融安全技术委员会的技术支撑单位,所以我们可以拿到这个数据,很多的数据也都是通过我们的系统在采集和分析的。大家可以看到,这个数据上来看目前互联网金融行业的信息安全形式还是非常严峻。大家可以看到,最近一周互联网金融活跃用户数非常高,包括我们的互联网金融网站,存在的风险比例极高。大家没有意识,因为我们当时想到黑客的时候,觉得这是一个非常神秘的领域,但是恰恰相反,因为黑客这个职业不是固定的,没有人公开披露这个事情,会分布在各个行业。可能很多人每天正常上下班,但是晚上到家的时候也会用一些黑客的小工具去看别人的信息,拿一下别人的数据,从中获利,一切通过互联网技术非法获利的群体我们都可以称之为黑客。
现在提到的反欺诈和互联网金融行业理财端监管端都会出现有欺诈客,这些人都属于黑客的一种。他们是通过我们平台目前存在的漏洞,不管是业务逻辑漏洞还是技术漏洞,或者安全漏洞,去非法的套取不当利益。看完这个数据大家心里就有一个底,现在我们从互联网时代已经到了移动互联网时代,已经很多年了,10年以后我们基本步入了移动互联网时代。不管我们的网银转帐还是社交沟通以及我们的金融交易,很多都是通过移动端手机实现的,作为一个金融机构,我们都知道银行机构原来是两网隔离的,生产网和办公网隔离,要想办业务去网点,通过ATM机,现在我们越来越多的交易,包括我们的微信和支付宝等等,都是通过移动端,没有任何的人工验证以及强制的硬件验证,可能会通过一些安全的手段做一些防控,风险也就随之而来了,我们要提升用户体验就会提高交易的风险。
这个是互联网金融的漏洞1320个,但是这个漏洞看数字是不吓人的,但是一千多个漏洞可不是我们只在一千个人身上发现的,是有一千多种漏洞,可能每个手机都存在几十个甚至上千个漏洞,APP漏洞比网站漏洞还要高。
针对互联网金融地网站攻击,来自境内的其实才占35%,中国的网络防火墙做得还是OK的,包括中国对于网络攻击也会有一些处置手段,为什么说大部分会来自境外?因为境外的追溯成本比较高,犯罪分子比较嚣张一些。
从受攻击的地理位置来看,广东、北京、安徽比较多。互联网金融的仿冒网页4.6万个,受害用户9.98万人次,这只是统计到的,统计不到的不在此列,包括互联网金融仿冒APP2801个。跟大家传递一个信息,我们在选择金融类应用下载的时候,一定要看清楚是不是从正规的渠道官方网站以及一些大的应用市场下载的,最高不要通过非法的短链接和我们不知名的网站上下载。因为你下载的极有可能就是携带病毒和木马的应用,你一旦下载了应用以后,你手机里的很多应用都可以被控制。
给大家汇报一下,梆梆金服在这几年的时间,也一直在为金融科技服务,我们主要也是针对移动金融安全方向,也算是Fintech领域的一家安全公司。我们联合32家大型平台,联合成立了金融科技计算安全共同体,这是2017年5月份成立的,并且在2017年的11月25号发起第一次成员大会。整个行业里,我们会发现对安全的理解,大家都在提增量和业务的发展,很少有人会主动提我的安全是怎么样的,但是安全恰恰是企业生存生命的最后一道防火墙。一旦信息安全出了问题,你的服务器脱固,信息数据被删除,借款人的信息被篡改,企业是无法经营的,我接触过很多这样的平台因为信息安全出问题跑路的,不在少数。因为有竞争对手和业内不正当的竞争行为,因为攻击成本远低于防护成本,我把你的数据删除了,把你网站搞塌了就花几千块钱,但是防护要花几十万上百万。在这种情况下,很多的平台就掩耳盗铃,把眼睛闭上,鸵鸟思维,出了问题再说但是真的出了问题你承担得起吗?
所以我们联合了32家金融安全组织,是行业自律性非营利性组织,致力于打造一个共享安全的概念,这也是我在去年年底提出的,什么叫共享安全?因为现在我们发现整个行业中互联网时代我们解决的是信息不透明信息不对称的现状。但是在整个安全的行业,大家因为羞于启齿,所以这个时候就会发现互联网时代,有些信息是不能透明的,所以我们要打造一个安全信息共享平台。所谓的共享是我们通过和多家企业的合作,来收集安全数据和安全信息以及安全漏洞进行脱敏处理,去为我们的成员单位共享。
我们的行为都不收费,也是为监管部门做一些事情,包括国家互联网金融技术安全委员会,还有科技金融局和金融办等等。大家去评测平台的合规包括备案的时候,需要一些决策依据的,所以我们也是在为监管部门提供信息安全角度上的数据,作为支撑,也是从我们对于整个企业的平台信息安全多维度评测进行打分。
现在我们也发现,可能大家也发现,整个行业监管越来越严格,本身就不挣钱,监管部门事儿还那么多,又让我们干这个那个,整个互联网金融行业监管要求也是达到三级标准,很多的平台也在想我怎么达到三级,基础设施建设都需要花钱的,不光是安全的产品,网络设备也好,大数据、云计算,包括我们的服务器等等,都是要花钱的。但是这些东西没有不行,因为你既然要做金融业务,就必须得按照国家要求的金融从业机构安全规范标准去执行,没有办法只能忍了,否则没有牌照下不来。这个时候我们就面临一个问题,这个成本是卡不掉的,那我们就要在运营过程节约成本,节约运营成本和不良贷款利率,我们降低的是信贷风险,通过降低这些风险节约下来的成本。后面才是我们的收入,我们怎么样挣钱?放出去多少钱,收回来多少钱,逾期和坏账率怎么降下来,这才是我们真正企业关心的。
梆梆金服在做什么事情?我们通过机器学习的方式,协助帮助企业平台判断我们的客户优质性,因为现在大家发现行业里出现很多骗贷客,市场有很多非优质渠道,因为他们手上掌握了大量的用户数据。很多的数据都是从一些偏远地方或者经济欠发达的地方买来的,可能一桶油或者一个电风扇就可以买来他的全套个人信息数据,他用这些数据进行集中的各个平台上贷款或者骗取收益。但是这些行为目的一定到最后不是为了还钱,一定是为了骗,所以我们结合了整个行业里包括羊毛党、骗贷客。我们会通过采集终端数据,梆梆金服是做安全的,我们采集的数据比数据公司采集的维度多很多,我们可以看到很多其他人可能拿不到的数据,但是这所有的数据都是在合法范围之内的,这些数据我们并不给任何平台共享,我们不转移给任何人。而且这些数据我们并不留存。虽然是合法数据,但是也不留存,通过终端信息的采集,采集操作系统的底层数据,用户的行为数据,以及对设备进行唯一标识,通过我们的安全手段对数据进行传输路径上的加密。这个加密手段我们叫白盒加密手段,通过机器学习分析,对用户的操作行为人机识别以及对虚假设备的识别。我们对用户进行综合画像,提交给平台,让平台来看这个客户是不是优质的。
我发现好几个平台我都是在投资的,我可能真的属于他们的客户。有一些是最需要防范的,也是最大量的报利的群体,就是真正的羊毛党,他们手上一个群体会有五十万三十万的用户数据,他们手上一般会有三五个亿的资金。在理财平台上,他们会做一些活动,综合年化收益加上乱七八糟的理财金包括加息券,年化收益比较高,他们就会集中的薅。有的企业需要集中冲量,但是你要屏蔽掉集中兑付风险,这些人进来以后一个月或者三个月的周期会集中兑付,一定不会再持续投资的,你那个时候钱从哪来?所以大家做好心理准备,如果有一天你需要良性运营的时候,你根本就没有任何的数据基础。
包括借款端,现在现金贷打的这么狠,我之前听过一个案例,非常严重的一个现金贷案例,借一千块钱,利息一百五,七天,但是到手只有八百五。行业监管部门也对现金贷有要求,原来现金贷是谁借都借给谁,我主要靠催收,你不还我就轮番给你家打电话,非常有效果,但是这种方式现在是不可取的,是非法的。大家既然要限定好年化36%的利率,必须要降低你的贷款坏账率和逾期率,你就要通过技术手段,因为互联网金融和传统的借贷不一样,线下是我去一个机构打开门借钱,借贷员看看你家的房子在哪,看看你的工作地点。互联网金融现在追求极致用户体验,可能就看后端的数据,你有没有工作,或者通过你查询四要素的验证看看财务情况,做一个综合判断。但是张三来借钱,他就叫张三吗?可能就是一个人用技术手段模拟了一百个甚至上万个帐号,用一万个个人信息去申请,撞到谁家是谁家。借出一笔肯定不还,这种情况控制在36%肯定不可能,要通过技术手段甄别和判断我们的用户真实姓名或者优质率,控制好这些才能保证后端的利润,没有利润的生意,我觉得都是耍流氓。