金融行业的现状与发展（金融行业迎来巨变）

　　只要我们稍加留意，就不难发现金融业正在经历一场巨变。因为厌恶排队等候，我们越来越偏爱在数字银行上办理业务，这让金融企业的业态也随之改变，我们身边的实体银行越来越少。同时，金融行业的支付媒介属性，让金融企业变成了千行百业交易支付的枢纽，金融企业开始更加偏爱应用大数据技术提升客户体验。这些改变都让金融企业不可避免地进入了一场全面数字化的浪潮之中。

　　然而，当数据变成资产，因架构转型而产生的云上银行越来越多之时，与之相伴的安全风险也随之提升。如何保障网络、数据、端点的全面安全，成为了金融业全面数字化转型必须攻克的下一道难题。

　　转型中的安全难题

　　金融行业一直是安全的重灾区，而近年来金融服务业更是成为了网络攻击的首要目标。究其原因，是攻击者在选择行业时会以利益为导向。金融服务业因为拥有大量金融资产和敏感数据，在攻击者得手之后，可能获得更多的利益。Unit42的调查结果表明，攻击者索要和获得的赎金正在不断增加，目前已创下了索要赎金3000万美元的新记录，而获得的赎金也达到了850万美元。今年3月，国内金融行业遭受的DDoS攻击的峰值更是达到了427.59Gbps，这表明越来越多的攻击者将金融行业列为了主要目标。

派拓网络大中华区总裁陈文俊

　　而另一方面，派拓网络大中华区总裁陈文俊表示：“数字化转型、加强客户参与度、成本优化、第三方合作、员工团队工作方式变化等因素，让金融服务业在业务变化中遇到了新的安全问题。”

　　数字银行的普及让金融业数字化转型成为一道必选题，因为更加重视客户体验和互动，手机银行APP替代了实体银行的功能，这让金融业开始更多地选择公有云服务，业务数据量也随之迅猛增长。而持续的疫情让客户选择网上银行的同时，也让金融业员工开启了远程居家办公之旅，随时随地实现远程办公成为一种新需求。由于金融业居于交易枢钮位置，出于和第三方合作的需要，大数据分析被越来越多地采用。同时，《个人数据保护法》的出台，让数据隐私保护成为刚需。

　　这些变化叠加在一起，金融企业在重重安全压力之下，就需要找到破局之策，陈文俊强调：“为应对当下新的安全风险，金融企业需要采取积极主动的网络安全策略，最大程度地提高安全效率，同时优化总体拥有成本。” 而这也就意味着，金融企业需要融入主动网络安全策略的工具，才能有效预防、检测和应对基于各种载体的威胁。

　　数字化变革的三根支柱

　　复杂的安全形势需要综合性的破局之道，派拓网络大中华区技术总监耿强认为要实现全面的安全保障，就要保障网络安全、云安全和端点安全的实现。派拓网络给出的破局之道也正在于此，三个核心的产品线正好可以保障这三方面的安全。

　　居家办公导致了边界消失，以至于金融科技专业人士都认同利用零信任架构(ZTNA)打造安全可信边界，可以列入2022年金融科技的六大发展趋势之一。当银行数字化转型带来新挑战，数据安全和外部访问安全问题剧增之时，ZTNA为身份验证、授权和风险管理提供了一层安全保障，确保客户在使用金融服务时的数据安全。

派拓网络大中华区技术总监耿强

　　耿强谈了派拓网络建立零信认架构的心得：“我们坚信‘永不信认，持续验证’的ZTNA2.0理念，建立对于用户、应用和设备三个基本元素的验证，通过定义保护对象与范畴、掌握通讯与数据流、基于保护区域构建隔离网络、建立零信任安全管理政策、有效率的监控及运维等五个步骤，帮助用户建立起零信认架构。与其他厂商不同，我们在整个访问过程中坚持最小权限的做法，确定哪个部门的哪个级别的用户，只可以访问权限对应的内容。”

　　应对网络安全，无论在硬件、软件、虚拟化，或者是容器环境，防火墙都是必不可少的一环。但因为越来越多的企业需要在云端更灵活地进行更新，保护云端交付，因此未来三年80%的客户都会转向防火墙即服务。而派拓网络现在就通过Palo Alto Networks Strata，为企业提供超前的智能网络安全服务，通过全球首个机器学习驱动的新一代防火墙，让用户通过在线学习就可以有效应对未知威胁，掌握安全状况的全局。

　　云安全的问题更为复杂，当金融企业开始采用公有云之后，如何去维护应用数据的安全，成了另一个难题。而在进入混合云环境之后，金融企业自身的数据中心仍然运维着一些应用，并在云上也会运营自己企业的一些应用。在这种情况下，云原生和容器的应用安全问题也开始出现。

　　为此，派拓网络的做法是将合规、容器和微分段功能相结合，通过Palo Alto Networks Prisma Cloud在所有云中跨越整个生命周期保护云原生应用、连接并保护用户以及访问任何应用的所有设备。此外，还会将安全检测机制尽量前置，在云原生环境开发阶段就将安全隐患检测出来，而不是等到应用发布之后再去检测。

　　陈文俊对此介绍说：“由于云的敏捷性、方便性，现在很多应用开发者都深度应用云来做开发，也使用了一些API接口互相对接，但是在敏捷多变的系统架构里，广泛调用API接口的时候，也造成了安全策略的复杂性，使得攻击面扩大，让更多隐藏的攻击者抓住可乘之机。为此，我们提供整体的云原生解决方案，帮助应用DevSecOps理念的开发者，从构建软件生态的初始就开始做保护。实现安全左移之后，在开发源代码的时候就把安全的功能和理念融合进云，而不是等到应用开发完成了，再去寻找漏洞进行解决。从而脱离开头痛医头脚痛医脚，转向从整个开发流程的层面去解决问题。”

　　要保障端点安全，就要彻底转变安全运营的模式，以先进的技术建立XDR类别，同时系统要能够提供自动化和修复措施，此外还要扩展对整个攻击面的可见性。

　　耿强对此解释说：“以往的运营需要很多人，靠人做日常维护和安全防护，但当越来越多的安全威胁出现之时，攻击的复杂程度提升了，就需要更多人去做这件事。但事实却是市场上缺乏专门的安全人才。所以金融企业需要一个自动化的模式，去帮助他们在运营中心有效、低成本地解决不同产品带来的复杂程度，有效提升生产力。”

　　事实上，派拓网络为用户提供了一个非常轻量级但将智能检测、分析和响应机制融合在一起的终端安全解决方案。可以和整个企业的SOC集成在一起进行综合网络流量和整体性能分析，为整个安全方案提供非常重要的分析数据源。除此之外，派拓网络网络安全平台在所有安全方案之上提供了一套自动化安全运营分析系统，可以将不同维度抽取出来的信息和日志进行自动化分析，并且关联在一起。这样能够在攻击发生时或者早期阶段，就及时发现它，并对它进行快速、智能的处置。

　　所有这一切背后，还有一个由顶级安全分析专家组成的专业安全团队Unit 42，负责对全球发生的安全事件和情报进行及时的分析和响应。凭借Unit 42，派拓网络的客户都可以享受到安全情报的支持。

　　至此，派拓网络凭借整体的解决方案和技术团队，已经可以为金融企业的数字化转型根基，提供强有力的安全保障。

　　破局金融业安全

　　在越来越严峻的安全形势面前，如果我们把企业安全团队与黑客之间的攻防，比喻为一场没有硝烟的战争，一点也不为过。再精良的技术和武器，在战场上也要经历实战的考验。那么，派拓网络在金融行业的实战战绩又如何呢?

　　耿强介绍了其中的一场实战。某家银行客户的传统防火墙无法识别第7层安全，也没办法应用高级威胁攻击。频繁更改的安全策略不仅增加了运维成本，也因为策略过多造成可见性不足，可能会使用高风险的IP地址和端口。现有防火墙的API接口不够丰富，使得运维灵活性差，无法集成且容错性差。最后，客户的网络应用和威胁可视化程度也很低。

　　针对这些问题，耿强介绍说：“我们的专业策略转换工具和策略优化服务转换了超过六万项旧策略，同时我们帮助用户从传统的第4层安全过渡到第7层安全，加强了对未知威胁的防御。我们还为用户的SOC团队提供了自动运维平台，将安全日志输出至大数据分析，并通过自动API交付安全策略，实现NGFW实时安全保护。最为重要的，是我们帮用户规划出统一的零信认解决方案，用‘五步法’简化了用户零信认策略的实施。”

　　派拓网络遇到的硬仗当然并不止这一场，另一家在全球拥有一万三千多员工的大企业，由于每名员工至少有一台电脑和一台智能手机，两万到三万台设备要连接进企业网络，甚至有机会访问核心数据中心。而派拓网络的安全解决方案中，在用户设备登录时，就会首先检测这些设备有没有安装VPN、硬盘有没有加密、有没有相应的授权证书，并且，防护严密的ZTNA解决方案并没有给远程员工在用户体验方面带来任何不便。

　　针对金融行业越来越严峻的安全形式，陈文俊强调了其中的另一个破局要点：“对企业来说，做好安全防御并不仅仅是技术问题，而是一定要做好技术、人、流程等几方面的需要匹配，才能更好地解决网络安全问题。在引入零信任架构、人工智能和大数据等先进技术之外，注重网络安全的内部培训，提升员工安全意识同样重要。”