渣打银行(全球最大银行之一)的首席执行官,比尔·温特斯(Bill Winters)一直在识别、评估风险并采取措施降低风险。在过去十年总部位于伦敦的渣打银行(Standard Chartered)工作期间,网络安全已成为他在投资、员工培训和董事会讨论方面的一个主要关注点。"这反映了威胁的严重程度,"温特斯说。
作为首席执行官,温特斯更关注网络犯罪如何演变以及如何在公司的各个方面培养网络安全意识,而不是关注具体的漏洞或黑客组织。在讨论降低网络钓鱼攻击风险的努力时,温特斯表示,网络安全"在这里是信仰"。
(一)人工智能正在改变渣打银行处理网络安全的方式
比尔·温特斯:对我们来说,最早应用人工智能可能是在合规领域,在那里我们要处理数百万笔交易,这些交易必须经过筛选,我们总是在寻找可能表明资金流动可能是非法的模式或数据点。我们有非常重大的义务来识别这些并报告。我们显然拥有这些交易的数据,但它需要适当的结构化。
在过去10年里,我们银行可能进行的最大一笔投资是在我们整个金融犯罪合规制度方面,因为这对银行来说至关重要,如果你在这方面做错了,你的牌照就会被吊销。但这是我们开始的地方,可能追溯到2015年、2016年、2017年,我们开发了大量对许多其他事情有用的数据技能。例如,在我们的交易业务中进行风险建模。但基本上就是拿我们的数据,以不同的方式重新配置和使用它。
当我们开始使用第三方数据,或者当我们的数据以任何方式传输到银行外部时,事情就开始变得有趣了,打开了可能使我们面临数据隐私问题的渠道,同时也面临网络安全问题。我们有一支出色的网络安全团队,确保我们如何打开进出银行的这些渠道非常安全。这是以一种渐进的方式发生的,而不是一切都被锁定,然后第二天我们把整个事情都打开。我们没有发生重大事故,这是因为我们一直非常谨慎。
当涉及一些生成式人工智能领域时,我们非常担心数据泄露到银行外部。我们不会在任何渣打银行的电脑上安装 ChatGPT,我们在一些沙箱中使用它,但我们正在制定非常严格的协议,以确保私人银行数据永远不会在外部共享或进入某个可能导致我们违反义务的数据存储库。
我认为银行通常在采用生成式人工智能(GenAI)方面处于谨慎的一端。但大型科技公司和云提供商确实非常关注具有重大隐私问题的公司的特定要求,并与我们一起构建工具,让我们能够利用这些工具巨大的生产力。
(二)俄乌冲突对银行业网络安全带来的挑战
比尔·温特斯:我只需要打开报纸就能看到攻击的增加。这不仅仅是俄罗斯,一些国家支持的团体拥有特别充足的资源,但勒索软件和恶意软件即服务显然正在扩散,这影响到我们的一些客户。我相信他们试图攻破我们的防御。我认为银行通常是非常受保护的。我们打算尽可能地得到保护,但我们不会天真地认为在任何情况下都没有人能攻破我们,所以我们的警惕性一直在提高。但我认为这不是俄罗斯特有的,即使俄罗斯在许多方面采取了特定的立场,对邻国、交易对手和朋友都不太友好。
(三)从SWIFT银行体系攻击事件中吸取的经验教训
比尔·温特斯:针对孟加拉国SWIFT银行体系的攻击,造成了8100万美元的损失。我不知道攻击者在那次攻击中投入了多少资源,但肯定不是8100万美元。那个案例的一线希望是,它让所有人都意识到不仅是SWIFT实施中的漏洞,还有一系列漏洞。
但我们一直在不断地升级我们自己的能力,不断地进行测试。我们进行测试,我们的监管机构进行测试,还有一些非常复杂的渗透测试公司一直在测试银行。当然,他们时不时会发现一些东西,但我认为银行已经建立了相当好的防御。你和我一样知道,当商业行为者去赚钱时,他们会去能获得最佳投资回报的地方,通常意味着最薄弱的切入点和大笔资金。我认为他们很久以前就得出结论,虽然如果你足够努力,你可能会渗透到一家银行,但这非常困难和昂贵。
(四)与执法部门合作,跟踪加密货币
比尔·温特斯:我们都知道,加密货币领域发生的事情对执法部门来说很难控制。但用比特币买房子仍然很难。你必须有人让你进出加密市场。无论以何种方式,它很可能会进入银行。因此,执法部门与我们密切合作,跟踪加密货币的任何流入和流出......要将资金从数字经济转移到实体经济和法定货币经济,你将不得不通过银行。这是执法部门训练他们的枪的地方,这很棒,因为金融犯罪对除了罪犯之外的所有人都是不利的。
(五)网络安全文化
比尔·温特斯:建立良好的网络安全文化是一个持续的挑战。我们银行里有一些非常优秀的首席信息安全官(CISO),我们也得到了一些非常出色的外部建议。我们的一位董事会顾问是伊恩·洛班爵士(Sir Iain Lobban),不久前他曾经管理过英国政府通讯总部(GCHQ)。他对我们来说是一个很好的提示。因此,与CISO团队和网络风险团队合作。当然,他们本身就是技术专家,我认为他们在围绕我们自己的防御机制制定技术计划方面做得非常出色。但可能最具挑战性的是让非技术专家的广大业务部门了解他们必须在网络安全防御中发挥的作用。
多年前,这始于与每个业务主管合作,帮助他们理解或声明我们必须不惜一切代价保护的关键资产是什么。很早就进行这项工作非常有趣,看到一些业务主管对自己的皇冠上的宝石(核心资产)有多么不熟悉。一旦你确定并清楚皇冠上的宝石是什么,你就必须成为围绕这些宝石的防御机制的一部分。这些东西中的每一个都要花钱,或者降低灵活性,或者如果做得不正确,会影响客户体验。真正地解决这个问题,让他们参与到围绕网络风险构建业务中来,这是一个持续的过程,我认为我们永远也完成不了。在过去的六七年里,随着网络风险的增加,我们取得了巨大进步。我认为,今天的网络意识文化比过去有了显著提高,网络团队、技术专家与业务领导者之间的互动,一路下来,也有了显著改善。
我认为更平凡,但在某些方面同样有效的是定期渗透测试和定期网络钓鱼测试,影响很大。我告诉你,当你收到消息说你刚刚点击了一个[模拟]网络钓鱼链接时,那是一个可怕的时刻。当我们第一次开始进行适当的网络钓鱼模拟时,我们的点击率大约是20%到25%。现在我们的点击率大约是2%,1%。这很好。这有了显著的改善。但它不是零。我们知道,随着人工智能和生成式人工智能的发展,攻击可能变得更加复杂。巨大的文化意识、巨大的培训努力、巨大的测试、巨大的测试沟通、持续的通讯、研讨会、外出、合规培训、在线学习。综合起来,它产生了很大影响。
(六)网络安全是董事会讨论方面的一个主要关注点
比尔·温特斯:我要说,在董事会会议上,它可以说是一个异常巨大的话题,这不仅反映了我们对网络安全的重视程度,也反映了我们监管机构对网络安全的重视程度。监管机构与公司接触的切入点通常是通过董事会,而不是通过管理层。在这里,香港、新加坡、美国......他们真的希望董事会参与监督网络风险流程。当然,他们想知道管理层是否掌控局面,他们想知道网络团队是否配备了适当的资源和专业知识,是否可以获得正确的工具来执行他们的交易。在董事会层面,这是一个非常非常严肃的话题。
(七)网络安全支投资
比尔·温特斯:在过去10年左右的时间里,我们一直在大幅增加网络安全支出,这只是反映了威胁的严重程度。相当一部分投资是基础设施,所以是基本的补救措施。然后是围绕不断变化的威胁的持续支出。基础设施和补救层处于非常好的状态。
不断变化的威胁变得更加复杂。因此,我们将把基础设施类型的投资转移到不断变化的威胁上。我认为人工智能肯定会带来许多新的威胁。显然,它增加了攻击者的复杂程度和渗透防御的能力。金融的模块化程度正在提高,全球金融的分散程度也在提高。监管机构越来越喜欢将他们认为关键的东西保留在自己的国家。这意味着复制基础设施,然后在允许的国家之间共享数据或共享信息。这些连接中的每一个都是一个漏洞......我们将大幅增加对第三方风险评估的关注。
银行可能在这方面走在前面,但我们的许多客户并非如此。从新闻报道中可以看出,许多被利用的漏洞是通过受影响公司的第三方供应商进入的,而不是公司自身。我认为,随着供应团队的重新配置,而且他们正在重新配置,我认为这将是关注的关键领域之一。
(八)银行面临最大的威胁是国家行为体
比尔·温特斯:最大的风险是,出于某种原因,有人将英国、欧洲或出于某种原因将渣打银行视为敌人,试图摧毁我们。而且这不太可能是商业玩家。更有可能是国家行为体或恐怖组织。所以很明显,我们非常担心任何只想造成破坏的人。
另一方面,勒索软件的威胁行为体通常试图勒索受害者,而不是永久销毁数据。但如果你不做某些事情,他们就威胁要毁掉你。我们经常进行模拟,以确保我们做好准备,以防这种情况发生在我们身上,也发生在我们的客户身上。鉴于我们自己的防御状态,我们可能更关心我们的一些客户,而不是我们自己。但没有人认为我们是不可渗透的。
推荐阅读
闲谈
威胁情报
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
APT
入侵分析与红队攻防
天御智库