2024年初始，“新(xīn)质(zhì)生产(chǎn)力”成了高频热词，而各家银行也纷纷挖掘起属于银行的新(xīn)质(zhì)生产(chǎn)力，金融生态环境正在持续激发出新(xīn)的能(néng)量和更优良的生产(chǎn)力。6月20-21日第三届银行CIO战略大会于杭州召开，多(duō)家银行的科(kē)技(jì )及相关条線(xiàn)领导专家们一起解析了什么是银行的新(xīn)质(zhì)生产(chǎn)力。

大会演讲嘉宾包括2家國(guó)有(yǒu)大行，2家全國(guó)性股份制银行，以及数家头部城商(shāng)行农商(shāng)行的领导专家，从系统建设、数据治理(lǐ)、大模型等角度对行业进行了细致的剖析。

爱加密作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)受邀出席参会。爱加密技(jì )术专家杨平以《安(ān)全威胁可(kě)见可(kě)控实践探索》為(wèi)题发表了专题演讲。

目前网络安(ān)全失效情况普遍存在，其常见根源有(yǒu)下列5大类，难以避免，且难以发现。

对于网络安(ān)全治理(lǐ)，我们认為(wèi)有(yǒu)两大思路。我们首先要做业務(wù)内生的安(ān)全，减少业務(wù)系统自身存在的漏洞和弱点。另一方面，我们要做好网络安(ān)全防御，构建能(néng)够抵御攻击的网络安(ān)全防御體(tǐ)系，从这两个角度去实现安(ān)全能(néng)力的提升。

但目前部分(fēn)企业工(gōng)作(zuò)陷入三大困境。

一、安(ān)全防护有(yǒu)效性缺乏管理(lǐ)

安(ān)全运营需全面掌握安(ān)全防护有(yǒu)效性情况，任何未知资产(chǎn)、应用(yòng)服務(wù)、业務(wù)变化都可(kě)能(néng)造成安(ān)全防护失效，成為(wèi)木(mù)桶理(lǐ)论中(zhōng)最短的那块板。如：安(ān)全设备能(néng)力不足，对新(xīn)型或已知攻击手段，覆盖不足，导致能(néng)失效；设备应用(yòng)错误，包括流量未覆盖、设备异常、规则未应用(yòng)等 。

二、传统风险评估能(néng)力的不足

传统的漏扫+渗透+安(ān)服人员风险评估，全面排查难覆盖、人工(gōng)检查局限性、运营资源不够、缺乏运营指导、量化度量困难、成本到人员能(néng)力等问题，凸显传统风险评估的不足。

三、缺少事前阶段高质(zhì)量数据

安(ān)全运营管理(lǐ)类平台系统（如态感、SOC/SIEM）缺少事前阶段安(ān)全防御水平情况的高质(zhì)量数据，反而因传统风评数据割裂和缺少體(tǐ)系化全局视角，造成数据噪音、分(fēn)析及提升改善安(ān)全运营困难。

BAS是改善安(ān)全运营效果的最佳切入点，可(kě)实现对防御系统的常态化验证。爱加密基于此推出自动化解决方案——爱加密安(ān)全有(yǒu)效性验证平台。可(kě)以连续、全面地利用(yòng)模拟攻击测试安(ān)全设备中(zhōng)的各种防御策略有(yǒu)效性，找出当前网络环境中(zhōng)存在的安(ān)全问题。

爱加密安(ān)全有(yǒu)效性验证平台是基于攻击者视角，通过模拟针对边界网络、内部网络等资产(chǎn)的攻击行為(wèi)，以攻促防，為(wèi)企业建立并持续性优化安(ān)全运营能(néng)力提供支撑，是企业搭建数字安(ān)全防御體(tǐ)系的重要保障。可(kě)实现降本增效、完善防御體(tǐ)系并提升安(ān)全等级、确定潜在的攻击向量、辅助红蓝演习、安(ān)全风险评估、安(ān)全常态化等六大目标！

在应用(yòng)侧安(ān)全防护方面，传统WEB边界防护存在的不足，如无法有(yǒu)效抵挡0day攻击；误报率过高，造成运营干扰；无法解决内部业務(wù)攻击；历史漏洞难以修复。

RASP全称為(wèi)Runtime application self-protection，即运行时应用(yòng)自我保护。可(kě)像“疫苗”一样注入到应用(yòng)程序里面，与应用(yòng)程序融為(wèi)一體(tǐ)，使应用(yòng)程序在运行时实现自我安(ān)全保护，并且安(ān)装(zhuāng)过程无需修改任何应用(yòng)程序自身代码，仅需简单配置即可(kě)实现自我防护机制。

弥补了当前“边界防护”技(jì )术體(tǐ)系的不足，為(wèi)应用(yòng)系统的安(ān)全防护提供了创新(xīn)性的解决方案，防御能(néng)力得以本质(zhì)提升。

爱加密运行时应用(yòng)自免疫系统（RASP)产(chǎn)品将安(ān)全保护代码嵌入到运行中(zhōng)的应用(yòng)程序，并与应用(yòng)程序同时启动，监听与应用(yòng)程序交换的重要节点，覆盖所有(yǒu)应用(yòng)程序的访问行為(wèi)，从而实时监测并拦截漏洞攻击行為(wèi)。可(kě)以抵御传统WAF无法识别的攻击，如针对未知漏洞和业務(wù)逻辑漏洞的利用(yòng)攻击。 

从下图中(zhōng)可(kě)以看到，请求参数ids的值中(zhōng)，ids的参数值并不包含任何攻击的Payload，传统的WEB防护产(chǎn)品无法识别该攻击行為(wèi)，但触发了爱加密RASP的SQL零规则检测，从而断定该接口存在SQL注入漏洞。

这是⼀个非常典型的SQL注入案例，我们通常在处理(lǐ) where in 查询的时候会因為(wèi)无法直接使用(yòng)SQL预编译而选择了拼接SQL的方式来实现业務(wù)，从而也就导致了SQL注入的产(chǎn)生。

会议期间，爱加密专题演讲吸引众多(duō)参会银行领导先后到访展台，同爱加密深入探讨安(ān)全风险管理(lǐ)。

長(cháng)期以来，爱加密凭借对安(ān)全风险及安(ān)全防护深厚的理(lǐ)解，持续研发核心技(jì )术，产(chǎn)品及服務(wù)能(néng)力广受广大客户认可(kě)，已获得众多(duō)國(guó)有(yǒu)大行、股份行、城商(shāng)行、农商(shāng)行认可(kě)。未来，爱加密继续加大研发投入，将為(wèi)各行业带来更高效、安(ān)全的移动应用(yòng)安(ān)全产(chǎn)品，助力企业合规建设，持续加强对监管部门的技(jì )术支撑能(néng)力，践行产(chǎn)业报國(guó)！

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容