银行业业务安全体系建设白皮书2023
AI智能总结
(2023) 版权声明 本白皮书版权属于中国民生银行和中国信息通信研究院云计算与大数据研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国民生银行和中国信息通信研究院云计算与大数据研究所”。违反上述声明者,编者将追究其相关法律责任。 参编单位 中国民生银行股份有限公司、中国信息通信研究院云计算与大数据研究所 参编人员 毛斌、吕晓强、李吉慧、魏巍、郭雪、卫斌、马铭洋、付佳、李振、袁阔、霍鑫怡、李博言、王天娇、杨易、李红旺、王绍源、蔡宁、张凯、付雨婷、张月等。 前言 随着数字时代的飞速发展,银行业作为金融领域的重要组成部分,正面临着前所未有的改变。各种新型业务模式和技术手段不断涌现,为银行业带来了巨大的发展潜力。 与此同时,大量业务风险也随之凸显。银行业面临着业务风险敞口增加、黑灰产发展迅猛和监管趋严的多重压力。首先,丰富的线上化业务模式为银行带来了新的风险敞口,给黑灰产更多的可趁之机,身份冒用、数据泄露、电信诈骗等风险日益严峻,为银行业务安全风险防控带来新的挑战。其次,黑灰产也在积极利用新技术不断升级作案手法,各类新型攻击场景和技术层出不穷且迭代速度极快,加剧了银行业务安全风险防控的压力。再次,监管机构持续发力,要求银行业将风控能力建设纳入数字化战略体系建设中。 基于此,中国民生银行与中国信息通信研究院云计算与大数据研究所联合撰写了《银行业业务安全体系建设白皮书》,旨在通过梳理银行业面临的业务安全核心问题,帮助银行业机构深入了解当前行业的业务安全挑战和趋势,加强安全管理和风险防范能力,保护客户的资产和信息安全,助力银行机构实现业务发展、成本投入和安全合规的三重平衡。 目录 一、银行呈现数字新业态,业务与风险博弈发展1 (一)数字金融成为金融业转型的发展趋势,银行呈现数字新业态1 (二)银行数字新业态与业务安全风险博弈发展3 (三)银行业务安全重要性凸显,金融领域监管逐渐清晰化12 二、银行业务安全发展仍处初期,体系建设面临诸多问题挑战16 (一)业务安全建设技术手段有效性面临挑战17 (二)银行业务安全建设管理制度仍需加强18 三、银行业业务安全防御体系建设关键点20 (一)业务安全防御体系建设目标20 (二)业务安全防御体系建设思路与路径21 (三)新技术在业务安全防御体系建设中的需求与挑战27 四、银行业业务安全发展趋势与展望31 (一)业务安全建设不断夯实,体系标准更加完善31 (二)聚焦关键技术创新,集合产学研力量加强攻关32 (三)业务安全重视程度不断增加,业界内外均展开意识理念培养.33 图目录 图1黑灰产业上、中、下游产业链条6 图22023年4-9月数字人民币洗钱记录捕获数量12 图3业务安全市场监管逐渐清晰13 图4银行业业务安全体系建设面临挑战17 图5业务安全防御体系管理机制建设关键点21 图6业务安全体系防御策略建设关键点22 图7安全风险防御策略23 图8业务安全防御体系关键点24 一、银行呈现数字新业态,业务与风险博弈发展 (一)数字金融成为金融业转型的发展趋势,银行呈现数字新业态 当前,数字经济在中国已经进入到了一个全面发展、融合发展、高水平发展的新时期。2023年2月,中共中央、国务院发布了《数字中国建设整体布局规划》,确定了数字中国建设的框架体系和目标任务,明确提出“做强数字经济是构建数字中国的关键举措”。根据《中国数字经济发展研究报告(2023年)》,我国数字经济进一步实现量的合理增长,2022年,我国数字经济规模达到50.2万亿元,同比名义增长10.3%,已连续11年显著高于同期GDP名义增速,数字经济占GDP比重相当于第二产业占国民经济的比重,达到了41.5%1。 随着我国产业数字化的深入推进,产业数字金融也迎来了战略机遇。数字金融以新一代信息技术为核心,通过互联网及信息技术手段与传统金融服务业态相结合,承担着助力变革、深化服务、支持数字经济与实体经济融合发展的使命任务,成为了金融业转型的必然趋势。当前,商业银行数字化转型正在迈向高质量发展阶段,产业规模持续扩大,稳健发展。以6家大型银行为例,2022年科技 1《中国数字经济发展研究报告(2023年),中国信息通信研究院,https://mp.weixin.qq.com/s/_tjl-xjWhgTzvbmomI1yGA 投入合计为1165.49亿元,同比增长8.42%。据百信银行联合安永发布的《产业数字金融研究报告(2021)》显示,我国产业金融规模已接近300万亿元,预计到2025年将突破400万亿元,年度复合增长率预计达到41%2,产业数字金融将成为有效推动数字经济发展的关键动能。基于此,以数据化、智能化、开放化为特征的银行数字化转型,将进一步在银行业务发展中发挥更重要的作用。 1.数据化为银行积累海量高质量数据资产,提升业务创新能力。 数据化为银行快速积累海量高质量数据资产,协助银行更准确高效理解用户需求。通过大数据分析和机器学习算法,银行可以准确预测客户的需求、优化营销策略,进而提升客户满意度和忠诚度。 2.银行业与商业生态系统深度融合,开放化加速产品和服务的创新,提升客户体验和服务质量 当前开放银行、智慧银行、场景金融等数字金融服务发展迅速,银行业与商业生态系统深度融合,加速了产品和服务的创新,提供更便捷、个性化的金融解决方案,更好地满足客户需求。此外,客户可通过单一的应用程序或平台访问多个银行的产品和服务,实现无缝的金融体验,显著提升了服务质量。 2《产业数字金融研究报告(2021)》,百信银行,https://mp.weixin.qq.com/s/_tjl-xjWhgTzvbmomI1yGA 3.智能化技术为银行赋能,使银行更好地适应快速变化的市场环境,提供更优质、高效的金融服务。 一方面,机器学习、AI、图挖掘等智能化技术可提升银行自动化获取、处理、分析海量数据的能力,形成对客户行为、需求的智能化洞察,使银行能针对性地加强业务产品创新,提升金融服务水平。另一方面,智能化技术支持银行实现流程的智能化、自动化和无人化,提高效率的同时降低成本。 4.协同化帮助银行构建金融生态,促进行业共同发展 当前,银行正与其他金融机构、技术提供商、创新企业等积极建立紧密的合作关系,共同开发和共享数字化服务和资源。通过数字化生态协同,银行能够获得更广泛的资源和专业知识,提高服务质量和创新能力,实现资源的共享和优势的互补,促进行业共同发展。 (二)银行数字新业态与业务安全风险博弈发展 1.黑灰产业发展迅猛,规模逐渐壮大 (1)黑灰产活动隐蔽性增强且规模逐渐壮大 在银行业数字化转型的进程中,黑灰产业也有了新的改变:组织规模日益壮大、黑产行为更加隐秘、从业者犯罪手段不断升级,加剧了银行业业务风险防护的压力。 一是黑灰产行为变得更加隐蔽。黑灰产活动者不断转移活跃渠道,逐渐从论坛、QQ群等公开渠道,转向到更为私密的微信群、TG群等私域渠道。私域渠道聊天群需要定向邀请与付费才可加入,准入门槛提高。除此之外,TG群的聊天记录可以销毁,使得溯源追 踪黑灰产的难度增大。根据业务安全威胁情报提供的黑产活跃TG群与QQ群的监测数据,发现2023年三季度TG群活跃数量7.3万个相较于一季度的2.5个增长近3倍,QQ群活跃数量2.4万个相较于一季度减少10%,呈现下降趋势3。上述情况在一定程度上反应了黑灰产为了避免监管,开始由较为公开的渠道逐渐转向私域渠道。黑灰产的信息交流更为隐秘,互联网平台获取黑灰产攻击情报亦愈发困难。 二是黑灰产形成规模化、集团化的新运作模式。目前黑灰产作恶已从单打独斗逐渐向规模化转变,呈现出上、中、下游这一层次明显的结构,并且已各自发展成庞大的群体。各层次间的黑灰产分 工很明确,下游黑灰产在进行攻击前,需要借助中游黑灰产提供的代理IP平台、接码平台等自动化、批量化攻击的平台才能实施攻击,而中游黑灰产则需要整合上游黑灰产提供的代理IP、手机号等底层攻击物料。经统计,2022年黑产从业者规模至少240万人4,相比2021年,2022年黑灰产从业人员数量整体增长了5%左右。作为最 3《2023年第三季度互联网黑灰产研究报告》,威胁猎人,https://mp.weixin.qq.com/s/okPPU6NDkg1E77mPlk0a9A 4《2022年黑灰产业研究报告》,威胁猎人,https://mp.weixin.qq.com/s/hsck5q0le3AmgbKr8ho40g 4 重要的黑灰产资源的黑手机卡和黑IP,在2023年第三季度中监控到的数量分别已超60万和4700万,与同年前两个季度相比数量持续上升3。 三是黑灰产从业者变得更有组织性、传播性和信息感知度。黑灰产圈子小、消息传播速度快,通常羊毛情报最开始会被最核心的黑灰产接收到,这些核心的黑灰产往往都是薅羊毛组织者、黑产工 具作者等黑产圈重要人物,他们将获取的羊毛情报转换成教程进行传播,同时制作一些自动化攻击工具,导致越来越多边缘性黑灰产在第一时间掌握整套攻击手段,参与到攻击事件当中。随着事件传播迅速上升,黑灰产圈子内变现团伙发布变现广告,号商团伙开始对接恶意注册,而一些攻击手段较弱的黑灰产使用真人作弊方式来进行攻击。近年来,黑灰产依旧活跃在各大众包平台,监测发现2023 年前三季度发现黑灰产发布了超664万的众包任务,参与完成众包 任务次数超8亿次3。在2022年黑灰产攻击的营销活动中,立减金类活动成黑灰产最关注的活动类型,多家银行都曾推出各种形式的立减金活动,以某银行的5元立减金活动为例,黑产找到了该活动的变现路径,发起了大规模持续攻击,预估造成的营销费用损失将近100万4。 (2)黑灰产各环节集成化发展,形成完整产业链条 黑灰产从业者游走于法律监管的边缘地带,逐渐形成一条分工 明确、合作紧密的黑灰产业链条。按照供给结构划分,可以分为上中下游,分别对应的是资源层、服务层、变现层,如图1所示。 图1黑灰产业上、中、下游产业链条 上游资源层阶段。对于当今组织化、规模化越来越清晰的犯罪团伙来说,各类账号已经成为了他们的首要核心资源。黑灰产会通过养号等方式进行物料积累,同时,黑灰产从暗网、QQ群等渠道不 断获取最新的营销活动、企业漏洞等信息,发现可薅羊毛的活动之后,即在内部核心群中传播。此外,一些批发商也会通过钓鱼网站和木马来批量获取用户信息。黑灰产从各种渠道获得IP、账号、设备号等资源后,为非法套利做好前期资源准备。 中游服务层阶段。黑灰产从业者并不做实际的攻击,依据资源层提供的基础资源,在营销活动前进行批量的账号注册、养号,或 者直接盗号、再洗号等活动。中游会进行大量的账号生产与分销,积累大量的账号信息,并提供给变现层,同时通过组合资源和基础工具,来完成资源的串联,形成各种各样的欺诈工具,以支撑变现层,提升欺诈效率。 下游变现层阶段。黑灰产会实际攻击各大企业,包括营销薅羊毛、恶意引流、刷量作弊、盗号洗号、网络诈骗等行为。欺诈行为后会有专门人员将资金转到不属于黑产人员的名下银行账户中,再 迅速将资金进行转移、提现和变现。此时,企业会感知到异常,便开始加强风控策略,黑灰产攻击成功率随之降低,发现成功率降低的黑产,也会再次研究企业的策略变化,并修改自己的攻击逻辑,一来一回间,黑灰产和企业陷入了攻防拉锯战。 2.欺诈手段不断升级,呈现多趋势变化 第一,欺诈手段呈现场景化趋势,攻击手段随着场景变化不断优化,利用不同手段攻击。欺诈从业者通过场景化伪造、编造信息以获取客户信任,最终达到欺诈的效果。一是在线银行和移动支付应用的场景,欺诈者会伪造虚假的银行网站或移动应用界面,诱使 用户输入个人敏感信息,如账号和密码;通过电子邮件、短信和社交媒体等渠道发送欺诈性信息,骗取用户点击恶意链接或下载恶意软件,从而获取用户的财务信息。二是在网络借贷场景,账户注册阶段,欺诈者经常采用伪造身份注册、冒用他人身份注册、自动化 垃圾注册等手段完成欺诈行为。在登录阶段,欺诈者可使用盗用、冒用、
