智能金融论坛 实现创新与风险的最佳平衡
当前「数码转型」已成为各产业公认的显学,影响所及,传统营运模式与现代化科技的竞合戏码,正在持续不断上演;若以金融产业而论,这股数码变革的力量,便是当前备受关注的FinTech金融科技。
藉由FinTech跨域整合,确实有助于开创新金融、新业务,可望令金融机构、FinTech新创公司,乃至最终顾客同蒙其惠,让各种金融服务变得更有效率,表面上看来「利」远大于「弊」;尽管如此,当各方积极推动创新大业的同时,依然不可对于潜在弊端与风险掉以轻心。
为协助业者掌握FinTech创新成果、亦可规避新型态风险,DIGITIMES特别于日前举办「2017智能金融论坛-新金融?新业务?新风险」,一方面探讨FinTech发展趋势,及科技与金融的无缝融合之道,二方面则剖析新型态金融犯罪,俾使业界知所防范。
区块链崛起 蕴藏巨大想像空间
1999年经济学大师Milton Friedman提出预言,指网际网络会形成一股新兴力量,将模拟实体世界给钞票的动作,意即从A到B点传送资金,进而减少政府对经济、货币的操作。前述货币学派大师 Friedman 的预言在2008年开始实现,即是当前大家耳熟能详的比特币(Bitcoin)。
帐联网络科技(AMIS)CEO刘世伟指出,如果大家同意,货币的价值与稳定度取决于民众对政府的信赖,则Bitcoin即是值得探讨的特例,它并无政府支撑,发行全由电脑操作,但价值竟能连年飙升,跌破主流经济学家的眼镜,背后玄机颇堪玩味;他认为无论比特币或其底层技术区块链,都不仅是货币或技术,而象徵人们看待当今经济世界的新观点。
尽管多数主流经济学家对Bitcoin仍存若干疑虑,但面对其底层之区块链技术,则持正面认同态度。综观当今金融清算机制,皆有中间人代为处理货币数字的加减,导致金融机构彼此间对帐、记帐程序繁琐耗时,这般集中化的记帐系统,即使可行、可控且可靠,但却牺牲效率,且扼杀多样化应用可能性;区块链的兴起,意谓一种奠基于点对点网络拓朴架构的共享式帐本就此诞生。
刘世伟说,今后包括银行、保险公司、证券商、IoT公司、电信营运商等需要使用新台币记帐的各种角色,都能如同自由参与网际网络般,串接到区块链平台参与运作,直接与平台上各个节点双向互连,不仅完成对帐、记帐,亦藉由智能合约实现法遵需求,从而在可靠且低成本的前提下,推展各种应用想像空间。
妙用云端资源 快速孕育创新服务
大多数企业都亟欲借助大数据分析,洞察目标顾客的采购行为、移动路径与族群关系等有价值信息,挖掘商业致胜线索;惟碍于数据来源愈来愈多,导致企业难有足够资源分析处理所有数据,造成业务行销视野备受限制。
AWS(Amazon Web Services)Business Development Manager韩宜安表示,该公司提供安全可靠、可扩展,且降低成本、高效能的云端服务,有助企业填补本地实体机不足的缺口,巧妙运用大数据Pipeline当中的Amazon EMR、AWS Lambda、Amazon Kinesis、Amazon Redshift及Amazon Machine Learning等实用工具,以低成本负担、运用少量数据启动多项运算,待验证结果无误再进行扩展,借此孕育创新金融服务。
韩宜安归纳,企业经由上述淬炼过程,可轻易产生四大类商业成果,首先是透过数据集中汇整、360度全面透析顾客价值,其余包括开创新的营收来源、实时响应顾客需求,及藉由DevOps方式自动扩展在线服务业务。
然而如何善用云端资源优势搭上这股FinTech潮流呢?来自伊云谷数码科技的网安部副总经理刘淑祉,特地分享协助金融产业布局云端的案例。作为大中华区唯一的AWS Premier Partner,伊云谷拥有完整的云端生态系,并因应不同情境来推展需求,成功辅导不少金融企业上云。
像是辅助大型金控公司借助AWS资源快速建置云端空间,提供使用教学与API串接说明,以顺利举办FinTech黑客松(Hackathon)竞赛活动;另曾透过云端资源拓展大数据应用,协助银行成功建立网络舆情数据分析平台,打造FinTech创新研发实验场域。
FinTech有助金融业开创新模式
虽然FinTech是热门话题,但仍有不少人质疑,是否有创新改变的必要?例如台湾推动移动支付已届两年,回馈率仍高达23%,为何业者仍需付出高昂行销成本来转换消费行为?这般创新,是否走错方向?
中华开发金控资深副总经理周郭杰指出,以英国为例,Overbanking现象比台湾明显,但却从2013年起积极鼓励银行创新,开放12家新银行成立,亦设置Innovation Hub协助发展FinTech;探究英国推动FinTech如此急迫,乃是预见未来FinTech独角兽将挟着跨业经营模式,大举进军各国金融市场,传统国家界线难以阻挡,惟现今FinTech独角兽多集中在美、中,迫使英国必须急起直追。
FinTech与生态圈息息相关,只因一般消费者平均花费75%时间与非金融体系接触,银行在时间、频率都屈居劣势,必须进入一个涵盖消费者食衣住行育乐的生态圈,方可与消费者产生紧密互动。足见未来数码经济活动,是一个与同业及异业间多元、开放连结的数码生态圈,现行侧重交易界面的安全性规范的法规设计架构,显然难以接轨数码生态,松绑与否,确实值得商榷。
周郭杰认为,当全球出现愈来愈多零手续费的ETF,甚至诸如Acorns零钱投资等创新服务持续问市,传统金融业者必须省思,展望未来,自己是否被消费大众持续需要?因此在创新求变的脉络下,金融业者要做的,似乎不仅是运用科技形塑新服务、新功能,而是设法开创新模式。
建立混和型防御网络 阻绝DDoS攻击
2017年假后首个股市交易日,爆发台湾史上第一起券商集体遭DDoS攻击勒索事件,连同2016年间英汇丰银行遭DDoS攻击,及Mirai物联DDoS殭屍网络,让大家不得不承认,「DDoS」是新金融、新业务下最主要的新风险之一。
A10 Networks台湾区技术经理陈志纬指出,DDoS并非全新威胁,但可怕之处在于攻击手法持续演进,从过去的网络层攻击、应用层攻击、放大攻击等单一攻击型态,进化为复合攻击型态。
大抵来看,DDoS攻击可分为「带宽耗尽型」与「资源耗尽型」两种,后者系透过耗尽连线数、处理器等系统资源,导致受害企业的系统无法处理合法的服务请求。
面对这些DDoS威胁,企业一向倚重的防御机制,是藉由防火墙、IPS、WAF或服务器负载平衡器(SLB)开启DDoS功能,惟面对愈趋诡谲的复合型攻击,明显力有未逮。
陈志纬建议,企业宜透过ISP Clean Pipe、CPE防御设备,建立混和型DDoS防御网络,藉由前者抵御带宽耗尽型攻击,透过后者应付资源耗尽型攻击。以CPE而论,A10提供Thunder TPS威胁防护系统,凭藉异常封包检测、黑白名单、连线验证、流量管控及应用层检测等5道防护关卡,有效阻绝复合型DDoS攻击。
值得一提的,Thunder TPS蕴含智能威胁侦测(Automated Baselining)机制,可记录、分析与学习用户端的各种应用服务流量,从而产生基准指标,意在透过渐趋严格的对策提高可疑流量的等级,尽可能减少误判发生。
全方位防护 遏止数码金融之APT攻击
放眼全球,包括美国空军、Apple、微软、IBM、三星电子等大型企业或机关,乃至Barclays、The Co-Operative Bank、PKO Bank Polski等金融机构,皆部署Fidelis Cybersecurity解决方案,以对付难缠的APT攻击。
Fidelis亚洲区技术顾问邢广耀指出,现今市场上不少网安产品,已能侦测恶意程序入侵、C&C连线行为,但仍存在诸多盲点,只因威胁生命周期往往历经渗透、线上遥控、横向感染、数据泄漏等不同阶段,多数网安设备的侦测范围局限在第一或二阶段。
此外也仅能监看80、443或25等有限连接埠,无从识别未知通讯协定,加上即使动用沙箱检测,亦无法辨析潜藏在PHP或ASP等「非启动式」档案的恶意程序,等于留下偌大防御缺口,让黑客有机可乘。
反观Fidelis,包括用于看管网络的Fidelis Network、用于守护端点的Fidelis Endpoint等两大产品,侦测与监识范围都涵盖所有端口(0?65535)、已知与未知通讯协定,且以元数据(Metadata)型式完整保留侦测结果,以利后续启动时光回溯调查,还原不同阶段黑客活动之完整轨迹,譬如某IP在何时从事何种通讯行为,传送何种类型档案;换言之,即使再高明的黑客,都会在抵达终点(数据泄漏)之前,难逃Fidelis的查缉而败露行踪。
一旦厘清恶意程序的传播路径、确认遭受感染端点,Fidelis Endpoint管理中心便会从线上清除恶意Processes并进行还原,连带让黑客攻势就此终止,顺势将企业面对网安事件的反应速度,提升到前所未见的制高点。
唯有新安全 方能成就新金融
论坛最后,由金管会信息服处处长蔡福隆担任压轴讲师。他表示,现今各大金融业者,莫不冀望借助数码化、互联网、移动化、大数据等力量,拓展新金融业务,殊不知互联网金融相连、依赖却脆弱,加上大数据大风险、万物皆可骇、黑客永远早一步知道弱点,及敌暗我明等种种特性,导致新风险悄然近身。
面对严峻情势,有志逐鹿新金融商机的业者,都必须全力建立新安全架构。首先亟需「强化网安防御纵深」,以信息安全监控中心(SOC)为轴心,打造一个兼具网络及服务器安全、网站应用系统安全、数据库及档案安全、端点设备安全等完整防御构面的体系,把网安防护的基本功做好,如此即可解决许多不必要纷扰。
蔡福隆接着说,其次必须「建立组织重视网安的文化」,要从组织整体的面向看待网安,并获得高层主管鼎力支持、提拨充足的预算与人力,进而设立专责的网安单位、配置相当层级的网安主管;更重要的,企业应藉由信息部门、网安专责单位与稽核单位,建立网安三道防线,并严格落实「实体隔离」之王道。
金管会参酌国际上主要国家现况,正积极规划成立「金融网安信息分享及分析中心」(F-ISAC),希冀发挥通报、情资研判分析、网安信息分享、网安谘询服务及漏洞评估、技术训练/研讨会/国际交流、网安事件应变协助、网安专题研究分析、金融机构网安演练,及协助网安规范评估及建议等九大关键功能,同步提升银行、保险业与证券业的网安防护能量。