近年來,以Amber Group為代表的全球化加密金融服務機構頻繁走入主流視野。專業機構入場為行業帶來了關鍵性的服務升級,並為增量市場用戶參與加密金融打破了邊界。該業態發展至今,又迎來了“疫情加快流動性危機擴散”這樣的特殊背景。目前,全球投資者對配置加密資產及其衍生品的另類投資表現出更大的熱情,並會從法律合規、信息安全、量化能力、企業規模等各個維度篩選優質的加密金融服務機構進行加密資產投資。由此形成了以更高服務品質為要求的加密金融新生態。

與此同時,“零信任”作為目前安全領域熱度極高且對安全體系建設具有重要指導意義的理念之一,在全球用戶與加密金融機構對安全地高度重視下,得以快速落地。 Amber Group 作為全球領先地將計算機算法、機器學習等技術與金融交易結合的企業, 堅持將零信任安全理念應用於企業信息安全防護建設之中,確保其所有業務的運行處在科學、實時地監測和保護之中。 對此, Amber Group在近期接受媒體採訪時,結合自身經驗就零信任在加密金融機構安全工作中的實踐進行了交流分享。

據了解, Amber Group 的信息安全建立在一個基於傳統安全思路並針對業務的信息安全暴露面加以保護的縱深防護體系上,而這個縱深防禦體系的靈魂就是零信任。

基於零信任的安全防控原則與安全項目實施


零信任認為企業不應自動信任內部或外部的任何人、事、物,應在授權前通過動態和持續的身份認證和評估機制,採用最小特權訪問策略,嚴格執行訪問控制,提升所有網絡實體之間連接的可信關係。 Amber Group的安全實踐舉例,當企業領導層提出瀏覽後台數據,非零信任安全防控下的處理通常是鑑於其身份直接為其調取數據。但在零信任原則下,無論怎樣的身份、角色,都必須經過驗證流程中的各節點審批,才能獲得權限。 另一個角度的例子是,假設第二天出現與上次同樣的需求,需求方依然必須重新完成驗證流程以獲得權限。

對於上述審批流程, Amber Group 借鑒了金融行業IT風險管理的三道防線 將其分成了三個工作層級,分別是授權崗位、操作崗位和審計崗位。 IT 風險管理“三道防線”是指依據職責分離原則,在組織內部構造出三支對風險管理承擔不同職責的團隊,相互之間協調配合,分工協作,並通過獨立、有效的監控,提高組織的IT 風險管理有效性。 從安全風險組織構建的角度來說,三個層級分別對應了IT治理、 IT風險管理以及IT審計,以此為IT風險管理的三道防線。

在零信任理念的實踐上, Amber Group 在積極推進基於這一理念的特權賬戶管理( PAM )以及統一身份認證管理( IAM )兩個項目。

就特權賬戶管理來說,相關人員對服務器、數據庫、交易系統等進行訪問均需要特權賬戶密碼。這些賬號密碼地管理可以大致視為被分散在不同人的手中。但是從零信任的角度不希望任何人掌握這些特權賬戶的密碼,所以
當相關人員需要訪問這些特權賬戶資源時,安全系統依據預定義好或動態的權限模型,由機器賦予其訪問權限,用戶便可直接進行訪問。同時整個訪問過程會被持續的審計監督,安全系統還會對操作中的危險命令進行阻斷。統一身份認證管理( IAM 可以簡單的理解為識別用戶身份和訪問控制的管理。通過定義誰(身份)對哪些資源具有哪種訪問權限(角色)來管理訪問權限控制,是各類IT 系統必不可少的基礎安全管理機制和復雜雲服務最核心的基礎安全框架,是對資源提供可控安全的訪問解決方案,也是零信任安全架構的核心基礎。 通俗點說,在有IAM的情況下,企業員工僅憑一套用戶名和密碼即可訪問多個系統,同時為了確保登錄的安全,針對不同安全等級的系統,用戶還需要通過二維碼、手機動態口令等多種方式進行身份驗證,提升效率的同時又能得到安全保障。

零信任理念下的跨部門配合與安全工作“左移”


安全理念的落實、安全體系的搭建同樣需要安全與合規、技術、產品等各個方面地密切配合。

在與合規配合方面, 信息安全需要為不同地區的合規性審查提供信息安全的證據。同時,在企業內控方面,也需要配合合規制定安全合規流程和員工行為規範,提供管理上的控制措施。

在與技術研發和產品配合方面, Amber Group倡導安全工作“左移”。從初期產品需求時開始介入安全工作,通過既定流程參與需求評審會議,提出需求中的安全風險點。當需求傳達到研發,安全團隊要在該階段配合信息安全相關需求的埋點,包括認證方式、加密方式的設置等等。同時,安全團隊還會在技術開發階段提供代碼編寫規範,並在逐步將工作擴展到代碼審計。產品上線前,安全團隊會對代碼進行黑盒測試,以攻擊者的視角探查即將上線的模塊或系統是否存在漏洞和風險。

由此,安全滲透到整個產品的開發生命週期當中。相比於傳統安全強調的放在“右側”的保護, Amber Group更倡導安全左移。通過早期開始在各個環節的介入,總體上降低安全成本,保證系統健康,減少安全漏洞。

加密金融服務機構以市場提出的更高品質為要求,引領行業步入全新生態。這同時意味著與高品質服務相關的金融科技與信息安全等領域也被帶入了全新的拐點。從安全角度看,新生事物走向規範時都需要面臨種種安全考驗,加密金融也需要在發展中不斷解決來自安全與風險方面的多重挑戰,才能為廣大用戶創造長期價值。