近年来,以Amber Group为代表的全球化加密金融服务机构频繁走入主流视野。专业机构入场为行业带来了关键性的服务升级,并为增量市场用户参与加密金融打破了边界。该业态发展至今,又迎来了“疫情加快流动性危机扩散”这样的特殊背景。目前,全球投资者对配置加密资产及其衍生品的另类投资表现出更大的热情,并会从法律合规、信息安全、量化能力、企业规模等各个维度筛选优质的加密金融服务机构进行加密资产投资。由此形成了以更高服务品质为要求的加密金融新生态。

与此同时,“零信任”作为目前安全领域热度极高且对安全体系建设具有重要指导意义的理念之一,在全球用户与加密金融机构对安全地高度重视下,得以快速落地。Amber Group作为全球领先地将计算机算法、机器学习等技术与金融交易结合的企业,坚持将零信任安全理念应用于企业信息安全防护建设之中,确保其所有业务的运行处在科学、实时地监测和保护之中。对此, Amber Group在近期接受媒体采访时,结合自身经验就零信任在加密金融机构安全工作中的实践进行了交流分享。

据了解,Amber Group的信息安全建立在一个基于传统安全思路并针对业务的信息安全暴露面加以保护的纵深防护体系上,而这个纵深防御体系的灵魂就是零信任。

基于零信任的安全防控原则与安全项目实施


零信任认为企业不应自动信任内部或外部的任何人、事、物,应在授权前通过动态和持续的身份认证和评估机制,采用最小特权访问策略,严格执行访问控制,提升所有网络实体之间连接的可信关系。Amber Group的安全实践举例,当企业领导层提出浏览后台数据,非零信任安全防控下的处理通常是鉴于其身份直接为其调取数据。但在零信任原则下,无论怎样的身份、角色,都必须经过验证流程中的各节点审批,才能获得权限。另一个角度的例子是,假设第二天出现与上次同样的需求,需求方依然必须重新完成验证流程以获得权限。

对于上述审批流程,Amber Group借鉴了金融行业IT风险管理的三道防线将其分成了三个工作层级,分别是授权岗位、操作岗位和审计岗位。IT风险管理“三道防线”是指依据职责分离原则,在组织内部构造出三支对风险管理承担不同职责的团队,相互之间协调配合,分工协作,并通过独立、有效的监控,提高组织的IT风险管理有效性。从安全风险组织构建的角度来说,三个层级分别对应了IT治理、 IT风险管理以及IT审计,以此为IT风险管理的三道防线。

在零信任理念的实践上,Amber Group在积极推进基于这一理念的特权账户管理(PAM)以及统一身份认证管理(IAM)两个项目。

就特权账户管理来说,相关人员对服务器、数据库、交易系统等进行访问均需要特权账户密码。这些账号密码地管理可以大致视为被分散在不同人的手中。但是从零信任的角度不希望任何人掌握这些特权账户的密码,所以
当相关人员需要访问这些特权账户资源时,安全系统依据预定义好或动态的权限模型,由机器赋予其访问权限,用户便可直接进行访问。同时整个访问过程会被持续的审计监督,安全系统还会对操作中的危险命令进行阻断。统一身份认证管理(IAM可以简单的理解为识别用户身份和访问控制的管理。通过定义谁(身份)对哪些资源具有哪种访问权限(角色)来管理访问权限控制,是各类IT系统必不可少的基础安全管理机制和复杂云服务最核心的基础安全框架,是对资源提供可控安全的访问解决方案,也是零信任安全架构的核心基础。通俗点说,在有IAM的情况下,企业员工仅凭一套用户名和密码即可访问多个系统,同时为了确保登录的安全,针对不同安全等级的系统,用户还需要通过二维码、手机动态口令等多种方式进行身份验证,提升效率的同时又能得到安全保障。

零信任理念下的跨部门配合与安全工作“左移”


安全理念的落实、安全体系的搭建同样需要安全与合规、技术、产品等各个方面地密切配合。

在与合规配合方面,信息安全需要为不同地区的合规性审查提供信息安全的证据。同时,在企业内控方面,也需要配合合规制定安全合规流程和员工行为规范,提供管理上的控制措施。

在与技术研发和产品配合方面,Amber Group倡导安全工作“左移”。从初期产品需求时开始介入安全工作,通过既定流程参与需求评审会议,提出需求中的安全风险点。当需求传达到研发,安全团队要在该阶段配合信息安全相关需求的埋点,包括认证方式、加密方式的设置等等。同时,安全团队还会在技术开发阶段提供代码编写规范,并在逐步将工作扩展到代码审计。产品上线前,安全团队会对代码进行黑盒测试,以攻击者的视角探查即将上线的模块或系统是否存在漏洞和风险。

由此,安全渗透到整个产品的开发生命周期当中。相比于传统安全强调的放在“右侧”的保护,Amber Group更倡导安全左移。通过早期开始在各个环节的介入,总体上降低安全成本,保证系统健康,减少安全漏洞。

加密金融服务机构以市场提出的更高品质为要求,引领行业步入全新生态。这同时意味着与高品质服务相关的金融科技与信息安全等领域也被带入了全新的拐点。从安全角度看,新生事物走向规范时都需要面临种种安全考验,加密金融也需要在发展中不断解决来自安全与风险方面的多重挑战,才能为广大用户创造长期价值。