人工智能和机器学习如何改变数字银行安全

在 Help Net Security 采访中，Solaris 集团网络安全副总裁 Nuno Martins da Silveira Teodoro 讨论了数字银行安全方面的最新进展。他谈到了人工智能（AI）和机器学习（ML）如何重塑欺诈检测、无密码身份验证的增长趋势以及移动银行应用程序面临的安全风险以及确保安全性和为客户提供无缝、用户友好的体验之间的平衡。 以下内容是根据采访内容进行的重点整理。

人工智能和机器学习正在集成到欺诈检测系统中 这些技术将改变数字银行安全的格局

人工智能和机器使欺诈检测更实时、准确、自适应。AI能分析海量交易数据，识别欺诈模式和异常，通过行为分析建立用户行为档案，标记偏差。机器学习随新数据学习改进，减少误报，预测分析可提前识别潜在威胁，欺诈评分优先处理高风险活动。AI/ML系统可扩展，有效抵御复杂威胁如合成身份欺诈、账户接管，监控多渠道，自动检测降低成本，但需考虑算法偏差、数据隐私、模型可解释性等问题。

银行业实施无密码身份验证系统 挑战与机会并存

人们对安全、透明且抵抗力强的身份验证系统的依赖日益增加，无密码身份验证成为趋势。在这一转变中，平衡安全性与用户体验始终是关键。传统密码正被更安全、更友好的方式替代，如生物识别（指纹、面部识别）、硬件令牌或行为身份验证等，这些方式借助独特用户特征或设备验证身份，降低对易被盗用、重复使用及遭受网络钓鱼攻击的密码的依赖。生物识别难复制，令牌系统和多因素身份验证提供多层保护，减少登录麻烦，提升用户便利，实现银行平台无缝访问，还能降低因密码重置和恢复请求带来的运营成本。

不过，推行无密码身份验证也面临挑战。部署生物识别扫描仪、支持多因素身份验证集成系统等先进技术的初期成本较高，尤其是在传统技术框架下。而且生物识别数据一旦泄露，因物理标识符无法像密码那样重置，还需结合其他验证因素，所以引发了安全担忧。

银行应采用策略来增强移动银行应用程序的安全性

攻击者常利用应用程序架构设计不佳、网络不安全或用户疏忽等漏洞，发起网络钓鱼诈骗、恶意软件攻击、凭据盗窃等活动。虚假银行应用、中间人攻击以及移动设备恶意软件等威胁愈发复杂，给用户和金融机构带来危害。为提升移动银行安全性，组织需采取多层防御策略——实行端到端加密保护数据传输，采用生物识别、多因素身份验证等强化身份验证。

银行业运用数字风险监控等预防性控制手段，识别并打击恶意移动应用和仿冒网站，防止用户受骗、凭据被盗，还应发展应用程序屏蔽技术，如运行时应用程序自我保护（RASP）和代码混淆，防止篡改与逆向工程，利用 API 保护平台保障 API 安全，关联信号与用户资料，追溯潜在欺诈。

同时，定期开展渗透测试、漏洞扫描等安全测试，排查并修复弱点。银行也应在终端用户设备中引入人工智能驱动的反欺诈功能，融合威胁情报、行为分析、设备指纹识别与自适应欺诈指标，实时监控异常、及时处理威胁，保障客户在线体验安全顺畅。 通过结合先进技术、主动监控和用户教育，银行能大幅降低风险，确保移动银行平台安全，在数字化时代维系用户信任。

金融机构要平衡严格安全协议与无缝数字银行体验的需求

金融机构面临着平衡严格安全协议与无缝数字银行体验需求的重大挑战。客户追求便捷服务，但安全不能被忽视。为此，金融机构采用基于风险的身份验证系统，依交易风险调整安全措施，低风险活动只需基本验证，高风险操作则需多重验证，既减少用户麻烦又保障安全。

生物识别身份验证（指纹、面部识别、行为生物识别）是关键解决办法，既安全又快捷，提升了用户体验。无密码身份验证通过基于设备的验证或加密密钥，减少登录麻烦，消除传统密码漏洞。

先进技术如AI和ML助力机构实时监控交易、检测异常、防范欺诈，无需用户直接参与。加密和令牌化保护敏感数据，确保交易安全。

教育和透明度也很重要。金融机构要帮助用户了解安全措施，鼓励安全行为，清晰沟通隐私和安全问题以建立信任。

此外，金融机构还需定期更新和测试系统，适应变化的威胁，同时维持流畅的用户界面。结合尖端技术与以用户为中心的方法，可实现强安全性与便捷银行体验的双重目标，确保合规与客户满意。

开放银行计划对数字银行安全有何影响 机构如何降低相关风险

开放银行计划借助 API 实现银行与第三方提供商（TPP）间客户数据的安全共享，给金融服务行业带来变革。它虽能推动创新、提升客户体验，但也带来新安全挑战，促使银行应对复杂监管环境并遵循行业最佳实践。 欧盟 PSD2 等法规要求采用强大的客户身份验证（SCA）和安全的 API 框架来保护敏感数据。不过，各地合规实施情况有别，存在潜在风险。

开放银行因扩大生态系统增加了攻击面，放大了数据泄露、未经授权访问和欺诈的风险。 为降低风险，银行要重视 API 安全，涵盖加密、身份验证和访问控制，采用 OAuth 2.0 进行基于令牌的安全授权。还应运用 AI 和机器学习驱动的威胁检测系统，实时监控 API 流量。

银行、监管机构和 TPP 需合作制定明确安全标准、增进信任。定期安全评估、第三方审计和渗透测试能确保合规并排查漏洞。令牌化和数据最小化可减少客户敏感信息暴露。 银行也要教育客户安全管理数据共享权限，降低网络钓鱼和欺诈风险。明确的同意机制和数据使用透明度对维护信任意义重大。