互联网金融安全:裸跑问题尽早解决

互联网金融安全 裸跑问题尽早解决

近日,国内网络安全公司绿盟科技联手腾邦国际互联网金融产业园举办了2015互联网金融安全沙龙,互联网金融产业园副总经理刘鹏和绿盟科技深圳办首席代表黄国忠,主持活动并致辞。 互联网金融面临极大风险,大家都这么说,到底风险是啥样的?活动现场的实际案例演示及分析报告,让与会者看到了互联网金融安全几近裸跑的现实。

互联网金融安全几近“裸跑”

某证劵交易平台的股票买卖功能存在越权问题,攻击者可以利用这个漏洞操作他人股票买卖;某P2P网贷系统的手机验证码可一码多次使用,攻击者可能利用这个漏洞,进入用户账户。某证劵网上交易系统登录系统在用户退出后不注销其Session,攻击者可以完全不用用户名和密码,随便登录他人的证券交易账号。这些案例难道是危言耸听?然而,现实的演示及数据,让与会者不得不认识到这些线上交易平台的脆弱性已经严重威胁到了最终用户及其资金的安全。

近半年来,在国内某公开的漏洞提交平台上,互联网金融漏洞每个月出现的安全漏洞数量最高达到90多个,其中高风险漏洞占82%,但得到厂商确认的只有40%,这些漏洞中最为常见的就是设计缺陷/逻辑错误。这些问题并不是网站运营过程中出现的,而是在平台设计之初就有的,也就是说还有许多没有发现的漏洞,就像一个个定时炸弹埋伏在这些互联网交易平台中。而且从攻击者的角度来说,真正有价值的漏洞,是不会轻易泄露出来的。“这就出现了一种怪象,有时候一个漏洞可以打死一片”,绿盟科技高级安全顾问赖东方建议,“从拖库到撞库,安全已经不再是一个人的事情,也不是一个网站的事情。从金融自身安全到整体互联网的安全现状,互联网金融的安全问题涉及到方方面面,需要从技术、平台、业务、行业数据分析和监管等多个方面下手才行”。他还在现场讲解了《互联网金融安全报告》,该报告收集了在2014年互联网金融行业中的134份安全漏洞报告,并对漏洞类型和数量做了统计。

面对这些数据,现场与会者纷纷表示赞同。有38%的客户声称自己的平台遭到过DDoS攻击,13%在公开漏洞提交平台上被爆过漏洞。在遭到的攻击中,还包括脱库、注入、敲诈、网络劫持等攻击形式。在这样恶劣的情况下,90%以上的客户认为自己的平台不够安全或一般安全,所有与会客户表示,如果把自己平台的敏感数据放到公有云,则存在安全性顾虑,其中40%以上表示非常不放心。这些客户关注最多的是数据安全和业务连续性,其次是业务安全、web及手机端安全。

这些担心并不过分,活动现场张佳发通过多个攻击案例场景的实际演示,让与会者印象深刻。“我们难以攻击者会在什么时候发动,但能够预知系统的漏洞在哪里“,“攻击者不会傻得往墙上撞,他们总是在你意想不到的地方或形式入侵,渗透检测是在业务环境中’知己’的一种方式,只有这样,系统隐藏的漏洞才会被不断的发现”。 张佳发是国内知名安全专家,在ASRC平台上漏洞挖掘排行榜排行第一,他演示的案例包括越权类、手机短信验证码类、登录类、密码重置类,攻击者通过这些漏洞大多数情况下都可以随意获取客户的资金。

鹏金所与绿盟科技携手打造安全交易平台

面对这样严峻的形式,互联网金融平台已经开始积极应对。鹏金所,作为22家上市公司联袂打造的小微企业融资平台,在深圳互联网金融领域具有相当的影响力,在安全方面不仅重视且安全方面的建设工作启动较早。“我们从计划、实施到检验三个环节,要做做到全面,全面审计资产、信息及数据,还要做到细致,看看是否有失误和遗漏,更要做到深入,要求在现有条件下做到最好”。前绿盟安全专家张涌,目前任职“鹏金所”,他为与会者介绍了互联网金融平台上合理的网络架构及安全防御措施,提出安全计划需要做好几个方面,更好的DDoS防护,DDoS攻击毕竟是现在最为低成本的攻击方式之一,在互联网攻击事件中也出现的最多;同时需要做好安全感知,包括安全风险感知、安全事件感知及安全感知方法;另外,由于业务是动态发展的,安全运营需要做到有计划、可实施、能检验。

互联网金融安全需要尽早启动安全工作

“我们本应是网络安全主力军,但在前线的却往往是我们的客户“,对这一点,绿盟科技技术经理侯俊深有体会,在其从事安全行业十五年中,对于互联网风险和金融风险有深入的研究。活动现场他从安全规划、安全建设和安全运营进行深度分析和讲解。

从资产角度来看,互联网金融平台上的资产繁多,主要包括Web端、微信端、手机客户端、API接口及虚拟资产,细分资产将会超过10多个类别;而从安全运维来说也不简单,包括安全加固、网络安全管理及检查手段等13个小类;更何况业务环境是一个动态环境,需要制定贴合业务特性的安全策略,从需求到开发到发布到运营,互联网化的运作方式就要求平台快速迭代,这无形中增加了风险,相比之下,一些安全性保障措施就越显滞后,随之而来安全性问题的修复成本就越来越高。

面对这样的困境,互联网金融平台该如何走出这个怪圈?侯俊提出可以从这些方面着手,1改善应用安全的关键,需要从架构设计、防护方案、代码审计及安全测试等方面打造成熟的方案;2安全工作需要尽早介入,以便降低阶段性修复成本;3需要整合资源,使业务部门、安全管理部门和软件开发部门采用一致的方法改善安全性。最终,需要建立一套安全需求和编码规范,根据开发环境和业务环境进行定制化,从源头避免安全问题引入,方便新人安全开发,让安全要求更加清晰。

另外,他还建议互联网金融及相关组织应该积极与安全公司携手,获取安全资源的支持,包括安全资讯和情报、技术资源和能力、最新的解决方案,以及各类安全人才输入。

2015互联网金融安全沙龙

本次活动得到了多家单位的大力协助,包括腾邦集团、互联网金融产业园、鹏金所、魔方安全科技、极限网络科技等,同时还吸引了诸多媒体和互联网金融单位的热情支持。本次活动,希望通过安全沙龙的形式,给大家一个互联网金融行业的安全交流平台,与众多安全厂商、合作伙伴、金融机构等,携手建立互联网金融的安全生态圈,一起促进互联网金融安全行业的健康发展。

作者:赖东方

2015互联网金融安全沙龙PPT下载

打造安全的互联网金融平台-侯俊
互联网金融平台的安全建设-张涌
那些年互联网金融的伤痛-张佳发
乌云笼罩下的互联网金融-赖东方

发表评论