天下熙熙皆为利来,天下攘攘皆为利往,逐利更是攻击者的天性。随着金融科技日渐成为金融产品的重要支撑手段,攻击者也在不断丰富其攻击目标和攻击手段,以图提升自身的攻击变现能力。
一方面,攻击者对金融科技系统的渗透逐步深入,从网络服务、金融业务逐步深入到核心业务数据、用户财产和隐私。攻击者不再满足于危害金融系统的可用性,更青睐从贩卖数据和资产转移中直接获利。
另一方面,攻击者不局限于传统针对信息系统的攻击,愈多从人员的角度迂回渗透,勾结内部人员进行数据倒卖。Loudhouse曾发布的企业安全调查报告显示,如果价格到位,35%的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。这一调查事实也侧面应证在网络安全、业务安全和数据安全之外,人员安全同样也应引起足够重视。
网络安全威胁增高
2017年DDoS攻击发生总次数207,000次,单次攻击最高峰值1.4Tbps。与2016年相比,2017DDoS攻击仍然频繁,攻击总流量大幅上升。统计数据表明,金融机构互联网带宽一般在100M上下,攻击流量峰值达到了万倍以上,攻防完全不在一个量级。攻击威胁的源头是攻击方采用大量物联网设备如摄像头发起攻击,摄像头的24小时在线、带宽稳定及缺少维护刚好成为了优秀的攻击设备。以一个不超过300秒,攻击流量带宽在125Gbps的DDOS攻击为例,其实施攻击成本为5至6美元,购买该攻击的服务成本约为20美元,但给受害者带来的损失则可能在2万至10万美元的损失(视机构规模和业务而定)。
应对思路是综合防范,如运营商流量清洗和本地拒绝服务防护为主,网站运营监测等手段为辅,多管齐下进行防护。以绿盟科技企业安全平台(ESP)为例,该平台以大数据框架为基础,结合威胁情报系统,通过攻防场景模型的大数据分析及可视化展示等手段,协助客户建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。
数据安全威胁增高
近年,大规模数据泄露事件猛增,2017年前11个月的数据泄露事件起数已比2016年全年总数多出10%[1]。美国知名信用机构Equifax在9月份透露,曾遭黑客袭击,导致1.43亿名用户的信息泄露[2];科技公司Uber则在11月发现,5700万名乘客和司机的信息在2016年一次大规模数据泄露事件中被黑客窃取。数据泄露的目标除了政府机构和金融机构,已经扩大到第三方承包商、数据集成商、以及安全厂商和解决方案提供商自身,越来越多企业和个人将可能因数据泄露而处于危险之中。
数据库安全成为2017年的安全热点,我们针对涉及到的数据库近三年来中、高危漏洞进行了统计。
图 高、中危漏洞统计
其中MySQL的漏洞暴露最严重,从增速方面看,除了MySQL,PostgreSQL在过去三年里的漏洞也有较快的增长。相比之下,MongoDB、Elasticsearch、Redis、Hadoop等数据库则相对安全性,不过仍有一定程度的增长从数据库漏洞的发展态势上看,数据库的安全问题也越来越受到关注,也许基于漏洞利用的数据库劫持事件将在不远的将来出现。
业务安全威胁增高
业务安全威胁来源有很多,如使用不安全的函数或协议,集成了有缺陷的SDK、Web插件、服务器程序,或者业务流程上的逻辑缺陷等。
依据本次问卷收集数据统计,金融行业已经大幅度互联网化,83.5%的机构或企业都开展了互联网业务。在互联网业务中,Web类的攻击显得非常突出,在安全管理中,企业机构非常关注三方面的问题:1、自身资产是否存在漏洞 2、自有资产开放高危端口与服务情况 3、是否存在信息泄露风险。结合金融行业业务发展现状,业务安全威胁重点梳理了Web攻击、银行机构ATM与SWIFT攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。
在金融行业的信息系统开发环节,仅有32.9%的机构采用SDL管理,而且调查显示,大部分安全管理工作集中在运维、上线、测试阶段,在需求、设计、编码阶段对安全考虑十分欠缺。
未来关注
综合考虑这些风险的危害范围、危害程度以及金融机构的应对防护现状,我们认为针对金融科技风险,金融机构需要在未来关注以下六个方面:
- 新的监管合规要求:重视自身风险管控能力与风险之间的匹配和差距程度。
- 内部的安全培训:提高内部人员安全意识,加强开发安全标准、安全部署与管理等方面的意识和技能培养。
- 新技术应用风险:应对物联网,区块链,移动支付等潜在安全风险。
- 开发安全管控:系统地识别和消除各个阶段可能出现的由于人员知识和技能、开发环境、业务逻辑等所造成的信息安全风险。
- 高风险网络攻击:应对DDOS攻击、WEB攻击、有组织的APT攻击、欺诈与勒索等潜在安全威胁。
- 数据安全:一方面要切实遵循国内外数据及隐私安全监管条例,另一方面加强企业数据保护及防范数据倒卖风险的能力。
写在最后的话
随着金融科技日渐成为金融产品的重要支撑,攻击者也在不断尝试,提升自身的攻击变现能力。本次发布的《2017金融科技安全分析报告》,结合最新的案例和丰富的情报来源,以金融科技面临网络安全威胁、数据安全威胁和业务安全威胁作为切入点,对各类威胁的现状及趋势进行了直观地分析。
在分析DDoS、Web类攻击和数据库漏洞利用等传统威胁的同时,更加注重对移动互联网、云计算、区块链等新技术所带来的安全威胁进行分析。同时,我们也发现金融科技要持续健康发展,安全问题必不可忽视,越来越多的企业开始关注信息安全问题,并且开始采购包括威胁情报在内的各项增值安全服务。企业在应用金融科技的同时,还需要在监管合规要求、安全人才储备、新技术应用风险、开发安全管控、高风险网络攻击,以及数据安全,这六个方面进行关注。
[1] “The 10 Biggest Data Breaches Of 2017”, CRN, 2017年12月. http://www.crn.com/slide-shows/security/300096951/the-10-biggest-data-breaches-of-2017.htm
[2] “An Offensive Defense: Lessons from the Equifax Breach”, https://www.gartner.com/smarterwithgartner/an-offensive-defense-lessons-from-the-equifax-breach/
参考:https://blog.nsfocus.net/2017-finance-security-report/