2018年3月29日平安科技联合绿盟科技在深圳四季酒店召开发布会,会上正式发布《2017金融科技安全分析报告》,报告由平安金融安全研究院和绿盟科技联合撰写。该报告结合《2017中国企业金融科技安全调查问卷》和绿盟科技运营数据作为主要情报来源,直观地分析了金融行业安全威胁的现状及趋势。依托云计算、大数据、人工智能、区块链等先进的计算机技术的发展,金融服务也趋于多样化、便利化、智能化。金融科技的出现频率正在高速增长,技术变革与创新加速,至今已经步入金融科技3.0时代。
金融科技日渐成为金融产品的重要支撑手段,攻击者也在不断丰富其攻击目标和攻击手段,以图提升自身的攻击变现能力,获利是他们的核心诉求。那么对于金融科技安全从业者而言,在传统的以脆弱点和检测点为核心的防护方案之外,更应从获利点出发,逆向分析,进而组织自身的防护体系。本文延续报告结构,从网络安全、数据安全、业务安全三个方面进行解读。
网络安全方面,拒绝服务攻击已是当前金融领域极为常见的安全威胁。2017年DDoS攻击发生总次数207,000次,单次攻击最高峰值1.4Tbps。与2016年相比,2017DDoS攻击仍然频繁,攻击总流量大幅上升。统计数据表明,金融机构互联网带宽一般在100M上下,攻击流量峰值达到了万倍以上,攻防完全不在一个量级。攻击威胁的源头是攻击方采用大量物联网设备如摄像头发起攻击,摄像头的24小时在线、带宽稳定及缺少维护刚好成为了优秀的攻击设备。以一个不超过300秒,攻击流量带宽在125Gbps的DDOS攻击为例,其实施攻击成本为5至6美元,购买该攻击的服务成本约为20美元,但给受害者带来的损失则可能在2万至10万美元的损失(视机构规模和业务而定)。应对思路是综合防范,如运营商流量清洗和本地拒绝服务防护为主,网站运营监测等手段为辅,多管齐下进行防护。以绿盟科技企业安全平台(ESP)为例,该平台以大数据框架为基础,结合威胁情报系统,通过攻防场景模型的大数据分析及可视化展示等手段,协助客户建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。
数据安全方面,数据泄露事件频繁发生。比如美国Equifax征信行业巨头发生的数据泄露泄露事件,约1.43亿美国用户的个人数据受到袭击,这也是美国历史上最大的数据泄漏事件之一。统计数据表明,数据库勒索也是黑客攻击金融业的一种常见手段。许多数据库的读取接口直接暴露在互联网上,并且没有设置完整的访问控制策略,通过弱密码甚至空密码就可以直接获取数据库的控制权限。黑客由此获取数据库控制权,加密或破坏数据,以此要挟受害者支付赎金。中国金融机构应完善敏感信息保护措施,加强内部管理,建立必要制度与控制机制。
业务安全方面,在互联网业务中,Web类攻击格外突出,且影响严重。统计数据表明,73.6% 的网站遭遇过不同程度的Web类型的攻击,约65.9% 的网站遭遇过利用特定程序漏洞进行的攻击。相关安全事件频发,如盗刷资损、薅羊毛、安全漏洞攻击等,对业务造成资金损失,且对企业品牌造成极大的负面影响。分析个中缘由,大部分企业开发团队开发任务注重功能实现,安全管理工作集中在上线阶段,或偏重“安全测试”管控,采用业务流程安全分析方法尽量识别出可能存在的威胁,针对识别出的威胁构建安全测试用例,严格把控测试过程并形成大量测试指南及测试工具集。但是,由于没有全局管控流程,无安全需求及安全设计技术措施,安全测试发现问题反复出现,消耗大量安全测试成本,治标不治本。从整个开发生命周期来看,需求阶段、设计阶段和编码阶段对安全考虑十分欠缺。以绿盟在安全开发生命周期管控安全需求的经验,安全需求提出的全面性和合理性考量,会在安全需求评审会中进行考量。需要引入经验丰富的内部或外部安全专家和开发专家,能不断以变化和最新的威胁角度审视安全需求是成功的关键。同样地,通过业务人员的安全意识增强和安全编码技能的提升,综合提高业务风险管控。
综上,金融和科技技术的融合发展大力推动了金融服务领域的拓展和维度,其面临的安全威胁也与日俱增。金融科技要持续、健康地发展,安全问题必不可忽视。可以认为,报告提出的威胁情报、综合平台建设、业务风险管控、人才储备和安全意识等方法和解决思路可以帮助金融机构的管理者们了解安全威胁现状和趋势,找出有效地解决方案。
下载《2017金融科技安全分析报告 》:
http://www.nsfocus.com.cn/content/details_62_2718.html
