一、执行摘要
近年,依托云计算、大数据、人工智能、区块链等先进的计算机技术的发展,金融服务也趋于多样化、便利化、智能化。金融科技的出现频率正在高速增长,伴随其技术变革与创新加速,至今已经步入金融科技3.0 时代。但随着金融科技日渐成为金融产品的重要支撑手段,攻击者也在不断丰富其攻击目标和攻击手段,以图提升自身的攻击变现能力。金融科技安全从业者在传统的以脆弱点和检测点为核心的防护方案之外,更应从获利点出发,逆向分析,进而组织自身的防护体系。金融科技安全现状和安全趋势值得关注:
l 金融业务大幅云化,金融行业约60%的机构使用了各类云服务; l 金融行业机构对安全事件处置时间滞后,20%的安全事件处置时间超过一周; l 金融机构业务流程欠缺,只有32.9%采用了SDL开发; l 信息安全不可忽视,71.3%的企业计划增加安全预算投入,但只有21%的企业打算扩招安全团队。
二、金融科技
从金融科技1.0到金融科技2.0,底层技术创新促使金融服务的方式发生变革,金融产品和业务模式不断变化。金融科技涉及领域广泛,应用场景多元。大数据、人工智能、区块链和云计算作为金融科技核心技术,使金融服务更加高效、智能,已在许多场景展露头角。
金融科技的应用场景
金融科技迅猛发展的同时也面临着越来越多的安全威胁,安全事件频发,对业务造成资金损失和极大的负面影响,关注金融安全将是金融科技3.0 时代的重中之重。
三、网络安全威胁介绍
众所周知,金融行业是我国网络安全重点行业之一,因其行业特殊性金融机构一直是网络犯罪的主要目标。
3.1 DDoS攻击
2016 vs 2017各月份攻击次数和流量
2017 年同2016 年相比,攻击发生次数基本保持平稳,共计发生20.7 万次。但是从攻击总流量上来看有较为明显的波动,从年初到5 月份前后,攻击总流量有非常显著的增长,而5 月份之后攻击总流量回落至较为平稳的水平。与2016 年相比,2017 攻击仍然频繁,攻击总流量大幅上升。
DDoS攻击源设备类型
在2017 年的DDoS 攻击中,攻击源中IoT 设备的数量已经占据相当的比例,在或大或小规模的DDoS攻击中IoT 设备都有显著的占比,已经成为DDoS 网络环境中需要重点关注的一个类别。从网络总体态势来看,物联网迅猛发展的过程中必然伴随着安全技术的滞后,可预测IoT 设备的威胁治理会进一步提上日程,而作为最易实施的攻击类型之一,IoT 遭受DDoS 攻击的数量会进一步上涨。
3.2 网络勒索
2017年相继发生“匿名者”、“无敌舰队”等网络勒索事件。现今,对互联网服务的勒索攻击已经成为一种网络攻击趋势,平均每天有4000 起勒索软件攻击,亚洲成为2017年遭到勒索软件攻击最多的地区。
3.3 僵尸网络
据绿盟科技监测的数据显示,2017 年Botnet 活动仍然十分猖獗,尤其Q2 季度更是Botnet 活动的高发期。根据绿盟科技监控的僵尸网络C&C 攻击指令数据,在Botnet 活动最高峰时期,平均每天共发出5187次指令,单个C&C 每天发出的指令最高达114 次。全球受控主机的数量间歇性增长,2017年8月的数量环比月增长高达三倍之多。
僵尸网络受控主机增长率
另外,物联网设备在线时间长、数量规模大、用户普遍疏于升级和配置等因素使其成为僵尸网络的温床。在绿盟科技持续跟踪的Botnet 中,至少存在4% 的样本攻击目标为物联网设备。虽然Botnet 形式还是以Windows 平台的设备为主,但是近年来,随着IoT 设备、智能设备、移动设备的入网,针对IoT 或其他智能设备、移动设备的恶意样本也逐渐增多。
3.4 APT攻击
高级长期威胁(Advanced Persistent Threat,APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,仅针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。,在巨大的利益驱使下,金融行业成为攻击者的首选目标,2017年绿盟科技发现的境外APT-C1 组织就是利用“互金大盗”恶意软件攻击我国某互金平台,窃取平台数字资产就是典型针对金融行业新型业务所采取的APT 攻击事件。
四、数据安全威胁介绍
近年,大规模数据泄露事件激增,2017 年前11 个月的数据泄露事件数量已比2016 年全年总数量多出10%。
4.1 数据库漏洞与利用
数据库勒索也是黑客攻击金融业的一种常见手段。许多数据库的读取接口直接暴露在互联网上,并且没有设置完整的访问控制策略,通过弱密码甚至空密码就可以直接获取数据库的控制权限。黑客由此获取数据库控制权,加密或破坏数据,以此要挟受害者支付赎金。针对勒索事件涉及到的数据库近三年的中危、高危漏洞进行统计后发现,MySQL的漏洞暴露最严重;而从增速方面看,除了MySQL,PostgreSQL在过去三年里的漏洞也有较快的增长。
中危、高危漏洞统计
4.2 内部人员数据倒卖
根据Identity Theft Resource Center 和CyberScout 发布的报告,2017年全年有多达1500 起数据泄露事件发生,相比2016年发生的1093 起,增加37%。而美国运营商Verizon 发布数据泄露调查报告指出,已发生的数据泄露事件中,25% 由内部人员造成。金融行业作为信息泄露高发的行业,应完善敏感信息保护措施,加强内部管理,建立必要制度与控制机制。
数据泄露成因
4.3云上数据窃取
2017年中国私有云市场规模达预估已达425亿元左右,到2020 年市场规模将达到762.4 亿元。从由平安金融研究院和绿盟科技发起的《2017中国企业金融科技安全调查问卷》中,统计出我国金融行业约60% 的机构使用了云服务,大部分使用的是私有云,也有超过20% 的机构使用公有云或者混合云。金融行业使用云业务最关注的安全风险是数据及隐私保护、业务的访问权限控制。
企业使用云服务比例
五、业务安全威胁介绍
金融行业中,有83.5%的机构或企业都开展了互联网业务。企业、机构对业务面临的互联网风险,最关注以下三个方面:自身资产是否存在漏洞;自有资产开放高危端口与服务情况;是否存在信息泄露风险。结合金融行业业务发展现状,业务安全威胁重点梳理了Web 攻击、银行机构ATM 与SWIFT 攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。
5.1 Web攻击与代码缺陷
Web 攻击是常见的攻击类型。根据绿盟科技防护数据统计,73.6% 的网站遭遇过不同程度的Web 类型的攻击,65.9% 的网站遭遇过利用特定程序漏洞进行的攻击。
遭受Web应用攻击的站点占比
Web攻击已成为基本攻击手段,也是各类攻击中相对容易实施的。在金融行业中,针对Web 服务器的攻击中,攻击次数最多的仍然是常规化攻击手段:SQL注入、XPATH 注入、跨站、路径穿越、命令注入等;这几类攻击的占比超过60%。从服务器类型上来看,在金融行业中Nginx、IIS、Tomcat 服务器是遭受攻击最为频繁的资产类型。针对特定的Web插件、服务器程序的攻击比例也相对较高,建议企业应该定期维护系统,升级相关的服务器应用。
Web类攻击类型细分
代码存在缺陷是Web 攻击事件逐年增加的主因。在金融行业的信息系统开发环节,仅有32.9% 的机构采用SDL 管理,而且调查显示,大部分安全管理工作集中在运维、上线、测试阶段,在需求、设计、编码阶段,对安全考虑十分欠缺。
5.2 业务欺诈
随着消费金融的快速发展,各类金融机构都面临着一个严峻的问题:欺诈。在《2017/18 年度全球反欺诈及风险报告》中,中国有86% 的受访企业表示2017 年曾遭受欺诈,较全球平均值的84% 略高2个百分点。2017年第一季度,金融服务领域被拒绝的交易相较于2016年增长了40%,相关僵尸攻击增长幅度为180%;预计到2020年,在线支付欺诈将达256亿美元。
2017年各行业发生欺诈事件比例
5.3 ATM与SWIFT攻击
2017年,针对银行ATM设备的攻击有了新的变化,如利用红外插入式卡槽器展开网络攻击活动。黑客通过天线将窃取的死人数据传输到隐藏在ATM机外部的微型摄像头中,进而收集信用卡或借记卡数据,之后极有可能被用于伪造信用卡或借记卡以便获取用户资金。另外,多起SWIFT事件发生,如尼泊尔NIC亚洲银行,在事件中损失约500万美元。类似事件说明银行业金融机构对于反复发生的此类安全事件没有足够重视,且没有有效的控制措施。信息安全管理必须建立健全的安全管理体系和有经验的安全团队,才是降低风险的正确道路。
5.4 移动支付安全
移动支付应用越来越广泛,而有关数据指出,59%的用户担心移动支付安全问题。移动支付安全存在的5 大风险是:随意扫码;删除手机应用APP 时不解除银行卡绑定;上网时如实填写各类支付信息;浏览有危险链接的短信或邮件;安装跳出来的不明文件。报告还指出,被调查者中,超过6 成被访者在使用手机时,存在上述不安全行为,对个人信息或支付账号安全产生威胁。因此,作为移动支付的使用者,需要时刻提高警惕,防范各种支付风险。
支付方式
5.5 区块链安全
区块链是一种分布式网络交易记账系统。它具有的开放性、全球性的特点,保证了交易活动可以在任何时间、任何地点进行,突破了传统贸易在时间和空间上的限制。因此被认为在金融、征信、物联网、经济贸易、结算、资产管理等众多领域都拥有广泛的应用前景。2017 年,随着国务院把区块链技术列入在“十三五”规划 ,中国的加密货币市场总值也增长了30 倍。然而,在区块链不断得到研究、应用的同时,在技术层面和应用层面依旧存在一定的安全局限,在共识机制、私钥防盗等方面仍需提高安全意识和加强防范措施。日本加密交易所Coincheck今年年初发生加密货币被盗事件,有投资者指责Coincheck对安全措施有所忽视。
六、总结与展望
本报告结合最新的案例和丰富的情报源,以金融科技所面临的网络安全威胁、数据安全威胁和业务安全威胁作为切入点,直观地分析了各类威胁的现状及趋势,在分析DDoS、Web 类攻击和数据库漏洞利用等传统威胁的同时,更加着重对移动互联网、云计算、区块链等新技术所带来安全威胁进行分析。
金融科技安全风险的未来关注点将聚焦在监管合规新要求、内部安全培训、新技术应用风险、开发安全管控、新技术应用风险、开发安全管控、高危险网络攻击、数据安全六个方面。并且,金融科技的可持续发展必须注重安全建设,从安全意识教育、安全设备部署、安全服务引入、安全人才储备、安全预算等方面提升整体安全威力。
七、关于平安金融安全研究院
由平安科技成立的业界首家综合性的金融安全研究及创新机构,以“聚焦金融、着力创新、引领行业、打造品牌”为指导方针,着力整合“政、产、学、研、金、介、用”的业界优秀资源,与国家、行业、高校、研究院所等强强联合,“一手抓创新,一手抓落地”,创造一个良好的金融安全创新环境和生态,为平安集团、行业、国家提供强有力的金融安全技术支撑,为金融机构在互联网、人工智能时代下的信息安全建设、业务安全风控、金融科技安全保障和国家金融安全作出科技贡献,形成可持续发展的独特学术研究优势、产品和服务,推动和引领我国在金融安全方面上的科学技术进步,打造金融安全品牌。
目前研究院下分6个研究领域:网络安全、数据及内容安全、系统安全、金融业务安全、金融安全标准和政策、医疗信息及应用安全。各个研究领域的骨干精英均来自知名院校、科学家团队、BAT、知名咨询公司、金融机构、国内顶尖安全公司等。