信息技术的发展助燃了金融行业的转型,科技初创公司以及金融行业新进入者利用各种手段对传统金融行业的业务及产品进行革新并优化流程,从而提高了效率。金融科技成为金融新时代的代名词,并驱动金融服务业务的重构。而在科技促进金融业由外向内转型的同时,技术带来的隐患也可能对金融业务安全造成更大的威胁。本章将从金融科技的起源及发展开始,结合金融科技行业现状,浅析金融科技生态及安全问题。
1.3 金融科技领域的安全威胁
1.3.1 知名安全事件回顾
在金融科技势如破竹地进军金融行业的同时,自然也成为了攻击者的目标。攻击者不断变换攻击手段和目标,以牟取更高的利益。金融科技机构面临着网络、数据、业务等多方面的安全威胁,仅在过去一年内,就在多个领域发生了严重的安全事件。下面简短地回顾几例。
- 数据泄露:Equifax是美国一家知名的信用报告服务公司,提供个人消费、信用卡和信用评级的信息数据服务。2017年9月,Equifax曝出消息称曾遭黑客袭击,导致1.43亿名用户的信息泄露。黑客窃取的信息包括社保号码、生日、地址以及信用卡信息等。根据美国人口普查局数据(截至2017年9月),美国人口为3.23亿人,这意味着近半美国人可能已因Equifax的数据泄露而陷入危险之中。该公司还表示,英国和加拿大的民众也受到了此次事件的影响。
- 网络勒索:2017年6月,“无敌舰队”(Armada Collective)勒索事件再次上演,金融行业首当其冲,许多金融机构收到勒索邮件,被要求支付10比特币(当时市值约20 万元人民币)作为保护费,部分机构还受到了一定程度的攻击。同月,“匿名者”(Anonymous)向全球金融机构发起代号为“Opicarus2017”的攻击,其攻击目标列表包括香港金融管理局等全球140多家金融机构。与以往不同,此次“匿名者”组织发起的是“DDoS+数据库注入”双拼攻击,不仅导致网站服务器瘫痪,还窃取了敏感数据,直击金融行业的业务核心。
- 系统入侵:2017年10月,中国台湾“远东银行”发现SWIFT系统异常,检测后发现银行的SWIFT系统遭黑客植入恶意程序,银行被盗领6000万美元,警方介入追回大部分窃款,损失约50万美元。同期,尼泊尔 NIC 亚洲银行发生类似的SWIFT事件,损失约500万美元。
- 加密货币被盗:2018年2月,132名投资者向日本加密交易所Coincheck提起诉讼,要求其赔偿2.28亿日元(约200万美元)损失,原因是Coincheck在2018年1月下旬曾遭受黑客重大攻击,导致价值超过5.23亿美元的NEM(新经币)被盗。索赔人还组成了一个“Coincheck损害对策小组”,认为事件是Coincheck对“安全措施的忽视”造成的。
1.3.2 金融安全问题不可轻视
金融科技日渐成为金融产品的重要支撑手段,加之互联网金融应用繁多,业务复杂,通过Web接口进行渗透攻击的可能性显著增加。攻击者也在不断变换、改进攻击方式,不断丰富其攻击目标,以提升自身的攻击变现能力。我国网络灰黑产从业人员已逾百万,日均交易额数亿元,其中“羊毛党”就是灰产大军中不可忽视的一支,对金融业危害极大。
在金融科技发展、金融业务转型的同时,安全威胁手段也随之推陈出新,攻防发展的不对称导致金融安全事件层出不穷。对于以金融科技为目标的攻击者,获利是他们的核心诉求。那么对于金融科技安全从业人员而言,在传统的以脆弱点和检测点为核心的防护方案之外,更应从获利点出发,逆向分析,进而组织自身的防护体系。金融科技要持续健康地发展,必定不可忽视安全问题,而金融科技安全的未来离不开一个强大的安全生态环境,在协同人、技术、系统等多方面多层次的关系中,必须以“安全”作为防护罩,加强金融安全势在必行。
1.4 2017年金融科技安全分析
1.4.1 网络安全威胁分析
金融科技的发展大力推动了金融服务领域的拓展和维度,其面临的安全威胁也与日俱增。有报告指出:网络犯罪是当今世界上所有公司面临的最大威胁,也是人类面临的最大问题之一。根据这份报告,到2021年为止,网络犯罪的成本将从2015年的3万亿美元增加到6万亿美元。众所周知,金融行业是我国网络安全重点行业之一,因其行业特殊性,金融机构一直是网络犯罪的主要目标。以下将通过2017年金融行业的重大安全事件说明安全威胁可能造成的影响及损失。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户端或者服务器技术,将多个计算机联合起来作为攻击平台,向一个或多个目标发送大量合法的请求,从而占用其网络资源,致使无法正常提供服务,达到致使网络瘫痪的目的。
2017年6月相继发生的“匿名者”和“无敌舰队”勒索事件,是对金融机构发起的大规模DDoS攻击。显而易见,拒绝服务攻击已是当前金融领域极为常见的安全威胁,金融业作为对安全性和稳定性都要求极高的行业,一旦服务瘫痪,资产管理系统中断,将会造成难以弥补的损失。
2017年同2016年相比,攻击发生次数基本保持平稳,共计发生20.7万次(见图 1.5)。但是从攻击总流量上来看有较为明显的波动,从年初到5月份前后,攻击总流量有非常显著的增长,而5 月份之后攻击总流量回落至较为平稳的水平。与2016年相比,2017年攻击仍然频繁,攻击总流量大幅上升。
图1.5 2016年vs 2017年各月份攻击次数和流量
从类型上看,2017年攻击次数占比最高的攻击类型仍然为反射型攻击。实施这类攻击,黑客只需要拥有很少的带宽,就能以此放大产生显著的攻击流量。从攻击流量上看,SYN Flood 2017年度占比突出,超过60%(见图1.6)。综合2017年度网络环境分析,绿盟科技认为,这与物联网僵尸网络的扩张有较大的关系,互联网具有设备基数大、防护弱、在线时间长等特点,成为了发动DDoS攻击的温床。
图1.6 DDoS攻击类型分布
流量持续攀升似乎已经不是什么新的态势,从近两年的报告中都可以看到,每个月都会出现超过百Gbit/s的流量,最高的时候流量已经达到Tbit/s的级别。2017年度攻击最频繁的是5月份,攻击最高的峰值更是达到了 1.4Tbit/s的级别,这种“巨无霸”攻击,一次一次挑战着防御者的能力上限(见图1.7)。
图1.7 单次攻击最高攻击峰值与平均攻击峰值
另外,从流量的区间分布来看,大流量攻击明显增多,这也是2017 年度一个显著的趋势。
在2017年的DDoS攻击中,攻击源中IoT设备的数量已经占据相当的比例(见图 1.8)。在或大或小规模的DDoS攻击中IoT设备都有显著的占比,已经成为DDoS网络环境中需要重点关注的一个类别。从网络总体态势来看,物联网迅猛发展的过程中必然伴随着安全技术的滞后,可以预测IoT设备的威胁治理会被进一步提上日程,而作为最易实施的攻击类型之一,IoT遭受DDoS攻击的数量会进一步上涨。
图1.8 DDoS攻击源设备类型
在IoT设备参与的DDoS攻击中,路由器、摄像头是主要的设备类型。这与近两年IoT发展的情况基本是一致的,大量的路由器、网络摄像头被引入生产、生活环境,而安全配套措施尚未进一步完善,可以合理预期的是,在物联网攻击领域会有更多的攻击形式出现。从数据统计上可以观察到,在属于物联网设备的IP中,恶意IP的比例高于平均水平。例如,在对公网摄像头IP进行统计时,我们发现其中恶意IP的比例约4.8%,而对于所有IP(大陆境内)而言,恶意IP的平均占比仅为1.57%,也就是说,摄像头恶意IP比例是平均水平的3倍,因此物联网设备的风险明显是较高的(见图1.9)。
图1.9 DDoS攻击源IoT设备
网络勒索(Cyberextortion)是一种犯罪行为,它对企业造成攻击事实或攻击威胁,同时向企业提出金钱要求来避免或停止攻击。近年,网络犯罪人员已经开发出可以用来加密受害人数据的勒索软件(Ransomware),然后利用解密密钥向受害人索取钱财。2017年,此类攻击事件数量占比靠前的勒索软件有LockScreen、Cerber 和WannaCry等。其中,WannaCry感染事件爆发后,全球范围近百个国家(地区)遭到大规模网络攻击,攻击者利用MS17-010漏洞,向用户机器的445 端口发送精心设计的网络数据包,远程执行代码,加密被攻击者计算机中的大量文件,被攻击者只有支付比特币后才能解密文件(见图1.10)。
图1.10 2017 年上半年最流行的勒索软件
现今,对互联网服务的勒索攻击已经成为一种网络攻击趋势,平均每天会发生4000起勒索软件攻击。
据绿盟科技监测的数据显示(见图1.11),2017年Botnet活动仍然十分猖獗,尤其第2季度更是Botnet活动的高发期。根据绿盟科技监控的僵尸网络C&C攻击指令数据,在Botnet活动最高峰时期,平均每天共发出5187次指令,单个C&C每天发出的指令最高达114次。
图1.11 僵尸网络C&C攻击指令数据
2017年,Botnet的数量和规模在不断扩大(见图1.12)。其中,C&C的数量持续不断增长,进入8月份后增速明显,10月份环比增长达到1.67%。另一方面,全球受控主机的数量间歇性增长,8月份的数量环比增长高达3倍(增长320%)(见图1.13)。
图1.12 C&C数量增长率的变化趋势
图1.13 僵尸网络受控主机增长率
物联网和智能设备、移动设备构成的Botnet开始对Botnet战场的形势产生新的影响。在绿盟科技持续跟踪的Botnet中,至少存在4%的样本攻击目标为物联网设备。虽然Botnet形式还是以Windows平台的设备为主,但是近年来,随着IoT设备、智能设备、移动设备的入网,针对IoT或其他智能设备、移动设备的恶意样本也逐渐增多(见图1.14)。
图1.14 僵尸网络运行平台统计
对于PC用户,邮件、“水坑”站点或者在软件安装包中捆绑恶意代码都是很有效的入侵手段,而对于物联网设备来说,其在线时间长、数量规模大、用户普遍疏于升级和配置,黑客通过简单扫描就可以捕获大量存在漏洞的设备。2017年10月,绿盟科技发现并命名的机顶盒蠕虫Rowdy,就是利用了机顶盒的脆弱性在国内互联网上大规模传播。另外,绿盟科技关注到一些Botnet家族攻击的目标是Android平台的设备,典型的家族包括Dendroid、FlexiSpy、GMbot等。Botnet俨然是一个全平台存在的互联网威胁。
Botnet持续不断地追求规模的扩张,通过俘获大量设备提升自身攻击的能力,IoT设备具有的脆弱性使其成为理想的切入点。但是贪婪的黑客们野心并未停止,我们观察到有的Botnet已经具备了跨平台的能力,在兼具自传播特点的同时还能够根据设备类型,植入对应平台的程序来获取控制权限,进一步提升自己的传播能力。图1.15是几个典型的具有跨平台传播能力的Botnet。
图1.15 僵尸网络跨平台传播能力分析之运行平台
从Botnet采用的程序语言上,也可以发现其跨平台的趋势。C语言和脚本语言具有良好的跨平台能力,在ARM架构的嵌入式系统和Linux、Windows系统中都有良好的适应能力,因此在此基础上构建的Botnet程序,具备跨平台传播运行的能力(见表1.2)。
表1.2 僵尸网络跨平台传播能力分析之编写语言
| Botnet家族 | 编 写 语 言 |
|---|---|
| Rowdy | C++ |
| Gyddos | C++ |
| LuaBot | Lua |
| Aldi_bot | Delphi |
| yi2.0 | 易语言 |
另外,脚本语言的编写相对容易,可以更加快速高效地实现一个新的Botnet 程序。较低的门槛、快速的收益吸引着更多的黑客,使得网络中Botnet的威胁形势更加严峻。2017 年9 月,众多网站发现其网页内嵌了用于挖矿的JavaScript脚本。一旦用户进入网站,JavaScript脚本就会自动执行,占用大量机器资源挖取数字加密货币,导致机器异常卡顿。挖矿病毒就是僵尸网络的一种。
2017 年大规模爆发了挖矿木马僵尸网络病毒,金融、运营商及互联网等众多行业均有相关安全事件发生。2017 年 12 月底,有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”。据绿盟科技安全专家分析,该工具原作者的官方版本并不含挖矿病毒,而是黑客假冒复制KMSpico的网页,发布捆绑挖矿软件在内的多种病毒,然后利用搜索引擎优化技术提升其网页排名,诱导用户下载,进而窃取用户隐私信息或利用用户计算机挖矿牟取暴利。
高级长期威胁(Advanced Persistent Threat,APT)又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的计算机入侵过程,通常由某些人员精心策划,仅针对特定的目标。高级长期威胁通常是出于商业或政治动机,针对特定组织或政府而发起的,它要求在长时间内保持高隐蔽性。
在过往的监控中,实现政治诉求的APT居多,例如伊朗的“震网”事件、白俄罗斯军事通讯社事件。随着时间的迁移,APT 概念和技术开始被行业熟知,各种层面的对抗也更加复杂。2017年NSA“方程式组织”与CIA网络情报机构的武器库泄露,为整个黑色产业链条提供了大量有价值的“弹药”,更多的组织和个人可以利用更加成熟的技术实施高级攻击。相较普通的攻击手法,APT攻击的实施难度和成本都更高,在巨大的利益驱使下,金融行业成为攻击者的首选目标。2017年绿盟科技发现的境外APT-C1组织利用“互金大盗”恶意软件攻击我国某互金平台,窃取平台数字资产就是针对金融行业新型业务所采取的典型APT攻击事件。
金融行业与其他行业一样,都在面对技术的革新和升级,这一方面带来了更多的便利性,另一方面势必诱发许多潜在的风险。但与其他行业不同的是,金融行业的资产天生比其他行业具有更直接的价值,因此金融行业更需要特别关注APT风险。
1.4.2 数据安全威胁分析
近年,大规模数据泄露事件激增,2017年前11个月的数据泄露事件数量已比2016年全年总数量多出10%。美国知名信用机构Equifax在9月份透露曾遭黑客袭击,导致1.43亿名用户的信息泄露;科技公司Uber则发现,5700万名乘客和司机的信息在2016年一次大规模数据泄露事件中被黑客窃取。数据泄露的目标除了政府机构和金融机构,已经扩大到第三方承包商、数据集成商,以及安全厂商和解决方案提供商自身,企业和个人可能会因为敏感数据泄露而处于危险之中。
许多数据库的读取接口直接暴露在互联网上,而且没有设置完整的访问控制策略,攻击者通过弱密码甚至空密码就可以直接获取数据库的控制权限。数据库勒索是指黑客通过各种攻击手段获取数据库控制权,加密或破坏数据,以此要挟受害者支付赎金。
数据库安全成为2017年的安全热点,我们针对近三年来勒索事件涉及的数据库的中危、高危漏洞进行了统计(见图1.16)。
其中MySQL的漏洞暴露最严重,从增速方面看,除了MySQL 外,PostgreSQL在过去三年里的漏洞也有较快的增长。相比之下,MongoDB、ElasticSearch、Redis、Hadoop等数据库则相对安全,不过漏洞数量有一定程度的增长。从数据库漏洞的发展态势上看,数据库的安全问题也越来越受到关注。
图1.16 中危、高危漏洞统计
根据Identity Theft Resource Center和CyberScout发布的报告,2017年全年有多达1500起数据泄露事件发生,相比2016年发生的1093起增加37%。Loudhouse曾发布的企业安全调查报告也显示,如果价格到位,35%的员工会倒卖包括公司专利、财务记录和客户信用卡等在内的敏感数据(见图1.17)。
图1.17 数据泄露成因
2017年6月,Verizon证实有600万用户的数据被泄露,并表示此次数据泄露是由该公司供应商的一名员工造成的,他因操作失误导致可通过外部进入云存储区域访问信息。同年,Verizon发布的数据泄露调查报告指出,在已发生的数据泄露事件中,有25%是由内部人员造成的。因此,金融行业作为信息泄露高发的行业,应完善敏感信息保护措施,加强内部管理,建立必要的制度与控制机制。
2017年中国私有云市场规模预估已达425亿元左右,到2020年市场规模将达到762.4亿元。有问卷调查显示,我国金融行业约60%的机构使用了云服务,大部分使用的是私有云,也有超过20%的机构使用公有云或者混合云(见图1.18)。在使用云业务时,金融行业最关注的安全风险是数据及隐私保护、业务的访问权限控制(见图 1.19)。
图1.18 企业使用云计算服务比例
图1.19 云计算服务安全风险点
个人数据及隐私安全不仅是企业自身的安全要求,也是国家监管机构越来越重视的方面。如欧盟颁布的《一般数据保护条例》(General Data Protection Regulation,GDPR),于2018年5月25日起实施,要求加强对欧盟所有人的隐私权保护、物联网的隐私权保护,并简化数据保护的管理。而在国内,新颁布的《中华人民共和国网络安全法》和正在制订的《中华人民共和国个人信息保护法》也突出了国家对数据及隐私安全的重视。
1.4.3 业务安全威胁介绍
业务安全威胁来源有很多,如使用不安全的函数或协议,集成了有缺陷的SDK、Web插件、服务器程序,或者业务流程上的逻辑缺陷等。
据数据统计,金融行业中有83.5%的机构或企业都开展了互联网业务。在调查中可以发现,企业机构对业务面临的互联网风险,最关注以下三个方面:
- 自身资产是否存在漏洞;
- 自有资产开放的高危端口与服务情况;
- 是否存在信息泄露风险。
结合金融行业的业务发展现状,本小节重点梳理了Web 攻击、银行机构ATM 与SWIFT 攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。
Web攻击是常见的攻击类型。根据绿盟科技防护数据统计,73.6%的网站遭遇过不同程度的Web类型的攻击,65.9%的网站遭遇过利用特定程序漏洞发起的攻击(见图 1.20)。
图1.20 遭受Web应用攻击的站点占比
在金融行业针对Web服务器的攻击中,攻击次数最多的仍然是一些最常规的攻击手段,包括SQL注入、XPATH注入、跨站、路径穿越、命令注入等,这部分攻击占比超过60%。Web攻击已经成为一个基本的攻击手段,也是各类攻击中相对容易实施的。此外,针对特定的Web 插件、服务器程序的攻击比例也相对较高,企业应该定期维护系统,升级相关的服务器应用(见图1.21)。
从服务器类型上来看,在金融行业中Nginx、IIS、Tomcat服务器是遭受攻击最为频繁的资产类型,在使用这类服务器时应该仔细防护(见图1.22)。
图1.21 Web类攻击类型细分
图1.22 受攻击的Web服务器类型
从服务器系统应用程序的角度来看,针对金融行业的攻击普遍利用的漏洞类型是关键信息泄露,这类漏洞通常是服务器软件配置上的错误造成的,这些信息包括文件在服务器磁盘系统中的位置、系统版本号等。此外,文件类型过滤错误导致的文件执行也是经常出现的漏洞类型,这类攻击造成的危害更为严重,直接可以获取高权限WebShell,为黑客提权控制创造了条件(见图1.23)。
图1.23 Web服务器最常被利用的漏洞类型分布
代码存在缺陷是Web攻击事件逐年增加的主因。参考Fortify官方的表述,根据代码缺陷形成的原因、被利用的可能性和表现出的安全问题等因素进行分析,代码缺陷可分为8类(见图1.24)。
图1.24 常见的代码缺陷分类
在金融行业的信息系统开发环节,仅有32.9%的机构采用SDL 管理,而且调查显示,大部分安全管理工作集中在运维、上线、测试阶段,在需求、设计、编码阶段对安全考虑十分欠缺。
随着消费金融的快速发展,各类金融机构都面临着一个严峻的问题——欺诈。在《2017/18 年度全球反欺诈及风险报告》中提到,中国有86%的受访企业表示2017 年曾遭受欺诈,较全球平均值的84% 高2个百分点(见图1.25)。
图1.25 2017年各行业发生欺诈事件比例
《中国金融反欺诈技术应用报告》指出,2017年第 1 季度,金融服务领域被拒绝的交易相较于2016年增长了40%,相关僵尸攻击的增长幅度为180%;预计到2020年,在线支付欺诈将达256亿美元,而预计到2019年因数据泄露造成的经济损失在全球范围内将达到2.1万亿美元。金融欺诈涉及的业务环节多、手段多样、隐蔽性强,且金融欺诈移动化、组织化程度不断增加,新型金融科技公司逐渐成为欺诈者的目标。
2017年度,针对银行ATM设备的攻击方式有了新发展,攻击者开始利用红外插入式卡槽器展开网络攻击活动。据悉,插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在ATM机卡槽内,用于捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单,但主要通过天线将窃取的私人数据传输至隐藏在 ATM机外部的微型摄像头中,进而收集信用卡或借记卡数据,这些数据之后极有可能被用于伪造信用卡或借记卡以便获取用户资金。
2017年10月,中国台湾“远东银行”SWIFT事件遭盗领6000万美元,警方介入后追回大部分窃款,损失约50万美元。同期,尼泊尔 NIC亚洲银行在类似的SWIFT事件中损失约500万美元。而且这并非银行机构首次遭受黑客攻击,这充分说明银行业金融机构对于反复发生的此类安全事件没有足够重视,且缺乏有效的控制措施。信息安全管理不能只靠运气,建立健全的安全管理体系和有经验的安全团队才是降低风险的正确道路。
在《2017年移动支付用户调研报告》中提到,有59.0%的用户担心移动支付安全问题。用户在使用生物识别技术进行移动支付和交易验证时,首要担心的问题是个人隐私泄露和相关安全隐患,占比分别为77.1%和70.2%。
根据《2017移动互联网支付安全调查报告》,移动支付安全存在的5 大风险是:随意扫码;删除手机应用时不解除银行卡绑定;上网时如实填写各类支付信息;浏览有危险链接的短信或邮件;安装跳出来的不明文件。该报告还指出,有6成以上的被调查者在使用手机时,存在上述不安全行为,由此对个人信息或支付账号安全产生了威胁。因此,作为移动支付的使用者,需要时刻提高警惕,防范各种支付风险。
区块链是一种分布式网络交易记账系统。它具有的开放性、全球性等特点,保证了交易活动可以在任何时间、任何地点进行,突破了传统贸易在时间和空间上的限制,因此被认为在金融、征信、物联网、经济贸易、结算、资产管理等众多领域都拥有广泛的应用前景。2017年,随着国务院把区块链技术列入“十三五”信息化规划,中国的加密货币市场总值也增长了30倍。
《Distributed Ledger Technology & Cybersecurity》报告分析了区块链技术,同时也明示了它所带来的一些挑战,如密钥管理、隐私、智能合约等。该报告指出,传统系统和区块链中使用的一些安全原则虽然是相同的,比如共识劫持和智能合约管理,但是它仍然带来了新的挑战,这值得我们关注。
然而,区块链在不断得到研究、应用的同时,它在技术层面和应用层面依旧存在一定的安全局限,在共识机制、私钥防盗等方面仍需提高安全意识和加强防范措施。
本文截选自《决胜金融安全3.0时代 新金融+新科技+新安全》,李洋 著。
- 讲述金融行业发展及创新基石的时代力作
- 系统阐述金融科技安全理论及实践
- 产业界、学术界、研究界大咖联袂推荐
金融科技目前处于蓬勃发展时期,但对其中涉及的安全、风险识别及解决方案,尚处于摸索和探讨阶段,业界普遍缺少有效、系统、科学、全面的实践方法论和技术体系。有鉴于此,本书给出了一个基于“金融安全3.0”理论框架的金融科技安全指南。
本书主要介绍了金融科技的兴起及挑战、“金融安全3.0”理论及生态、金融网络空间安全、金融云平台安全、移动互联安全、金融系统大数据安全、区块链安全、金融业务应用安全、人工智能安全、金融业务智能风控、智慧城市信息安全、金融行业安全前景展望等内容。
本书可供互联网行业人员、制造业人员、医疗科技行业人员等参考。有志于在金融科技和金融科技安全领域耕耘发展的从业人员、企业高层管理人员以及技术决策人员(CXO等)可在阅读本书的过程中获益匪浅。
