1.4.3 业务安全威胁介绍
业务安全威胁来源有很多,如使用不安全的函数或协议,集成了有缺陷的SDK、Web插件、服务器程序,或者业务流程上的逻辑缺陷等。
据数据统计,金融行业中有83.5%的机构或企业都开展了互联网业务。在调查中可以发现,企业机构对业务面临的互联网风险,最关注以下三个方面:
❍ 自身资产是否存在漏洞;
❍ 自有资产开放的高危端口与服务情况;
❍ 是否存在信息泄露风险。
结合金融行业的业务发展现状,本小节重点梳理了Web攻击、银行机构ATM与SWIFT攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。
1.Web攻击与代码缺陷
Web攻击是常见的攻击类型。根据绿盟科技防护数据统计,73.6%的网站遭遇过不同程度的Web类型的攻击,65.9%的网站遭遇过利用特定程序漏洞发起的攻击(见图1.20)。
图1.20 遭受Web应用攻击的站点占比
在金融行业针对Web服务器的攻击中,攻击次数最多的仍然是一些最常规的攻击手段,包括SQL注入、XPATH注入、跨站、路径穿越、命令注入等,这部分攻击占比超过60%。Web攻击已经成为一个基本的攻击手段,也是各类攻击中相对容易实施的。此外,针对特定的Web插件、服务器程序的攻击比例也相对较高,企业应该定期维护系统,升级相关的服务器应用(见图1.21)。
图1.21 Web类攻击类型细分
从服务器类型上来看,在金融行业中Nginx、IIS、Tomcat服务器是遭受攻击最为频繁的资产类型,在使用这类服务器时应该仔细防护(见图1.22)。
图1.22 受攻击的Web服务器类型
从服务器系统应用程序的角度来看,针对金融行业的攻击普遍利用的漏洞类型是关键信息泄露,这类漏洞通常是服务器软件配置上的错误造成的,这些信息包括文件在服务器磁盘系统中的位置、系统版本号等。此外,文件类型过滤错误导致的文件执行也是经常出现的漏洞类型,这类攻击造成的危害更为严重,直接可以获取高权限WebShell,为黑客提权控制创造了条件(见图1.23)。
图1.23 Web服务器最常被利用的漏洞类型分布
代码存在缺陷是Web攻击事件逐年增加的主因。参考Fortify官方的表述,根据代码缺陷形成的原因、被利用的可能性和表现出的安全问题等因素进行分析,代码缺陷可分为8类(见图1.24)。
图1.24 常见的代码缺陷分类
在金融行业的信息系统开发环节,仅有32.9%的机构采用SDL管理,而且调查显示,大部分安全管理工作集中在运维、上线、测试阶段,在需求、设计、编码阶段对安全考虑十分欠缺。
2.业务欺诈
随着消费金融的快速发展,各类金融机构都面临着一个严峻的问题——欺诈。在《2017/18年度全球反欺诈及风险报告》中提到,中国有86%的受访企业表示2017年曾遭受欺诈,较全球平均值的84%高2个百分点(见图1.25)。
图1.25 2017年各行业发生欺诈事件比例
《中国金融反欺诈技术应用报告》指出,2017年第1季度,金融服务领域被拒绝的交易相较于2016年增长了40%,相关僵尸攻击的增长幅度为180%;预计到2020年,在线支付欺诈将达256亿美元,而预计到2019年因数据泄露造成的经济损失在全球范围内将达到2.1万亿美元。金融欺诈涉及的业务环节多、手段多样、隐蔽性强,且金融欺诈移动化、组织化程度不断增加,新型金融科技公司逐渐成为欺诈者的目标。
3.ATM与SWIFT攻击
2017年度,针对银行ATM设备的攻击方式有了新发展,攻击者开始利用红外插入式卡槽器展开网络攻击活动。据悉,插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在ATM机卡槽内,用于捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单,但主要通过天线将窃取的私人数据传输至隐藏在ATM机外部的微型摄像头中,进而收集信用卡或借记卡数据,这些数据之后极有可能被用于伪造信用卡或借记卡以便获取用户资金。
2017年10月,中国台湾“远东银行”SWIFT事件遭盗领6000万美元,警方介入后追回大部分窃款,损失约50万美元。同期,尼泊尔NIC亚洲银行在类似的SWIFT事件中损失约500万美元。而且这并非银行机构首次遭受黑客攻击,这充分说明银行业金融机构对于反复发生的此类安全事件没有足够重视,且缺乏有效的控制措施。信息安全管理不能只靠运气,建立健全的安全管理体系和有经验的安全团队才是降低风险的正确道路。
4.移动支付安全
在《2017年移动支付用户调研报告》中提到,有59.0%的用户担心移动支付安全问题。用户在使用生物识别技术进行移动支付和交易验证时,首要担心的问题是个人隐私泄露和相关安全隐患,占比分别为77.1%和70.2%。
根据《2017移动互联网支付安全调查报告》,移动支付安全存在的5大风险是:随意扫码;删除手机应用时不解除银行卡绑定;上网时如实填写各类支付信息;浏览有危险链接的短信或邮件;安装跳出来的不明文件。该报告还指出,有6成以上的被调查者在使用手机时,存在上述不安全行为,由此对个人信息或支付账号安全产生了威胁。因此,作为移动支付的使用者,需要时刻提高警惕,防范各种支付风险。
5.区块链安全
区块链是一种分布式网络交易记账系统。它具有的开放性、全球性等特点,保证了交易活动可以在任何时间、任何地点进行,突破了传统贸易在时间和空间上的限制,因此被认为在金融、征信、物联网、经济贸易、结算、资产管理等众多领域都拥有广泛的应用前景。2017年,随着国务院把区块链技术列入“十三五”信息化规划,中国的加密货币市场总值也增长了30倍。
《Distributed Ledger Technology & Cybersecurity》报告分析了区块链技术,同时也明示了它所带来的一些挑战,如密钥管理、隐私、智能合约等。该报告指出,传统系统和区块链中使用的一些安全原则虽然是相同的,比如共识劫持和智能合约管理,但是它仍然带来了新的挑战,这值得我们关注。
然而,区块链在不断得到研究、应用的同时,它在技术层面和应用层面依旧存在一定的安全局限,在共识机制、私钥防盗等方面仍需提高安全意识和加强防范措施。