联系方式CONTACT 

当前位置: 主页 > 产品案例 >

尊龙d88

【产业观察】2017 金融科技安全分析报告

来源:http://www.vidsr.com 责任编辑:尊龙d88 更新日期:2018-10-07 19:29

  在 2017 年 8 月 22 日,世界经济论坛发 布了报告《超越金融科技:全面评估金融服 务的颠覆潜力》 。该报告涵盖了数百位金 融、科技领域专家的访谈内容,旨在探索创 新对全球金融生态系统的影响。报告对驱动 Fintech 创新的 8 大因素及其颠覆潜力进行了 定义;同时总结出在 Fintech 冲击下,支付、 信贷、财富管理、保险、数字银行等 7 大金 融领域未来的创新模式和路径,以及每个领 域所面临的风险和可能的终局。近年,依托 云计算、大数据、人工智能、区块链等先进 的计算机技术的发展,金融服务也趋于多样 化、便利化、智能化。金融科技的出现频率 正在高速增长,技术变革与创新加速,至今 已经步入金融科技 3.0 时代。

  天下熙熙皆为利来,天下攘攘皆为利往, 逐利更是攻击者的天性。随着金融科技日渐成 为金融产品的重要支撑手段,攻击者也在不断 丰富其攻击目标和攻击手段,以图提升自身的攻击变现能力。一方面,攻击者对金融科技系 统的渗透逐步深入,从网络服务、金融业务逐 步深入到核心业务数据、用户财产和隐私。攻 击者不再满足于危害金融系统的可用性,更青 睐从贩卖数据和资产转移中直接获利。另一方 面,攻击者不局限于传统针对信息系统的攻击, 愈多从人员的角度迂回渗透,勾结内部人员进 行数据倒卖。Loudhouse 曾发布的企业安全调查 报告显示,如果价格到位,35% 的员工会倒卖 包括公司专利、财务记录和客户信用卡等敏感 数据。这一调查事实也侧面应证在网络安全、 业务安全和数据安全之外,环亚国际手机登录2018军队文职招聘:文职...,人员安全同样也应 引起足够重视。

  对于以金融科技为目标的攻击者,获利是 他们的核心诉求。那么对于金融科技安全从业 者而言,在传统的以脆弱点和检测点为核心的 防护方案之外,更应从获利点出发,逆向分析, 进而组织自身的防护体系。

  (1) 金融行业已经大幅度互联网化,83.5% 的机构或企业都开展了互联网业务。金融行业约 60% 的机构使用了各类云服务,大部分使用 的是私有云,也有超过 20% 的机构使用公有云 或者混合云。金融行业使用云业务时最关心的 风险除了数据及隐私保护外,也十分关注业务 的访问权限控制。

  (2) 40% 金融行业机构对安全事件的处置可 以在一天内完成,另外 39.9% 能在一周内完成, 约 20% 对安全事件处置超过一周。同时,漏洞 修补时间近半数超过一周。

  (3) 从问卷统计中,我们认为安全事件的最 主要成因是安全意识淡薄和运维投入不足,这 或许是安全管理各类问题的根源所在。缺乏基 本的安全意识,安全投入自然不足,同时安全 管理制度上也会不够完善,导致数据安全、隐 私保护等方面出现问题。

  (4) 金融行业从业者最关心的安全问题集中 在数据安全与隐私保护,而合规性要求也是企 业关注安全问题的一个重要考量。但我们需要 指出,安全措施是一个整体的规划,并不是一 个方面或者某个领域的单一问题,需要从开发、 管理、运维等各个生产环节进行规划,不是一 台设备、一次巡检能够彻底解决的,为了更好 的进行保护数据安全与隐私,需要有完善的配 套管理流程、防护方案。

  (5) 对于安全服务,业务量最大的服务包括 安全咨询、安全运维、应急响应服务,从问卷 统计中我们认为,金融行业仍然普遍缺乏安全 管理的知识和经验,在安全培训、人才储备上 需要加强。

  (6) 从来年的规划中,我们看到企业开始关 注信息安全问题,并且开始制定采购包括威胁情报在内的更加高级的安全服务。另外,大部 分企业(71.3%)会加大预算的投入,但只有少 部分(21%)企业打算扩招自己的安全团队。这 应该是由于近年来互联网业务高速发展、企业 业务复杂度大幅提升、新技术频出、攻击态势 演变更加迅猛而促使企业采取应对举措。企业 为了维护自身业务安全,需要技术、人员两方 面的支持,不过大部分企业仍然倾向于通过业 务外包来减轻自己管理规划的负担。

  (1) 2017 年与去年同期相比,攻击发生次数 基本保持平稳,共计发生 20.7 万次,同时攻击 总流量大幅上升,峰值高达 1.4Tbps。

  (2) 在 2017 年的 DDoS 攻击中,来自 IoT 设 备的攻击比例达到 12%,已经成为 DDoS 网络环 境中需要重点关注的一个类别。

  (3) 2017年Botnet的数量和规模在不断扩大。 其中,C&C(僵尸网络控制者)的数量持续不断 增长,在进入 8 月份后增速明显,10 月份环比 增长达到 1.67%。同时,全球受控主机的数量间 歇性增长,8 月份的数量环比上月增长高达 3 倍 (增长 320%)。

  (4) 网络勒索事件频发,“无敌舰队”(Armada Collective) 和“Opicarus2017” 等 多 起 事 件 利 用 勒索病毒进行攻击,危及大量金融机构的网站 安全,并导致敏感数据泄露。

  (5) MySQL 的漏洞暴露情况最为严重, MySQL 和 PostgreSQL 在过去三年里的漏洞数量 有着较快的增长。

  本报告将结合内外数据和相关行业、安全 报告,从互联网的角度重点分析金融行业的网 络安全状况。报告将简单回顾金融科技的发展 历程和趋势,重点介绍典型的网络安全威胁、 数据安全威胁和业务安全威胁,并结合各环节 中的典型安全案例和《2017 中国企业金融科技 安全调查问卷》,分析金融科技机构的安全现 状及面临的安全趋势。金融行业要持续、健康 地发展,必定不可忽视安全问题。作为报告的 编纂方,平安金融安全研究院与绿盟科技希望 本报告能为我国金融业从业机构提供一个可参 考的安全视角,为我国金融业的健康发展贡献 一份薄力。

  传统金融只具备存款、贷款和结算三大传 统业务的金融活动,传统金融机构在面对市场竞 争时的应对能力明显不足。随着互联网的发展, 互联网金融时期来临,金融业搭建在线业务平 台,通过互联网渠道收集用户信息,完成业务 处理。传统金融加科技服务,这是金融科技 1.0 阶段。金融科技 2.0 则是向服务金融科技转化, 通过底层技术革新促使金融服务的方式发生变 革,重塑金融产品的生成模式和定价模式,极 大提升资产配置效率。其典型应用有智能投顾、智能信贷、供应链金融等。金融科技不断发展, 同时也面临着越来越多的安全威胁,安全事件 频发,对业务造成资金损失和极大的负面影 响,关注金融安全将是金融科技 3.0 时代的重 中之重。

  金融科技涉及领域广泛,应用场景多元。 大数据、人工智能、区块链和云计算作为金融 科技核心技术,使金融服务更加高效、智能, 已在许多场景展露头角。

  金融科技天生拥有创新基因,对行业与经 济、民生是有益的,但插上科技翅膀的金融, 具有更强、更广和更快的易破坏性,因而尤其 需要引导和规范。近年,在国际上,美国、英 国、欧盟等相继发布金融科技监管文件,以平 衡发展需求。而国内也已加快金融监管机构、 法律法规等的建设,如 2017 年 5 月,中国人 民银行成立金融科技(FinTech)委员会,旨 在加强金融科技工作的研究规划和统筹协调。 从总体上看,国家监管者对金融科技发展持开 放态度,但同时对于金融科技风险的重视程度 也逐年增强,预计未来几年,国内监管机构将采取更为主动积极的监管措施,以防范大型金 融风险。

  金融科技技术的发展大力推动了金融服务 领域的拓展和维度,其面临的安全威胁也与日 俱增。美国 Cybersecurity Ventures 发布的《2017 年度网络犯罪报告》1中指出:网络犯罪是当今 世界上所有公司面临的最大威胁,也是人类面 临的最大问题之一。根据这份报告,到 2021 年 为止,网络犯罪的成本将从 2015 年的 3 万亿美 元增加到 6 万亿美元。众所周知,金融行业是 我国网络安全重点行业之一,因其行业特殊性 金融机构一直是网络犯罪的主要目标。以下, 我们将通过 2017 年金融行业的重大安全事件说 明安全威胁可能造成影响及损失。

  分布式拒绝服务 (DDoS: Distributed Denial of Service) 攻击指借助于客户 / 服务器技术,将多 个计算机联合起来作为攻击平台,对一个或多 个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。

  2017 年 6 月相继发生的“匿名者”和“无敌舰队”勒索事件,是对金融机构发起大规模 DDoS 攻击。显而易见,拒绝服务攻击已是当前 金融领域极为常见的安全威胁,金融作为对安 全性和稳定性都要求极高的行业,一旦服务瘫 痪,资产管理系统中断,将会造成难以弥补的损失。

  2017 年同去年同期相比,攻击发生次数基 本保持平稳,共计发生 20.7 万次。但是从攻击 总流量上来看有较为明显的波动,从年初到年 中 5 月份前后,攻击总流量有非常显著的增长, 而 5 月份之后攻击总流量回落至较为平稳的水 平。与 2016 年相比,2017 攻击仍然频繁,攻击 总流量大幅上升。

  从类型上看,2017 年攻击次数占比最高的 攻击类型仍然为反射型攻击,实施这类攻击, 黑客只需要拥有很少的带宽,就能经过放大产 生显著的攻击流量。从攻击流量的上看,SYN Flood 2017 年度占比突出超过 60%。综合 2017 年度网络环境分析,绿盟认为与 2017 年度物联 网僵尸网络的扩张大有较大的关系,物联网设 备基数大、防护弱、长时间在线的特点,天然 就是 DDoS 攻击发动的温床。

  流量持续攀升似乎已经不是什么新的态势, 从近两年的报告中都可以看到,每个月都会出 现超过百 G bps 的流量,最高的时候流量已经出 于 T bps 的级别,2017 年度攻击最频繁的 5 月, 攻击最高的峰值更是达到了 1.4Tbps 的级别,这 种“巨无霸”攻击,一次一次挑战着防御者的 能力上线 DDoS攻击流量分布

  另外,从流量的区间分布来看,大流量攻 击明显增多,也是 2017 年度一个显著的趋势。

  在 2017 年的 DDoS 攻击中,攻击源中 IoT 设备的数量已经占据相当的比例,在或大或小 规模的 DDoS 攻击中 IoT 设备都有显著的占比, 已经成为 DDoS 网络环境中需要重点关注的一个 类别。从网络总体态势来看,物联网迅猛发展的过程中必然伴随着安全技术的滞后,可预期 IoT 设备的威胁会进一步提上治理日程,而作为 最易实施的攻击类型之一,DDoS 攻击中 IoT 设 备的数量会进步增长。

  在 IoT 设备参与 DDoS 的攻击中,路由器、 摄像头是主要的设备类型。这与这两年 IoT 发展 的情况基本是一致的,大量的路由器、网络摄 像头被引入生产、生活环境,而安全配套措施 尚未进一步完善,可以合理预期的是在物联网 攻击这个领域会有更多的攻击形式出现。从统 计数字上看,摄像头 IP 的恶意 IP 比例约 4.8%。 而归属中国的 IP 中恶意 IP 比例为 1.57%,摄像 头恶意 IP 比例是普通 IP 的 3 倍,是值得特别关 注的。

  网络勒索(cyberextortion)是一种犯罪行为, 它对企业造成攻击事实或攻击威胁,同时向企 业提出金钱要求来避免或停止攻击。拒绝服务(DoS)攻击是过去最常见的网络勒索方式。近年, 网络犯罪已经开发出可以用来加密受害人数据 的勒索软件(ransomware),然后攻击者利用解 密密钥向受害人索取钱财。

  2017 年 6 月, “无敌舰队”勒索事件再次 上演,许多金融机构收到勒索邮件,被要求支 付10比特币(市值约20万人民币)作为保护费。 同月,“匿名者”向全球金融机构发起代号为 “Opicarus2017”的攻击,中国人民银行、香港 金融管理局等超过 140 个金融机构都在其攻击 列表中。根据欧洲网络与信息安全局 (ENISA) 的 报道2:2017 年 8 月底至 2017 年 9 月上旬,攻

  击者利用勒索病毒劫持超过 26000 个数据库并 要求赎金。现今,对互联网服务的勒索攻击已 经成为一种网络攻击趋势,平均每天有 4000 起 勒索软件攻击。面对这一系列攻击,适当地保 护互联网服务,遵循最佳做法是至关重要的安 全措施。

  据绿盟科技威胁情报中心(NTI)监测的数 据显示,2017 年 Botnet 活动仍然十分猖獗,尤 其 Q2 季度更是 Botnet 活动的高发期。根据绿盟 监控的僵尸网络 C&C 攻击指令数据,在 Botnet 活动最高峰时期,平均每天共发出 5187 次指令, 单个 C&C 每天发出的指令最高达 114 次。

  2017 年 Botnet 的数量和规模在不断扩大。 其中,C&C 的数量持续不断增长,进入 8 月 份后增速明显,10 月份环比增长达到 1.67%。 另一方面,全球受控主机的数量间歇性增长, 8 月份的数量环比上月增长高达 3 倍(增长 320%)

  物联网和智能、移动设备构成的 Botnet 开 始对 Botnet 战场的形势产生新的影响。我们持 续跟踪的 Botnet 中,至少存在 4% 的样本攻击 目标为物联网设备。虽然 Botnet 形式还是以 Windows 平台的设备为主,但是近年来,随着 IoT 设备、智能设备、移动设备的入网,我们 认为针对 IoT 或其他智能、移动设备的恶意样 本会越来越多。

  对于 PC 用户,通过邮件、“水坑”站点或 者在软件安装包中捆绑恶意代码都是很有效的 入侵手段,而对于物联网设备来说,其在线时 间长、用户普遍疏于升级和配置、数量规模大,

  黑客通过简单扫描就可以捕获大量存在漏洞的 设备。今年 10 月绿盟科技威胁情报中心(NTI) 发现并命名的机顶盒蠕虫 Rowdy,就是利用了 机顶盒存在的脆弱性在国内互联网上大规 模 传 播。另外,绿盟科技关注到出现了一些 Botnet 家族攻击的目标是 Android 平台的设 备, 典 型 的 家 族 包 括:Dendroid、FlexiSpy、 GMbot 等, Botnet 俨然是一个全平台存在的互 联网威胁。

  正如在前文提到的,Botnet 持续不断的追求 规模的扩张,通过俘获大量设备提升自身攻击 的能力,IoT 设备具有的脆弱性使其成为理想的 切入点。但是贪婪的黑客们野心并未停止,我 们观察到有的 Botnet 已经具备了跨平台的能力, 他们在兼具自传播的特点时,同时能够根据设 备类型,植入对应平台的程序来获取控制权限, 进一步提升了自己的传播能力。下面是几个典

  从 Botnet 采用的程序语言上,也可以发现 跨平台的趋势。C 语言和脚本语言具有良好的跨 平台能力,无论在 arm 架构的嵌入式系统中, 在 linux、Windows 系统中都有良好的适应能力。 在此基础上构建的 Botnet 程序,可以具备跨平 台传播运行的能力。

  另外,脚本语言的编写相对比较容易,可 以更加快速高效地实现一个新的 Botnet 程序。

  较低的门槛、快速的收益吸引着更多的黑客加 入进来,使得网络中 Botnet 的威胁形势更加严峻。 2017 年 9 月,众多网站发现其网页内嵌了挖矿 Java 脚本,一旦用户进入网站,JS 脚本就 会自动执行,占用大量机器资源挖取数字加密 货币,导致电脑异常卡顿1。挖矿病毒就是僵尸 网络的一种。

  2017 年是挖矿木马僵尸网络大规模爆发 的一年,出现了“Bondnet”、“Adylkuzz”、 “隐匿者”等多个大规模挖矿木马僵尸网络, 而其中很大一部分挖矿木马僵尸网络来自于 中国。金融、运营商及互联网等众多行业均 有相关安全事件发生。2017 年 12 月底有安 全公司发布预警称“知名激活工具 KMSpico 内含挖矿病毒”。据绿盟安全专家分析,原 作者的官方版本并不含挖矿病毒,而是黑客 利用搜索引擎排名假冒克隆 KMSpico 的网页, 发布捆绑挖矿软件在内的多种病毒,诱导用 户下载,进而窃取用户隐私信息或利用用户 电脑挖矿谋取暴利。

  高 级 长 期 威 胁( 英 语:advanced persistent threat,缩写:APT),又称高级持续性威胁、 先进持续性威胁等,是指隐匿而持久的电脑入 侵过程,通常由某些人员精心策划,针对特定 的目标。其通常是出于商业或政治动机,针对 特定组织或国家,并要求在长时间内保持高隐 蔽性。在过往的监控中,实现政治诉求的 APT 居 多,例如伊朗“震网”事件、白俄罗斯军事通 讯社事件,随着时间迁移,APT 概念和技术开 始被行业熟知,各种层面的对抗也更加复杂。 2017 年 NSA“方程式组织”与 CIA 网络情报机 构的武器库泄露,为整个黑色产业链条提供了大 量有价值的“弹药”,更多的组织、个人可以 利用更加成熟的技术实施高级攻击。APT 攻击 相较普通的攻击手法,实施难度和成本都更高, 除了国家资助下政府间的对抗外,受到巨大的 利益驱使,金融行业首当其冲成为攻击的目标, 2017 年绿盟科技发现的境外 APT-C1 组织就是 利用“互金大盗”恶意软件攻击我国某互金平台, 窃取平台数字资产就是一起典型针对金融行业 新型业务所采取的 APT 攻击事件。

  金融行业与其他行业一样,都在面对技术 的革新和升级,一方面带来了更多的便利性, 另一方面势必导致许多潜在的风险,但是与其 他行业不同的是,金融行业的资产天生比其他 行业具有更直接的价值,对于 APT 风险,金融 行业需要特别关注。

  近年,大规模数据泄露事件猛增,2017 年 前 11 个月的数据泄露事件起数已比 2016 年全 年总数多出 10% 1。美国知名信用机构 Equifax在 9 月份透露,曾遭黑客袭击,导致 1.43 亿名 用户的信息泄露2

  ;科技公司 Uber 则在 11 月发 现,5700 万名乘客和司机的信息在 2016 年一次 大规模数据泄露事件中被黑客窃取。数据泄露 的目标除了政府机构和金融机构,已经扩大到 第三方承包商、数据集成商、以及安全厂商和 解决方案提供商自身,越来越多企业和个人将 可能因数据泄露而处于危险之中。数据库漏洞与利用

  2017 年 1 月至 2 月其间发生了多起知名的 数据库勒索事件。很多数据库的读取接口直接 暴露在互联网上,并且没有设置完整的访问控 制策略,通过弱密码甚至空密码就可以直接获 取数据库的控制权限。数据库勒索主要通过黑 客手段获取数据库控制权,加密或破坏数据, 以此要挟受害者支付赎金。数据库安全成为 2017 年的安全热点,我们 针对涉及到的数据库近三年来中、高危漏洞进 行了统计。

  其中 MySQL 的漏洞暴露最严重,从增 速方面看,除了 MySQL,PostgreSQL 在过去 三年里的漏洞也有较快的增长。相比之下, MongoDB、Elasticsearch、Redis、Hadoop 等 数据库则相对安全性,不过仍有一定程度的 增长从数据库漏洞的发展态势上看,数据库 的安全问题也越来越受到关注,也许基于基 于漏洞利用的数据库劫持事件将在不远的将 来出现。

  根 据 Identity Theft Resource Center 和 CyberScout 发布的报告1,预计 2017 年全年将会 有多达 1500 起数据泄露事件发,相比 2016 年发 生的 1093 起增加 37%。Loudhouse 曾发布的企 业安全调查报告2也显示,如果价格到位,35% 的员工会倒卖包括公司专利、财务记录和客户 信用卡等敏感数据。2017 年 6 月,Verizon 证实有 600 万用户的 数据被泄露,并表示此次数据泄漏是由该公司供 应商的一名员工造成的,他因操作失误导致外 部可进入云存储区域访问信息。同年,Verizon 发布数据泄露调查报告指出,已发生的数据泄 露事件中,有 25% 是由内部人员造成的。因此, 金融行业作为信息泄露高发的行业,应完善敏 感信息保护措施,加强内部管理,建立必要的

  2017 年中国私有云市场规模达预估已达 425 亿元左右,到 2020 年市场规模将达到 762.4 亿元4 。而本次问卷调查显示,我国金融行业约 60% 的机构使用了各类的云服务,大部分使用 的是私有云,也有超过 20% 的机构使用公有云 或者混合云。金融行业使用云业务最关心的风 险除了数据及隐私保护外,也十分关注业务的 访问权限控制。

  个人数据及隐私安全不仅是企业自身的 安全要求,也是国家监管者越来越重视的方 面。如欧盟颁布的《一般数据保护条例》, 将于 2018 年 5 月 25 日起实施,要求加强对 欧盟所有人的隐私权保护、物联网的隐私权 保护,并简化数据保护的管理。而在国内, 新颁布的《网络安全法》和正在制订的《个 人信息保护法》也突出了国家监管者对数据 及隐私安全的重视。

  业务安全威胁来源有很多,如使用不安全 的函数或协议,集成了有缺陷的 SDK、Web 插件、 服务器程序,或者业务流程上的逻辑缺陷等。依据本次问卷收集数据统计,金融行业已 经大幅度互联网化,83.5% 的机构或企业都开展 了互联网业务。在互联网业务中,Web 类的攻 击显得非常突出,在安全管理中,企业机构非 常关注三方面的问题:1、自身资产是否存在漏 洞 2、自有资产开放高危端口与服务情况 3、是

  否存在信息泄露风险。结合金融行业业务发展 现状,业务安全威胁重点梳理了 Web 攻击、银 行机构ATM与SWIFT攻击威胁、金融欺诈威胁、 移动支付威胁、区块链安全威胁。

  在金融行业的信息系统开发环节,仅有 32.9% 的机构采用 SDL 管理,而且调查显示, 大部分安全管理工作集中在运维、上线、测试 阶段,在需求、设计、编码阶段对安全考虑十 分欠缺。

  Web 攻击是常见的攻击类型。根据绿盟防 护数据统计,73.6% 的网站遭遇过不同程度的 Web 类型的攻击,65.9% 的网站遭遇了利用特定 程序漏洞进行的攻击。

  在金融行业中,针对 Web 服务器的攻击 中,攻击次数最多的仍然是一些最常规的攻击 手段,包括 SQL 注入、XPATH 注入、跨站、 路径穿越、命令注入等,这部分攻击占比超过 60%。Web 攻击已经成为一个基本的攻击手段, 也是各类攻击中相对容易实施的。此外针对特

  定的 Web 插件、服务器程序的攻击比例也相对 较高,企业应该定期维护系统,升级相关的服 务器应用。

  型过滤错误导致的文件执行也是经常出现的漏 洞类型,这类攻击造成的危害更为严重,直接 可以获取高权限 webshell,为黑客提权控制创造 了条件。

  从服务器类型上来看,在金融行业中 Nginx、IIS、Tomcat 服务器是遭受攻击最为频 繁的资产类型,在使用这类服务器时应该仔细 防护。

  从服务器系统应用程序的角度,针对金融 行业的攻击中普遍针对的漏洞类型是关键信息 泄露,这类漏洞通常是由于服务器软件配置上 的错误造成,这些信息包括文件在服务器磁盘 系统中位置

  、系统版本号等不一而同,能够提 供进一步入侵所需的各种资料。此外,文件类型过滤错误导致的文件执行也是经常出现的漏 洞类型,这类攻击造成的危害更为严重,直接 可以获取高权限 webshell,为黑客提权控制创造 了条件。图 19 Web 服务器最常被利用的漏洞类型分布

  代码存在缺陷是 Web 攻击事件逐年增加 的主因。参考 Fortify 官方的表述,根据代码 缺陷形成的原因、被利用的可能性和表现出 的安全问题等因素进行分析,将代码缺陷分 为八类:

  随着消费金融的快速发展,各类金融机构 都面临着一个严峻的问题:欺诈。在全球风险 管理咨询公司 Kroll 发表的《2017/18 年度全球反欺诈及风险报告》1中,中国有 86% 的受访企业 表示 2017 年曾遭受欺诈,较全球平均值的 84% 略高 2 个百分点。

  《中国金融反欺诈技术应用报告》2指出, 2017 年第一季度,金融服务领域被拒绝的交易 相较于 2016 年增长了 40%,相关僵尸攻击的年 同比增长幅度为 180%;预计到 2020 年,在线 年因 数据泄露造成的经济损失在全球范围内将达到 2.1 万亿美元。金融欺诈设计的业务环节多、手 段多样、隐蔽性强,金融欺诈移动化、组织化 程度不断增加,新型金融科技公司愈渐成为欺 诈者的目标。

  2017 年度,针对银行 ATM 设备的攻击方 式有了新发展,利用红外插入式卡槽器展开网 络攻击活动。据悉,插入式卡槽器是一款采用 短距离红外通信技术的超薄微型设备,隐藏在ATM 机卡槽内捕获信用卡数据并存储在嵌入式 闪存中。虽然该设备构造简单,但主要通过天 线将窃取的私人数据传输至隐藏在 ATM 机外部 的微型摄像头中,进而收集信用卡或借记卡数 据,之后极有可能被用于伪造信用卡或借记卡 后获取用户资金。

  2017 年 10 月份,台湾远东银行 SWIFT 事 件遭盗领 6000 万美元,警方介入追回大部分脏 款,损失约 50 万美元。ag88环亚娱乐,同期,泊尔 NIC 亚洲银 行没有那么好的运气,在类似的 SWIFT 事件中 损失约 500 万美元。而且,这并非银行机构首 次遭受黑客攻击,充分说明银行业金融机构对 于反复发生的此类安全事件没有足够重视,且 没有有效的控制措施。信息安全管理不能只靠 运气,建立健全的安全管理体系和有经验的安 全团队才是降低风险的正确道路。

  中国支付清算协会移动支付和网络支付应 用工作委员会发布了《2017 年移动支付用户调 研报告4 中指出:有 59.0% 用户担心移动支付安 全问题。用户在使用生物识别技术进行移动支付 身份识别和交易验证时,首要担心的问题是个 人隐私泄露和存在安全隐患,占比分别为 77.1% 和 70.2%。根据中国银联发布的《2017 移动互联网支 付安全调查报告》5,移动支付安全存在的 5 大 风险是:随意扫码;删除手机应用 APP 时不解

  除银行卡绑定;上网时如实填写各类支付信息;看有链接的短信或邮件;安装跳出来的不明文 件。因此,作为移动支付的使用者,需要时刻 提高警惕,防范各种支付风险。中国银联的报 告还指出,被调查者中,超过 6 成被访者在使 用手机时,存在不安全行为,对个人信息或支 付账号安全产生威胁。如,49% 的用户在删除 手机应用程序时,不解除银行卡绑定。因此, 作为移动支付的使用者,需要时刻提高警惕, 防范各种支付风险。

  区块链是一种分布式网络交易记账系统。 它具有的开放性、全球性的特点,保证了交易 活动可以在任何时间、任何地点进行,突破了 传统贸易在时空上的限制。因此被认为在金融、 征信、物联网、经济贸易结算、资产管理等众 多领域都拥有广泛的应用前景。2017 年,随着 国务院把区块链技术列入在“十三五”规划2, 中国的加密货币市场总值也增长了 30 倍。在 ENISA 发 布 的《Distributed Ledger Technology & Cybersecurity》3报告中分析了区块 链技术,同时也明示了它所带来的一些挑战: 如密钥管理,隐私,智能合约等。报告指出, 传统系统和区块链中使用的一些安全原则虽然 是相同的,但是它仍然带来了新的挑战值得我 们去关注,比如共识劫持和智能合约管理。

  然而,在区块链不断得到研究、应用的同 时,在技术层面和应用层面依旧存在一定的安 全局限,在共识机制、私钥防盗等方面仍需提 高安全意识和加强防范措施。2018 年 2 月,132 名投资者向日本加密交易所 Coincheck 提起诉讼, 要求其赔偿 2.28 亿万日元(约 200 万美元)损失, 原因是 Coincheck 在 1 月下旬曾遭受黑客重大攻 击,导致价值超过 5.23 亿美元的 NEM 被盗。有 投资者认为事件是 Coincheck 对“安全措施的忽 视”造成的。

  金融科技是金融业务创新的一个模式,在 这个模式中,通过科技的力量极大的改变和提 升了金融业务在普惠性、便捷性、差异性、灵 活性等方面的发展和建设程度。回顾人类的历 史,科学技术通常带有创造和毁灭的两面性, 对于金融业这样一个特殊的行业,必须实时保 持对风险的警惕和防范控制。在 2017 年的“全 国金融工作会议“上,习主席特别强调防控金融风险是当前的一项主要工作任务。因此 在金融科技这样一个创新模式中行业机构必须 重视科技本身以及在其利用和使用过程中所携 带和面对的安全隐患。

  本报告结合最新的案例和丰富的情报来源, 以金融科技面临网络安全威胁、数据安全威胁 和业务安全威胁作为切入点,直观地分析了各 类威胁的现状及趋势,在分析 DDOS、web 类攻 击和数据库漏洞利用等传统威胁的同时,更加 着重对移动互联网、云计算、区块链等新技术 所带来安全威胁进行分析。从分析中可见,金 融科技要持续、健康地发展,安全问题必不可 忽视,需要从安全意识教育、安全设备部署、 安全服务引入、安全人才储备、安全预算投入 等方面提升整体安全能力。

  按照 2017 年的“全国金融工作会议“的要 求,一切金融业务都要纳入监管,因此金融机 构在发展和应用金融科技的同时必须严格依据 和满足国家监管要求,不能一味追求追求创新。 金融科技的风险诚如前面报告分析所示,包括 了诸多的方面,既有持续出现的传统网络安全 威胁也有新兴的网络安全威胁。综合考虑这些 风险的危害范围、危害程度以及金融机构的应 对防护现状,我们认为针对金融科技风险,金 融机构需要在未来关注以下六个方面:- 新的监管合规要求

  - 内部的安全培训提高内部人员安全意识,加强开发安全标 准、安全部署与管理等方面的意识和技能培养。

  - 高风险网络攻击应对 DDOS 攻击、WEB 攻击、有组织的APT 攻击、欺诈与勒索等潜在安全威胁。

  一方面要切实遵循国内外数据及隐私安全 监管条例,另一方面加强企业数据保护及防范 数据倒卖风险的能力。

  平安金融安全研究院,是由平安集团旗下的 全资子公司平安科技成立的业界首家综合性的 金融安全研究及创新机构,为平安集团、行业、 国家提供强有力的金融安全技术支撑,推动和 引领我国在金融安全方面的科学技术进步,打 造金融安全品牌。

  北京神州绿盟科技有限公司成立于 2000 年 4 月,总部位于北 京。在国内外设有 40 多个分支机构,为金融、 政府、运营商、能源、互联网以及教育、医 疗等行业用户,提供具有核心竞争力的安全 产品及解决方案,帮助客户实现业务的安全 顺畅运行。

  本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载。

  ···························································返回搜狐,查看更多