2017金融科技安全分析报告 十足干货不可错过！

近日，“平安金融安全研究院”和“绿盟科技”发布了《2017金融科技安全分析报告》。该报告不仅对金融科技进行了介绍，而且详细阐述了金融科技所面临的网络安全威胁、数据安全威胁、业务安全威胁等。

　　1. 执行摘要

　　随着金融科技日渐成为金融产品的重要支撑手段，攻击者也在不断丰富其攻击目标和攻击手段，以图提升自身的攻击变现能力。一方面，攻击者对金融科技系统的渗透逐步深入，从网络服务、金融业务逐步深入到核心业务数据、用户财产和隐私。攻击者不再满足于危害金融系统的可用性，更青睐从贩卖数据和资产转移中直接获利。另一方面，攻击者不局限于传统针对信息系统的攻击，愈多从人员的角度迂回渗透，勾结内部人员进行数据倒卖。Loudhouse 曾发布的企业安全调查报告显示，如果价格到位，35% 的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。这一调查事实也侧面印证在网络安全、业务安全和数据安全之外，人员安全同样也需要重视。

　　对于以金融科技为目标的攻击者，获利是他们的核心诉求。那么对于金融科技安全从业者而言，在传统的以脆弱点和检测点为核心的防护方案之外，更应从获利点出发，逆向分析，进而组织自身的防护体系。

　　安全现状：

　　金融行业经大幅度互联网化，83.5% 的机构或企业都开展了互联网业务。金融行业约

　　60% 的机构使用了各类云服务，大部分使用的是私有云，也有超过 20% 的机构使用公有云或者混合云。金融行业使用云业务时最关心的风险除了数据及隐私保护外，也十分关注业务的访问权限控制。40% 金融行业机构对安全事件的处置可以在一天内完成，另外 40% 能在一周内完成，约 20% 对安全事件处置超过一周。同时，漏洞修补时间近半数超过一周。

　　2. 金融科技：

　　金融科技1.0：随着互联网的发展，互联网金融时期来临，金融业搭建在线业务平台，通过互联网渠道收集用户信息，完成业务处理。传统金融加科技服务，

　　金融科技2.0：向服务金融科技转化，通过底层技术革新促使金融服务的方式发生变革，重塑金融产品的生成模式和定价模式，极大提升资产配置效率。其典型应用有智能投顾、智能信贷、供应链金融等。

　　金融科技不断发展，同时也面临着越来越多的安全威胁，安全事件频发，对业务造成资金损失和极大的负面影响，关注金融安全将是金融科技 3.0 时代的重中之重。

　　3. 网络安全威胁

　　金融科技技术的发展大力推动了金融服务领域的拓展和维度，其面临的安全威胁也与日俱增。《2017 年度网络犯罪报告》3 中指出：网络犯罪是当今世界上所有公司面临的最大威胁，也是人类面临的最大问题之一。根据这份报告，到 2021年为止，网络犯罪的成本将从 2015 年的 3 万亿美元增加到 6 万亿美元。众所周知，金融行业是我国网络安全重点行业之一，因其行业特殊性金融机构一直是网络犯罪的主要目标。

　　3.1 DDoS 攻击

　　分布式拒绝服务 (Distributed Denial of Service，DDoS) 攻击指借助于客户或者服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS 攻击，从而成倍地提高拒绝服务攻击的威力。

　　2017 年 6 月相继发生的“匿名者”和“无敌舰队”勒索事件，是对金融机构发起大规模 DDoS 攻击。显而易见，拒绝服务攻击已是当前金融领域极为常见的安全威胁，金融业作为对安全性和稳定性都要求极高的行业，一旦服务瘫痪，资产管理系统中断，将会造成难以弥补的损失。

　　3.2 网络勒索

　　网络勒索(Cyberextortion)是一种犯罪行为，它对企业造成攻击事实或攻击威胁，同时向企业提出金钱

　　要求来避免或停止攻击。近年，网络犯罪已经开发出可以用来加密受害人数据的勒索软件(Ransomware)，然后攻击者利用解密密钥向受害人索取钱财。2017 年度，此类攻击事件数量占比靠前的勒索软件有LockScreen、Cerber 和 Wannacrypt 等。其中，Wannacrypt 感染事件爆发，全球范围近百个国家遭到大规模网络攻击，攻击者利用 MS17-010 漏洞，向用户机器的 445 端口发送精心设计的网络数据包，实现远程代码执行，被攻击者电脑中大量文件被加密，被要求支付比特币以解密文件。

　　现今，对互联网服务的勒索攻击已经成为一种网络攻击趋势，平均每天有 4000 起勒索软件攻击。

　　3.3 僵尸网络

　　据绿盟科技监测的数据显示，2017 年 Botnet 活动仍然十分猖獗，尤其 Q2 季度更是 Botnet 活动的高发期。

　　根据绿盟科技监控的僵尸网络 C&C 攻击指令数据，在 Botnet 活动最高峰时期，平均每天共发出 5187次指令，单个 C&C 每天发出的指令最高达 114 次。

　　3.4 APT 攻击

　　高级长期威胁(Advanced Persistent Threat，APT)，又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，仅针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。

　　APT 攻击相较普通的攻击手法，实施难度和成本都更高，除了国家资助下政府间的对抗外，在巨大的利益驱使下，金融行业成为攻击者的首选目标，2017 年绿盟科技发现的境外 APT-C1 组织就是利用“互金大盗”恶意软件攻击我国某互金平台，窃取平台数字资产就是典型针对金融行业新型业务所采取的 APT 攻击事件。

　　4. 数据安全威胁

　　近年，大规模数据泄露事件激增，2017 年前 11 个月的数据泄露事件数量已比 2016 年全年总数量多出10%。美国知名信用机构 Equifax 在 9 月份透露，曾遭黑客袭击，导致 1.43 亿名用户的信息泄露 10;科技公司 Uber 则发现，5700 万名乘客和司机的信息在 2016 年一次大规模数据泄露事件中被黑客窃取。数据泄露的目标除了政府机构和金融机构，已经扩大到第三方承包商、数据集成商、以及安全厂商和解决方案提供商自身，企业和个人可能会因为敏感数据泄露而处于危险之中。

　　4.1 数据库漏洞与利用

　　许多数据库的读取接口直接暴露在互联网上，并且没有设置完整的访问控制策略，通过弱密码甚至空密码就可以直接获取数据库的控制权限。数据库勒索是黑客通过各种攻击手段获取数据库控制权，加密或破坏数据，以此要挟受害者支付赎金。

　　4.2 内部人员数据倒卖

　　根据 Identity Theft Resource Center 和 CyberScout 发布的报告 11，2017 年全年有多达 1500 起数据泄露事件发生，相比 2016 年发生的 1093 起增加 37%。 Loudhouse 曾发布的企业安全调查报告也显示，如果价格到位，35% 的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。

　　2017 年 6 月，Verizon 证实有 600 万用户的数据被泄露，并表示此次数据泄漏是由该公司供应商的一名员工造成的，他因操作失误导致外部可进入云存储区域访问信息。同年，Verizon 发布数据泄露调查报告指出，已发生的数据泄露事件中，有 25% 是由内部人员造成的。因此，金融行业作为信息泄露高发的行业，应完善敏感信息保护措施，加强内部管理，建立必要的制度与控制机制。

　　4.3 云上数据窃取

　　2017 年中国私有云市场规模达预估已达 425 亿元左右，到 2020 年市场规模将达到762.4 亿元 14。而本次问卷调查显示，我国金融行业约 60% 的机构使用了云服务，大部分使用的是私有云，也有超过20% 的机构使用公有云或者混合云。金融行业使用云业务最关注的安全风险是数据及隐私保护、业务的访问权限控制。

　　5. 业务安全威胁

　　业务安全威胁来源有很多，如使用不安全的函数或协议，集成了有缺陷的 SDK、Web 插件、服务器程序、或者业务流程上的逻辑缺陷等。

　　依据本次问卷收集数据统计，金融行业中，有 83.5% 的机构或企业都开展了互联网业务。在此次问卷调查中，企业机构对业务面临的互联网风险，最关注以下三个方面：

　　自身资产是否存在漏洞

　　自有资产开放高危端口与服务情况

　　是否存在信息泄露风险。

　　结合金融行业业务发展现状，业务安全威胁重点梳理了 Web 攻击、银行机构ATM 与 SWIFT 攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。

　　5.1 Web 攻击与代码缺陷

　　Web 攻击是常见的攻击类型。根据绿盟科技防护数据统计，73.6% 的网站遭遇过不同程度的 Web 类型的攻击，65.9% 的网站遭遇过利用特定程序漏洞进行的攻击。

　　5.2 业务欺诈

　　随着消费金融的快速发展，各类金融机构都面临着一个严峻的问题：欺诈。在《2017/18 年度全球反欺诈及风险报告》15 中，中国有 86% 的受访企业表示 2017 年曾遭受欺诈，较全球平均值的 84% 略高 2个百分点。

　　《中国金融反欺诈技术应用报告》16 指出，2017 年第一季度，金融服务领域被拒绝的交易相较于 2016年增长了 40%，相关僵尸攻击增长幅度为 180%;预计到 2020 年，在线支付欺诈将达 256 亿美元，而预计到 2019 年因数据泄露造成的经济损失在全球范围内将达到 2.1 万亿美元。金融欺诈涉及的业务环节多、手段多样、隐蔽性强，且金融欺诈移动化、组织化程度不断增加，新型金融科技公司愈渐成为欺诈者的目标。

　　5.3 ATM 与 SWIFT 攻击

　　2017 年度，针对银行 ATM 设备的攻击方式有了新发展，利用红外插入式卡槽器展开网络攻击活动。据悉，插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备，隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单，但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中，进而收集信用卡或借记卡数据，之后极有可能被用于伪造信用卡或借记卡以便获取用户资金。

　　2017 年 10 月份，台湾远东银行 SWIFT 事件遭盗领 6000 万美元，警方介入追回大部分窃款，损失约50 万美元。同期，尼泊尔 NIC 亚洲银行，在类似的 SWIFT 事件中损失约 500 万美元。而且，这并非银行机构首次遭受黑客攻击，充分说明银行业金融机构对于反复发生的此类安全事件没有足够重视，且没有有效的控制措施。信息安全管理不能只靠运气，建立健全的安全管理体系和有经验的安全团队才是降低风险的正确道路。

　　5.4 移动支付安全

　　在《2017 年移动支付用户调研报告》18 中：有 59.0% 用户担心移动支付安全问题。用户在使用生物识别技术进行移动支付和交易验证时，首要担心的问题是个人隐私泄露和相关安全隐患，占比分别为77.1% 和 70.2%。

　　5.5 区块链安全

　　区块链是一种分布式网络交易记账系统。它具有的开放性、全球性的特点，保证了交易活动可以在任何时间、任何地点进行，突破了传统贸易在时间和空间上的限制。因此被认为在金融、征信、物联网、经济贸易、结算、资产管理等众多领域都拥有广泛的应用前景。2017 年，随着国务院把区块链技术列入在“十三五”20 规划 ，中国的加密货币市场总值也增长了 30 倍。

　　在《Distributed Ledger Technology & Cybersecurity》 报告中分析了区块链技术，同时也明示了它所带来的一些挑战：如密钥管理、隐私、智能合约等。报告指出，传统系统和区块链中使用的一些安全原则虽然是相同的，但是它仍然带来了新的挑战值得我们去关注，比如共识劫持和智能合约管理。

　　然而，在区块链不断得到研究、应用的同时，在技术层面和应用层面依旧存在一定的安全局限，在共识机制、私钥防盗等方面仍需提高安全意识和加强防范措施。2018 年 2 月，132 名投资者向日本加密交易所Coincheck 提起诉讼，要求其赔偿 2.28 亿万日元(约 200 万美元)损失，原因是 Coincheck 在 1 月下旬曾遭受黑客重大攻击，导致价值超过 5.23 亿美元的 NEM 被盗。有投资者认为事件是 Coincheck对“安全措施的忽视”造成的。

（作者：吾王责任编辑：万佳）