2017金融科技安全分析報告——聚焦業務 革新技術 為金融科技安全發展保駕護航

一、執行摘要

近年，依託雲計算、大數據、人工智慧、區塊鏈等先進的計算機技術的發展，金融服務也趨於多樣化、便利化、智能化。金融科技的出現頻率正在高速增長，伴隨其技術變革與創新加速，至今已經步入金融科技3.0 時代。但隨著金融科技日漸成為金融產品的重要支撐手段，攻擊者也在不斷豐富其攻擊目標和攻擊手段，以圖提升自身的攻擊變現能力。金融科技安全從業者在傳統的以脆弱點和檢測點為核心的防護方案之外，更應從獲利點出發，逆向分析，進而組織自身的防護體系。金融科技安全現狀和安全趨勢值得關註：

·金融業務大幅雲化，金融行業約60%的機構使用了各類雲服務；

·金融行業機構對安全事件處置時間滯後，20%的安全事件處置時間超過一周；

·金融機構業務流程欠缺，只有32.9%採用了SDL開發；

·信息安全不可忽視，71.3%的企業計劃增加安全預算投入，但只有21%的企業打算擴招安全團隊。

二、金融科技

從金融科技1.0到金融科技2.0，底層技術創新促使金融服務的方式發生變革，金融產品和業務模式不斷變化。金融科技涉及領域廣泛，應用場景多元。大數據、人工智慧、區塊鏈和雲計算作為金融科技核心技術，使金融服務更加高效、智能，已在許多場景展露頭角。

金融科技的應用場景

金融科技迅猛發展的同時也面臨著越來越多的安全威脅，安全事件頻發，對業務造成資金損失和極大的負面影響，關注金融安全將是金融科技3.0 時代的重中之重。

三、網路安全威脅介紹

眾所周知，金融行業是我國網路安全重點行業之一，因其行業特殊性金融機構一直是網路犯罪的主要目標。

3.1 DDoS攻擊

2016 vs 2017各月份攻擊次數和流量

2017 年同2016 年相比，攻擊發生次數基本保持平穩，共計發生20.7 萬次。但是從攻擊總流量上來看有較為明顯的波動，從年初到5 月份前後，攻擊總流量有非常顯著的增長，而5 月份之後攻擊總流量回落至較為平穩的水平。與2016 年相比，2017 攻擊仍然頻繁，攻擊總流量大幅上升。

DDoS攻擊源設備類型

在2017 年的DDoS 攻擊中，攻擊源中IoT 設備的數量已經佔據相當的比例，在或大或小規模的DDoS攻擊中IoT 設備都有顯著的佔比，已經成為DDoS 網路環境中需要重點關注的一個類別。從網路總體態勢來看，物聯網迅猛發展的過程中必然伴隨著安全技術的滯後，可預測IoT 設備的威脅治理會進一步提上日程，而作為最易實施的攻擊類型之一，IoT 遭受DDoS 攻擊的數量會進一步上漲。

3.2網路勒索

2017年相繼發生「匿名者」、「無敵艦隊」等網路勒索事件。現今，對互聯網服務的勒索攻擊已經成為一種網路攻擊趨勢，平均每天有4000 起勒索軟體攻擊，亞洲成為2017年遭到勒索軟體攻擊最多的地區。

3.3殭屍網路

據綠盟科技監測的數據顯示，2017 年Botnet 活動仍然十分猖獗，尤其Q2 季度更是Botnet 活動的高發期。根據綠盟科技監控的殭屍網路C&C 攻擊指令數據，在Botnet 活動最高峰時期，平均每天共發出5187次指令，單個C&C 每天發出的指令最高達114 次。全球受控主機的數量間歇性增長，2017年8月的數量環比月增長高達三倍之多。

殭屍網路受控主機增長率

另外，物聯網設備在線時間長、數量規模大、用戶普遍疏於升級和配置等因素使其成為殭屍網路的溫床。在綠盟科技持續跟蹤的Botnet 中，至少存在4% 的樣本攻擊目標為物聯網設備。雖然Botnet 形式還是以Windows 平台的設備為主，但是近年來，隨著IoT 設備、智能設備、移動設備的入網，針對IoT 或其他智能設備、移動設備的惡意樣本也逐漸增多。

3.4 APT攻擊

高級長期威脅（Advanced Persistent Threat，APT），又稱高級持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，僅針對特定的目標。其通常是出於商業或政治動機，針對特定組織或國家，並要求在長時間內保持高隱蔽性。，在巨大的利益驅使下，金融行業成為攻擊者的首選目標，2017年綠盟科技發現的境外APT-C1 組織就是利用「互金大盜」惡意軟體攻擊我國某互金平台，竊取平台數字資產就是典型針對金融行業新型業務所採取的APT 攻擊事件。

四、數據安全威脅介紹

近年，大規模數據泄露事件激增，2017 年前11 個月的數據泄露事件數量已比2016 年全年總數量多出10%。

4.1資料庫漏洞與利用

資料庫勒索也是黑客攻擊金融業的一種常見手段。許多資料庫的讀取介面直接暴露在互聯網上，並且沒有設置完整的訪問控制策略，通過弱密碼甚至空密碼就可以直接獲取資料庫的控制許可權。黑客由此獲取資料庫控制權，加密或破壞數據，以此要挾受害者支付贖金。針對勒索事件涉及到的資料庫近三年的中危、高危漏洞進行統計後發現，MySQL的漏洞暴露最嚴重；而從增速方面看，除了MySQL，PostgreSQL在過去三年里的漏洞也有較快的增長。

中危、高危漏洞統計

4.2內部人員數據倒賣

根據Identity Theft Resource Center 和CyberScout 發布的報告，2017年全年有多達1500 起數據泄露事件發生，相比2016年發生的1093 起，增加37%。而美國運營商Verizon 發布數據泄露調查報告指出，已發生的數據泄露事件中，25% 由內部人員造成。金融行業作為信息泄露高發的行業，應完善敏感信息保護措施，加強內部管理，建立必要制度與控制機制。

數據泄露成因

4.3雲上數據竊取

2017年中國私有雲市場規模達預估已達425億元左右，到2020 年市場規模將達到762.4 億元。從由平安金融研究院和綠盟科技發起的《2017中國企業金融科技安全調查問卷》中，統計出我國金融行業約60% 的機構使用了雲服務，大部分使用的是私有雲，也有超過20% 的機構使用公有雲或者混合雲。金融行業使用雲業務最關注的安全風險是數據及隱私保護、業務的訪問許可權控制。

企業使用雲服務比例

五、業務安全威脅介紹

金融行業中，有83.5%的機構或企業都開展了互聯網業務。企業、機構對業務面臨的互聯網風險，最關注以下三個方面：自身資產是否存在漏洞；自有資產開放高危埠與服務情況；是否存在信息泄露風險。結合金融行業業務發展現狀，業務安全威脅重點梳理了Web 攻擊、銀行機構ATM 與SWIFT 攻擊威脅、金融欺詐威脅、移動支付威脅、區塊鏈安全威脅。

5.1 Web攻擊與代碼缺陷

Web 攻擊是常見的攻擊類型。根據綠盟科技防護數據統計，73.6% 的網站遭遇過不同程度的Web 類型的攻擊，65.9% 的網站遭遇過利用特定程序漏洞進行的攻擊。

遭受Web應用攻擊的站點佔比

Web攻擊已成為基本攻擊手段，也是各類攻擊中相對容易實施的。在金融行業中，針對Web 伺服器的攻擊中，攻擊次數最多的仍然是常規化攻擊手段：SQL注入、XPATH 注入、跨站、路徑穿越、命令注入等；這幾類攻擊的佔比超過60%。從伺服器類型上來看，在金融行業中Nginx、IIS、Tomcat 伺服器是遭受攻擊最為頻繁的資產類型。針對特定的Web插件、伺服器程序的攻擊比例也相對較高，建議企業應該定期維護系統，升級相關的伺服器應用。

Web類攻擊類型細分

代碼存在缺陷是Web 攻擊事件逐年增加的主因。在金融行業的信息系統開發環節，僅有32.9% 的機構採用SDL 管理，而且調查顯示，大部分安全管理工作集中在運維、上線、測試階段，在需求、設計、編碼階段，對安全考慮十分欠缺。

5.2業務欺詐

隨著消費金融的快速發展，各類金融機構都面臨著一個嚴峻的問題：欺詐。在《2017/18 年度全球反欺詐及風險報告》中，中國有86% 的受訪企業表示2017 年曾遭受欺詐，較全球平均值的84% 略高2個百分點。2017年第一季度，金融服務領域被拒絕的交易相較於2016年增長了40%，相關殭屍攻擊增長幅度為180%；預計到2020年，在線支付欺詐將達256億美元。

2017年各行業發生欺詐事件比例

5.3 ATM與SWIFT攻擊

2017年，針對銀行ATM設備的攻擊有了新的變化，如利用紅外插入式卡槽器展開網路攻擊活動。黑客通過天線將竊取的死人數據傳輸到隱藏在ATM機外部的微型攝像頭中，進而收集信用卡或借記卡數據，之後極有可能被用於偽造信用卡或借記卡以便獲取用戶資金。另外，多起SWIFT事件發生，如尼泊爾NIC亞洲銀行，在事件中損失約500萬美元。類似事件說明銀行業金融機構對於反覆發生的此類安全事件沒有足夠重視，且沒有有效的控制措施。信息安全管理必須建立健全的安全管理體系和有經驗的安全團隊，才是降低風險的正確道路。

5.4移動支付安全

移動支付應用越來越廣泛，而有關數據指出，59%的用戶擔心移動支付安全問題。移動支付安全存在的5 大風險是：隨意掃碼；刪除手機應用APP 時不解除銀行卡綁定；上網時如實填寫各類支付信息；瀏覽有危險鏈接的簡訊或郵件；安裝跳出來的不明文件。報告還指出，被調查者中，超過6 成被訪者在使用手機時，存在上述不安全行為，對個人信息或支付賬號安全產生威脅。因此，作為移動支付的使用者，需要時刻提高警惕，防範各種支付風險。

支付方式

5.5區塊鏈安全

區塊鏈是一種分散式網路交易記賬系統。它具有的開放性、全球性的特點，保證了交易活動可以在任何時間、任何地點進行，突破了傳統貿易在時間和空間上的限制。因此被認為在金融、徵信、物聯網、經濟貿易、結算、資產管理等眾多領域都擁有廣泛的應用前景。2017 年，隨著國務院把區塊鏈技術列入在「十三五」規劃 ，中國的加密貨幣市場總值也增長了30 倍。然而，在區塊鏈不斷得到研究、應用的同時，在技術層面和應用層面依舊存在一定的安全局限，在共識機制、私鑰防盜等方面仍需提高安全意識和加強防範措施。日本加密交易所Coincheck今年年初發生加密貨幣被盜事件，有投資者指責Coincheck對安全措施有所忽視。

六、總結與展望

本報告結合最新的案例和豐富的情報源，以金融科技所面臨的網路安全威脅、數據安全威脅和業務安全威脅作為切入點，直觀地分析了各類威脅的現狀及趨勢，在分析DDoS、Web 類攻擊和資料庫漏洞利用等傳統威脅的同時，更加著重對移動互聯網、雲計算、區塊鏈等新技術所帶來安全威脅進行分析。

金融科技安全風險的未來關注點將聚焦在監管合規新要求、內部安全培訓、新技術應用風險、開發安全管控、新技術應用風險、開發安全管控、高危險網路攻擊、數據安全六個方面。並且，金融科技的可持續發展必須注重安全建設，從安全意識教育、安全設備部署、安全服務引入、安全人才儲備、安全預算等方面提升整體安全威力。

本文由平安金融安全研究院授權轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！