2017金融科技安全分析報告

1 執(zhí)行摘要

在2017年8月22日，世界經濟論壇發(fā)布了報告《超越金融科技：全面評估金融服務的顛覆潛力》①《超越金融科技：全面評估金融服務的顛覆潛力》, 世界經濟論壇，2017年8月.http://www3.weforum.org/docs/Beyond_Fintech_-_A_Pragmatic_Assessment_of_Disruptive_Potential_in_Financial_Services.pdf.。該報告涵蓋了數(shù)百位金融、科技領域專家的訪談內容，旨在探索創(chuàng)新對全球金融生態(tài)系統(tǒng)的影響。報告對驅動Fintech創(chuàng)新的8大因素及其顛覆潛力進行了定義；同時總結出在Fintech沖擊下，支付、信貸、財富管理、保險、數(shù)字銀行等7大金融領域未來的創(chuàng)新模式和路徑，以及每個領域所面臨的風險和可能的終局。近年，依托云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等先進的計算機技術的發(fā)展，金融服務也趨于多樣化、便利化、智能化。金融科技的出現(xiàn)頻率正在高速增長，技術變革與創(chuàng)新加速，至今已經步入金融科技3.0時代。

天下熙熙皆為利來，天下攘攘皆為利往，逐利更是攻擊者的天性。隨著金融科技日漸成為金融產品的重要支撐手段，攻擊者也在不斷豐富其攻擊目標和攻擊手段，以圖提升自身的攻擊變現(xiàn)能力。一方面，攻擊者對金融科技系統(tǒng)的滲透逐步深入，從網絡服務、金融業(yè)務逐步深入到核心業(yè)務數(shù)據(jù)、用戶財產和隱私。攻擊者不再滿足于危害金融系統(tǒng)的可用性，更青睞從販賣數(shù)據(jù)和資產轉移中直接獲利。另一方面，攻擊者不局限于傳統(tǒng)針對信息系統(tǒng)的攻擊，愈多從人員的角度迂回滲透，勾結內部人員進行數(shù)據(jù)倒賣。Loudhouse曾發(fā)布的企業(yè)安全調查報告顯示，如果價格到位，35%的員工會倒賣包括公司專利、財務記錄和客戶信用卡等敏感數(shù)據(jù)。這一調查事實也側面應證在網絡安全、業(yè)務安全和數(shù)據(jù)安全之外，人員安全同樣也應引起足夠重視。

對于以金融科技為目標的攻擊者，獲利是他們的核心訴求。那么對于金融科技安全從業(yè)者而言，在傳統(tǒng)的以脆弱點和檢測點為核心的防護方案之外，更應從獲利點出發(fā)，逆向分析，進而組織自身的防護體系。

安全現(xiàn)狀：

(1)金融行業(yè)已經大幅度互聯(lián)網化，83.5%的機構或企業(yè)都開展了互聯(lián)網業(yè)務。金融行業(yè)約60%的機構使用了各類云服務，大部分使用的是私有云，也有超過20%的機構使用公有云或者混合云。金融行業(yè)使用云業(yè)務時最關心的風險除了數(shù)據(jù)及隱私保護外，也十分關注業(yè)務的訪問權限控制。

(2)40%金融行業(yè)機構對安全事件的處置可以在一天內完成，另外39.9%能在一周內完成，約20%對安全事件處置超過一周。同時，漏洞修補時間近半數(shù)超過一周。

(3)從問卷統(tǒng)計中，我們認為安全事件的最主要成因是安全意識淡薄和運維投入不足，這或許是安全管理各類問題的根源所在。缺乏基本的安全意識，安全投入自然不足，同時安全管理制度上也會不夠完善，導致數(shù)據(jù)安全、隱私保護等方面出現(xiàn)問題。

(4)金融行業(yè)從業(yè)者最關心的安全問題集中在數(shù)據(jù)安全與隱私保護，而合規(guī)性要求也是企業(yè)關注安全問題的一個重要考量。但我們需要指出，安全措施是一個整體的規(guī)劃，并不是一個方面或者某個領域的單一問題，需要從開發(fā)、管理、運維等各個生產環(huán)節(jié)進行規(guī)劃，不是一臺設備、一次巡檢能夠徹底解決的，為了更好的進行保護數(shù)據(jù)安全與隱私，需要有完善的配套管理流程、防護方案。

(5)對于安全服務，業(yè)務量最大的服務包括安全咨詢、安全運維、應急響應服務，從問卷統(tǒng)計中我們認為，金融行業(yè)仍然普遍缺乏安全管理的知識和經驗，在安全培訓、人才儲備上需要加強。

(6)從來年的規(guī)劃中，我們看到企業(yè)開始關注信息安全問題，并且開始制定采購包括威脅情報在內的更加高級的安全服務。另外，大部分企業(yè)（71.3%）會加大預算的投入，但只有少部分（21%）企業(yè)打算擴招自己的安全團隊。這應該是由于近年來互聯(lián)網業(yè)務高速發(fā)展、企業(yè)業(yè)務復雜度大幅提升、新技術頻出、攻擊態(tài)勢演變更加迅猛而促使企業(yè)采取應對舉措。企業(yè)為了維護自身業(yè)務安全，需要技術、人員兩方面的支持，不過大部分企業(yè)仍然傾向于通過業(yè)務外包來減輕自己管理規(guī)劃的負擔。

安全態(tài)勢：

(1)2017年與去年同期相比，攻擊發(fā)生次數(shù)基本保持平穩(wěn)，共計發(fā)生20.7萬次，同時攻擊總流量大幅上升，峰值高達1.4Tbps。

(2)在2017年的DDoS攻擊中，來自IoT設備的攻擊比例達到12%，已經成為DDoS網絡環(huán)境中需要重點關注的一個類別。

(3)2017年Botnet的數(shù)量和規(guī)模在不斷擴大。其中，C&C（僵尸網絡控制者）的數(shù)量持續(xù)不斷增長，在進入8月份后增速明顯，10月份環(huán)比增長達到1.67%。同時，全球受控主機的數(shù)量間歇性增長，8月份的數(shù)量環(huán)比上月增長高達3倍（增長320%）。

(4)網絡勒索事件頻發(fā)，“無敵艦隊”（Armada Collective）和“Opicarus2017”等多起事件利用勒索病毒進行攻擊，危及大量金融機構的網站安全，并導致敏感數(shù)據(jù)泄露。

(5)MySQL的漏洞暴露情況最為嚴重，MySQL和PostgreSQL在過去三年里的漏洞數(shù)量有著較快的增長。

(6)以Web應用為目標的攻擊中，據(jù)統(tǒng)計，針對框架（例如Struts、ThinkPHP）的攻擊占比高達54%，插件類（例如ImageMgick等）占比39%，而針對具體CMS程序的攻擊占比較低。

本報告將結合內外數(shù)據(jù)和相關行業(yè)、安全報告，從互聯(lián)網的角度重點分析金融行業(yè)的網絡安全狀況。報告將簡單回顧金融科技的發(fā)展歷程和趨勢，重點介紹典型的網絡安全威脅、數(shù)據(jù)安全威脅和業(yè)務安全威脅，并結合各環(huán)節(jié)中的典型安全案例和《2017中國企業(yè)金融科技安全調查問卷》，分析金融科技機構的安全現(xiàn)狀及面臨的安全趨勢。金融行業(yè)要持續(xù)、健康地發(fā)展，必定不可忽視安全問題。作為報告的編纂方，平安金融安全研究院與綠盟科技希望本報告能為我國金融業(yè)從業(yè)機構提供一個可參考的安全視角，為我國金融業(yè)的健康發(fā)展貢獻一份薄力。

2 金融科技

傳統(tǒng)金融只具備存款、貸款和結算三大傳統(tǒng)業(yè)務的金融活動，傳統(tǒng)金融機構在面對市場競爭時的應對能力明顯不足。隨著互聯(lián)網的發(fā)展，互聯(lián)網金融時期來臨，金融業(yè)搭建在線業(yè)務平臺，通過互聯(lián)網渠道收集用戶信息，完成業(yè)務處理。傳統(tǒng)金融加科技服務，這是金融科技1.0階段。金融科技2.0則是向服務金融科技轉化，通過底層技術革新促使金融服務的方式發(fā)生變革，重塑金融產品的生成模式和定價模式，極大提升資產配置效率。其典型應用有智能投顧、智能信貸、供應鏈金融等。金融科技不斷發(fā)展，同時也面臨著越來越多的安全威脅，安全事件頻發(fā)，對業(yè)務造成資金損失和極大的負面影響，關注金融安全將是金融科技3.0時代的重中之重。

金融科技涉及領域廣泛，應用場景多元。大數(shù)據(jù)、人工智能、區(qū)塊鏈和云計算作為金融科技核心技術，使金融服務更加高效、智能，已在許多場景展露頭角。

圖1 金融科技的應用場景①《金融科技》，周偉，張健，梁國忠，2017年8月.

金融科技天生擁有創(chuàng)新基因，對行業(yè)與經濟、民生是有益的，但插上科技翅膀的金融，具有更強、更廣和更快的易破壞性，因而尤其需要引導和規(guī)范。近年，在國際上，美國、英國、歐盟等相繼發(fā)布金融科技監(jiān)管文件，以平衡發(fā)展需求。而國內也已加快金融監(jiān)管機構、法律法規(guī)等的建設，如2017年5月，中國人民銀行成立金融科技（FinTech）委員會，旨在加強金融科技工作的研究規(guī)劃和統(tǒng)籌協(xié)調。從總體上看，國家監(jiān)管者對金融科技發(fā)展持開放態(tài)度，但同時對于金融科技風險的重視程度也逐年增強，預計未來幾年，國內監(jiān)管機構將采取更為主動積極的監(jiān)管措施，以防范大型金融風險。

3 網絡安全威脅介紹

金融科技技術的發(fā)展大力推動了金融服務領域的拓展和維度，其面臨的安全威脅也與日俱增。美國Cybersecurity Ventures發(fā)布的《2017年度網絡犯罪報告》①“Cybercrime damages are predicted to cost the world $6 trillion annually by 2021”，PR Newswire，2017年10月19日.https://www.prnewswire.com/news-releases/cybercrime-damages-are-predicted-to-cost-the-world-6-trillion-annually- by-2021-300540158.html.中指出：網絡犯罪是當今世界上所有公司面臨的最大威脅，也是人類面臨的最大問題之一。根據(jù)這份報告，到2021年為止，網絡犯罪的成本將從2015年的3萬億美元增加到6萬億美元。眾所周知，金融行業(yè)是我國網絡安全重點行業(yè)之一，因其行業(yè)特殊性金融機構一直是網絡犯罪的主要目標。以下，我們將通過2017年金融行業(yè)的重大安全事件說明安全威脅可能造成影響及損失。

3.1 DDoS攻擊

分布式拒絕服務(DDoS: Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

2017年6 月相繼發(fā)生的“匿名者”和“無敵艦隊”勒索事件，是對金融機構發(fā)起大規(guī)模DDoS攻擊。顯而易見，拒絕服務攻擊已是當前金融領域極為常見的安全威脅，金融作為對安全性和穩(wěn)定性都要求極高的行業(yè)，一旦服務癱瘓，資產管理系統(tǒng)中斷，將會造成難以彌補的損失。

攻擊仍然頻繁，共發(fā)生20.7萬次攻擊

2017年同去年同期相比，攻擊發(fā)生次數(shù)基本保持平穩(wěn)，共計發(fā)生20.7萬次。但是從攻擊總流量上來看有較為明顯的波動，從年初到年中5月份前后，攻擊總流量有非常顯著的增長，而5月份之后攻擊總流量回落至較為平穩(wěn)的水平。與2016年相比，2017攻擊仍然頻繁，攻擊總流量大幅上升。

圖2 2017年vs.2016年各月份攻擊次數(shù)和流量②《2017年DDoS與Web應用攻擊態(tài)勢報告》，中國電信云堤，綠盟科技（即將聯(lián)合發(fā)布）.

從類型上看，2017年攻擊次數(shù)占比最高的攻擊類型仍然為反射型攻擊，實施這類攻擊，黑客只需要擁有很少的帶寬，就能經過放大產生顯著的攻擊流量。從攻擊流量的上看，SYN Flood 2017年度占比突出超過60%。綜合2017年度網絡環(huán)境分析，綠盟認為與2017年度物聯(lián)網僵尸網絡的擴張大有較大的關系，物聯(lián)網設備基數(shù)大、防護弱、長時間在線的特點，天然就是DDoS攻擊發(fā)動的溫床。

圖3 DDoS攻擊類型分布

流量再創(chuàng)新高，峰值高達1.4Tbps

流量持續(xù)攀升似乎已經不是什么新的態(tài)勢，從近兩年的報告中都可以看到，每個月都會出現(xiàn)超過百G bps的流量，最高的時候流量已經出于T bps的級別，2017年度攻擊最頻繁的5月，攻擊最高的峰值更是達到了1.4Tbps的級別，這種“巨無霸”攻擊，一次一次挑戰(zhàn)著防御者的能力上線。

圖4 DDoS攻擊流量分布

另外，從流量的區(qū)間分布來看，大流量攻擊明顯增多，也是2017年度一個顯著的趨勢。

來自IoT設備的攻擊比例達到12%

在2017年的DDoS攻擊中，攻擊源中IoT設備的數(shù)量已經占據(jù)相當?shù)谋壤?，在或大或小?guī)模的DDoS攻擊中IoT設備都有顯著的占比，已經成為DDoS網絡環(huán)境中需要重點關注的一個類別。從網絡總體態(tài)勢來看，物聯(lián)網迅猛發(fā)展的過程中必然伴隨著安全技術的滯后，可預期IoT設備的威脅會進一步提上治理日程，而作為最易實施的攻擊類型之一，DDoS攻擊中IoT設備的數(shù)量會進步增長。

圖5 DDoS攻擊源設備類型

在IoT設備參與DDoS的攻擊中，路由器、攝像頭是主要的設備類型。這與這兩年IoT發(fā)展的情況基本是一致的，大量的路由器、網絡攝像頭被引入生產、生活環(huán)境，而安全配套措施尚未進一步完善，可以合理預期的是在物聯(lián)網攻擊這個領域會有更多的攻擊形式出現(xiàn)。從統(tǒng)計數(shù)字上看，攝像頭IP的惡意IP比例約4.8%。而歸屬中國的IP中惡意IP比例為1.57%，攝像頭惡意IP比例是普通IP的3倍，是值得特別關注的。

圖6 DDoS攻擊源IoT設備

3.2 網絡勒索

網絡勒索（cyberextortion）是一種犯罪行為，它對企業(yè)造成攻擊事實或攻擊威脅，同時向企業(yè)提出金錢要求來避免或停止攻擊。拒絕服務（DoS）攻擊是過去最常見的網絡勒索方式。近年，網絡犯罪已經開發(fā)出可以用來加密受害人數(shù)據(jù)的勒索軟件（ransomware），然后攻擊者利用解密密鑰向受害人索取錢財。

圖7 2017年上半年最流行的勒索軟件①“Ransomware FAQ”， Microsoft.https://www.microsoft.com/en-us/wdsi/threats/ransomware

2017年6 月， “無敵艦隊”勒索事件再次上演，許多金融機構收到勒索郵件，被要求支付10比特幣（市值約20萬人民幣）作為保護費。同月，“匿名者”向全球金融機構發(fā)起代號為“Opicarus2017”的攻擊，中國人民銀行、香港金融管理局等超過140個金融機構都在其攻擊列表中。根據(jù)歐洲網絡與信息安全局 (ENISA)的報道②“Ransom attacks against unprotected Internet exposed databases”， ENISA，2017年9月13日.https://www.enisa.europa.eu/publications/info-notes/ransom-attacks-against-unprotected-internet-exposed-databases.：2017年8月底至2017年9月上旬，攻擊者利用勒索病毒劫持超過26000個數(shù)據(jù)庫并要求贖金?，F(xiàn)今，對互聯(lián)網服務的勒索攻擊已經成為一種網絡攻擊趨勢，平均每天有4000起勒索軟件攻擊。面對這一系列攻擊，適當?shù)乇Ｗo互聯(lián)網服務，遵循最佳做法是至關重要的安全措施。

3.3 僵尸網絡

據(jù)綠盟科技威脅情報中心（NTI）監(jiān)測的數(shù)據(jù)顯示，2017年Botnet活動仍然十分猖獗，尤其Q2季度更是Botnet活動的高發(fā)期。根據(jù)綠盟監(jiān)控的僵尸網絡C&C攻擊指令數(shù)據(jù)，在Botnet活動最高峰時期，平均每天共發(fā)出5187次指令，單個C&C每天發(fā)出的指令最高達114次。

圖8 僵尸網絡C&C攻擊指令數(shù)據(jù)

2017年Botnet的數(shù)量和規(guī)模在不斷擴大。其中，C&C的數(shù)量持續(xù)不斷增長，進入8月份后增速明顯，10月份環(huán)比增長達到1.67%。另一方面，全球受控主機的數(shù)量間歇性增長，8月份的數(shù)量環(huán)比上月增長高達3倍（增長320%）

圖9 僵尸網絡C&C變化趨勢

圖10 僵尸網絡受控主機變化趨勢

物聯(lián)網和智能、移動設備構成的Botnet開始對Botnet戰(zhàn)場的形勢產生新的影響。我們持續(xù)跟蹤的Botnet中，至少存在4%的樣本攻擊目標為物聯(lián)網設備。雖然Botnet形式還是以Windows平臺的設備為主，但是近年來，隨著IoT設備、智能設備、移動設備的入網，我們認為針對IoT或其他智能、移動設備的惡意樣本會越來越多。

對于PC用戶，通過郵件、“水坑”站點或者在軟件安裝包中捆綁惡意代碼都是很有效的入侵手段，而對于物聯(lián)網設備來說，其在線時間長、用戶普遍疏于升級和配置、數(shù)量規(guī)模大，黑客通過簡單掃描就可以捕獲大量存在漏洞的設備。今年10月綠盟科技威脅情報中心（NTI）發(fā)現(xiàn)并命名的機頂盒蠕蟲Rowdy，就是利用了機頂盒存在的脆弱性在國內互聯(lián)網上大規(guī)模傳播①http://blog.nsfocus.net/iot-set-top-box-malware-rowdy-network-analysis-report/.。另外，綠盟科技關注到出現(xiàn)了一些Botnet家族攻擊的目標是Android平臺的設備，典型的家族包括：Dendroid、FlexiSpy、GMbot等， Botnet儼然是一個全平臺存在的互聯(lián)網威脅。

圖11 僵尸網絡運行平臺統(tǒng)計

正如在前文提到的，Botnet持續(xù)不斷的追求規(guī)模的擴張，通過俘獲大量設備提升自身攻擊的能力，IoT設備具有的脆弱性使其成為理想的切入點。但是貪婪的黑客們野心并未停止，我們觀察到有的Botnet已經具備了跨平臺的能力，他們在兼具自傳播的特點時，同時能夠根據(jù)設備類型，植入對應平臺的程序來獲取控制權限，進一步提升了自己的傳播能力。下面是幾個典型的具有跨平臺傳播能力的Botnet：

表1 僵尸網絡跨平臺傳播能力分析之運行平臺

從Botnet采用的程序語言上，也可以發(fā)現(xiàn)跨平臺的趨勢。C語言和腳本語言具有良好的跨平臺能力，無論在arm架構的嵌入式系統(tǒng)中，在linux、Windows系統(tǒng)中都有良好的適應能力。在此基礎上構建的Botnet程序，可以具備跨平臺傳播運行的能力。

表2 僵尸網絡跨平臺傳播能力分析之編寫語言

另外，腳本語言的編寫相對比較容易，可以更加快速高效地實現(xiàn)一個新的Botnet程序。較低的門檻、快速的收益吸引著更多的黑客加入進來，使得網絡中Botnet的威脅形勢更加嚴峻。2017年9月，眾多網站發(fā)現(xiàn)其網頁內嵌了挖礦JavaScript腳本，一旦用戶進入網站，JS腳本就會自動執(zhí)行，占用大量機器資源挖取數(shù)字加密貨幣，導致電腦異常卡頓①“騰訊安全2017年度互聯(lián)網安全報告”，騰訊電腦管家，2018年1月17日.https://guanjia.qq.com/news/n1/2258.html.。挖礦病毒就是僵尸網絡的一種。

2017年是挖礦木馬僵尸網絡大規(guī)模爆發(fā)的一年，出現(xiàn)了“Bondnet”、“Adylkuzz”、“隱匿者”等多個大規(guī)模挖礦木馬僵尸網絡，而其中很大一部分挖礦木馬僵尸網絡來自于中國。金融、運營商及互聯(lián)網等眾多行業(yè)均有相關安全事件發(fā)生。2017年12月底有安全公司發(fā)布預警稱“知名激活工具KMSpico內含挖礦病毒”。據(jù)綠盟安全專家分析，原作者的官方版本并不含挖礦病毒，而是黑客利用搜索引擎排名假冒克隆KMSpico的網頁，發(fā)布捆綁挖礦軟件在內的多種病毒，誘導用戶下載，進而竊取用戶隱私信息或利用用戶電腦挖礦謀取暴利②“激活工具KMSpico內含挖礦病毒事件的分析”，綠盟科技博客.http://blog.nsfocus.net/kmspico/.。

3.4 APT攻擊

高級長期威脅（英語：advanced persistent threat，縮寫：APT），又稱高級持續(xù)性威脅、先進持續(xù)性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出于商業(yè)或政治動機，針對特定組織或國家，并要求在長時間內保持高隱蔽性。

在過往的監(jiān)控中，實現(xiàn)政治訴求的APT居多，例如伊朗“震網”事件、白俄羅斯軍事通訊社事件，隨著時間遷移，APT概念和技術開始被行業(yè)熟知，各種層面的對抗也更加復雜。2017年NSA“方程式組織”與CIA網絡情報機構的武器庫泄露，為整個黑色產業(yè)鏈條提供了大量有價值的“彈藥”，更多的組織、個人可以利用更加成熟的技術實施高級攻擊。APT攻擊相較普通的攻擊手法，實施難度和成本都更高，除了國家資助下政府間的對抗外，受到巨大的利益驅使，金融行業(yè)首當其沖成為攻擊的目標，2017年綠盟科技發(fā)現(xiàn)的境外APT-C1組織就是利用“互金大盜”惡意軟件攻擊我國某互金平臺，竊取平臺數(shù)字資產就是一起典型針對金融行業(yè)新型業(yè)務所采取的APT攻擊事件。

金融行業(yè)與其他行業(yè)一樣，都在面對技術的革新和升級，一方面帶來了更多的便利性，另一方面勢必導致許多潛在的風險，但是與其他行業(yè)不同的是，金融行業(yè)的資產天生比其他行業(yè)具有更直接的價值，對于APT風險，金融行業(yè)需要特別關注。

4 數(shù)據(jù)安全威脅介紹

近年，大規(guī)模數(shù)據(jù)泄露事件猛增，2017年前11個月的數(shù)據(jù)泄露事件起數(shù)已比2016年全年總數(shù)多出10%①“The 10 Biggest Data Breaches Of 2017”， CRN, 2017年12月.http://www.crn.com/slide-shows/security/300096951/the-10-biggest-data-breaches-of-2017.htm.。美國知名信用機構Equifax在9月份透露，曾遭黑客襲擊，導致1.43億名用戶的信息泄露②“An Offensive Defense: Lessons from the Equifax Breach”，https://www.gartner.com/smarterwithgartner/an-offensive-defense-lessons-from-the-equifax-breach/.；科技公司Uber則在11月發(fā)現(xiàn)，5700萬名乘客和司機的信息在2016年一次大規(guī)模數(shù)據(jù)泄露事件中被黑客竊取。數(shù)據(jù)泄露的目標除了政府機構和金融機構，已經擴大到第三方承包商、數(shù)據(jù)集成商、以及安全廠商和解決方案提供商自身，越來越多企業(yè)和個人將可能因數(shù)據(jù)泄露而處于危險之中。

4.1 數(shù)據(jù)庫漏洞與利用

2017年1 月至2月其間發(fā)生了多起知名的數(shù)據(jù)庫勒索事件。很多數(shù)據(jù)庫的讀取接口直接暴露在互聯(lián)網上，并且沒有設置完整的訪問控制策略，通過弱密碼甚至空密碼就可以直接獲取數(shù)據(jù)庫的控制權限。數(shù)據(jù)庫勒索主要通過黑客手段獲取數(shù)據(jù)庫控制權，加密或破壞數(shù)據(jù)，以此要挾受害者支付贖金。

數(shù)據(jù)庫安全成為2017年的安全熱點，我們針對涉及到的數(shù)據(jù)庫近三年來中、高危漏洞進行了統(tǒng)計。

圖12 高、中危漏洞統(tǒng)計

其中MySQL的漏洞暴露最嚴重，從增速方面看，除了MySQL，PostgreSQL在過去三年里的漏洞也有較快的增長。相比之下，MongoDB、Elasticsearch、Redis、Hadoop 等數(shù)據(jù)庫則相對安全性，不過仍有一定程度的增長從數(shù)據(jù)庫漏洞的發(fā)展態(tài)勢上看，數(shù)據(jù)庫的安全問題也越來越受到關注，也許基于基于漏洞利用的數(shù)據(jù)庫劫持事件將在不遠的將來出現(xiàn)。

4.2 內部人員數(shù)據(jù)倒賣

根 據(jù)Identity Theft Resource Center和CyberScout發(fā)布的報告①“At Mid-Year, U.S.Data Breaches Increase at Record Pace”，CyberScout, 2017年7月18日.http://cyberscout.com/company/press-center/press-release/at-mid-year-us-data-breaches-increase-at-record-pace?title=&type=press_release.，預計2017年全年將會有多達1500起數(shù)據(jù)泄露事件發(fā)，相比2016年發(fā)生的1093起增加37%。Loudhouse曾發(fā)布的企業(yè)安全調查報告②“What's your employees' price?”, clearswift.https://www.clearswift.com/sites/default/files/documents/Infographics/Clearswift_What_is_your_employees_price_infographic_US.PDF.也顯示，如果價格到位，35%的員工會倒賣包括公司專利、財務記錄和客戶信用卡等敏感數(shù)據(jù)。

2017年6 月，Verizon證實有600萬用戶的數(shù)據(jù)被泄露，并表示此次數(shù)據(jù)泄漏是由該公司供應商的一名員工造成的，他因操作失誤導致外部可進入云存儲區(qū)域訪問信息。同年，Verizon發(fā)布數(shù)據(jù)泄露調查報告指出，已發(fā)生的數(shù)據(jù)泄露事件中，有25%是由內部人員造成的。因此，金融行業(yè)作為信息泄露高發(fā)的行業(yè)，應完善敏感信息保護措施，加強內部管理，建立必要的制約與控制機制。

圖13 數(shù)據(jù)泄露成因③ “Mitigate the cyber risks with the Verizon 2017 Data Breach Investigations Report.”，Verizon.http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/.

4.3 云上數(shù)據(jù)竊取

2017年中國私有云市場規(guī)模達預估已達425億元左右，到2020年市場規(guī)模將達到762.4億元④《2018-2024年中國私有云行業(yè)運營態(tài)勢及發(fā)展趨勢研究報告》，智妍咨詢集團，2017年11月.。而本次問卷調查顯示，我國金融行業(yè)約60%的機構使用了各類的云服務，大部分使用的是私有云，也有超過20%的機構使用公有云或者混合云。金融行業(yè)使用云業(yè)務最關心的風險除了數(shù)據(jù)及隱私保護外，也十分關注業(yè)務的訪問權限控制。

圖14 企業(yè)使用云計算服務比例

圖15 云計算服務安全風險點

個人數(shù)據(jù)及隱私安全不僅是企業(yè)自身的安全要求，也是國家監(jiān)管者越來越重視的方面。如歐盟頒布的《一般數(shù)據(jù)保護條例》，將于2018年5月25日起實施，要求加強對歐盟所有人的隱私權保護、物聯(lián)網的隱私權保護，并簡化數(shù)據(jù)保護的管理。而在國內，新頒布的《網絡安全法》和正在制訂的《個人信息保護法》也突出了國家監(jiān)管者對數(shù)據(jù)及隱私安全的重視。

5 業(yè)務安全威脅介紹

業(yè)務安全威脅來源有很多，如使用不安全的函數(shù)或協(xié)議，集成了有缺陷的SDK、Web插件、服務器程序，或者業(yè)務流程上的邏輯缺陷等。

依據(jù)本次問卷收集數(shù)據(jù)統(tǒng)計，金融行業(yè)已經大幅度互聯(lián)網化，83.5%的機構或企業(yè)都開展了互聯(lián)網業(yè)務。在互聯(lián)網業(yè)務中，Web類的攻擊顯得非常突出，在安全管理中，企業(yè)機構非常關注三方面的問題：1、自身資產是否存在漏洞 2、自有資產開放高危端口與服務情況 3、是否存在信息泄露風險。結合金融行業(yè)業(yè)務發(fā)展現(xiàn)狀，業(yè)務安全威脅重點梳理了Web攻擊、銀行機構ATM與SWIFT攻擊威脅、金融欺詐威脅、移動支付威脅、區(qū)塊鏈安全威脅。

在金融行業(yè)的信息系統(tǒng)開發(fā)環(huán)節(jié)，僅有32.9%的機構采用SDL管理，而且調查顯示，大部分安全管理工作集中在運維、上線、測試階段，在需求、設計、編碼階段對安全考慮十分欠缺。

5.1 Web攻擊與代碼缺陷

Web攻擊是常見的攻擊類型。根據(jù)綠盟防護數(shù)據(jù)統(tǒng)計，73.6%的網站遭遇過不同程度的Web類型的攻擊，65.9%的網站遭遇了利用特定程序漏洞進行的攻擊。

圖16 Web類攻擊分布

在金融行業(yè)中，針對Web服務器的攻擊中，攻擊次數(shù)最多的仍然是一些最常規(guī)的攻擊手段，包括SQL注入、XPATH注入、跨站、路徑穿越、命令注入等，這部分攻擊占比超過60%。Web攻擊已經成為一個基本的攻擊手段，也是各類攻擊中相對容易實施的。此外針對特定的Web插件、服務器程序的攻擊比例也相對較高，企業(yè)應該定期維護系統(tǒng)，升級相關的服務器應用。

圖17 Web類攻擊類型細分

從服務器類型上來看，在金融行業(yè)中Nginx、IIS、Tomcat服務器是遭受攻擊最為頻繁的資產類型，在使用這類服務器時應該仔細防護。

圖18 受攻擊的Web服務器類型

從服務器系統(tǒng)應用程序的角度，針對金融行業(yè)的攻擊中普遍針對的漏洞類型是關鍵信息泄露，這類漏洞通常是由于服務器軟件配置上的錯誤造成，這些信息包括文件在服務器磁盤系統(tǒng)中位置、系統(tǒng)版本號等不一而同，能夠提供進一步入侵所需的各種資料。此外，文件類型過濾錯誤導致的文件執(zhí)行也是經常出現(xiàn)的漏洞類型，這類攻擊造成的危害更為嚴重，直接可以獲取高權限webshell，為黑客提權控制創(chuàng)造了條件。

圖19 Web服務器最常被利用的漏洞類型分布

代碼存在缺陷是Web攻擊事件逐年增加的主因。參考Fortify官方的表述，根據(jù)代碼缺陷形成的原因、被利用的可能性和表現(xiàn)出的安全問題等因素進行分析，將代碼缺陷分為八類：

圖20 常見的代碼缺陷分類

5.2 業(yè)務欺詐

隨著消費金融的快速發(fā)展，各類金融機構都面臨著一個嚴峻的問題：欺詐。在全球風險管理咨詢公司Kroll發(fā)表的《2017/18年度全球反欺詐及風險報告》①“Global Fraud & Risk Report”， Kroll.https://www.kroll.com/en-us/global-fraud-and-risk-report-2018.中，中國有86%的受訪企業(yè)表示2017年曾遭受欺詐，較全球平均值的84%略高2個百分點。

《中國金融反欺詐技術應用報告》②《中國金融反欺詐技術應用報告》，零壹智庫，猛犸，2017年8月.指出，2017年第一季度，金融服務領域被拒絕的交易相較于2016年增長了40%，相關僵尸攻擊的年同比增長幅度為180%；預計到2020年，在線支付欺詐將達256億美元，而預計到2019年因數(shù)據(jù)泄露造成的經濟損失在全球范圍內將達到2.1萬億美元。金融欺詐設計的業(yè)務環(huán)節(jié)多、手段多樣、隱蔽性強，金融欺詐移動化、組織化程度不斷增加，新型金融科技公司愈漸成為欺詐者的目標。

圖21 2017年各行業(yè)發(fā)生欺詐事件比例 ③ 同腳注①

5.3 ATM與SWIFT攻擊

2017年度，針對銀行ATM設備的攻擊方式有了新發(fā)展，利用紅外插入式卡槽器展開網絡攻擊活動。據(jù)悉，插入式卡槽器是一款采用短距離紅外通信技術的超薄微型設備，隱藏在ATM 機卡槽內捕獲信用卡數(shù)據(jù)并存儲在嵌入式閃存中。雖然該設備構造簡單，但主要通過天線將竊取的私人數(shù)據(jù)傳輸至隱藏在 ATM 機外部的微型攝像頭中，進而收集信用卡或借記卡數(shù)據(jù)，之后極有可能被用于偽造信用卡或借記卡后獲取用戶資金。

2017年10 月份，臺灣遠東銀行SWIFT事件遭盜領6000萬美元，警方介入追回大部分臟款，損失約50萬美元。同期，泊爾 NIC 亞洲銀行沒有那么好的運氣，在類似的SWIFT事件中損失約500萬美元。而且，這并非銀行機構首次遭受黑客攻擊，充分說明銀行業(yè)金融機構對于反復發(fā)生的此類安全事件沒有足夠重視，且沒有有效的控制措施。信息安全管理不能只靠運氣，建立健全的安全管理體系和有經驗的安全團隊才是降低風險的正確道路。

5.4 移動支付安全

中國支付清算協(xié)會移動支付和網絡支付應用工作委員會發(fā)布了《2017年移動支付用戶調研報告④《2017年移動支付用戶調研報告》，中國支付清算協(xié)會，2018年1月2日.http://www.pcac.org.cn/index.php/focus/list_details/ids/457/id/50/topicid/3.html.中指出：有59.0%用戶擔心移動支付安全問題。用戶在使用生物識別技術進行移動支付身份識別和交易驗證時，首要擔心的問題是個人隱私泄露和存在安全隱患，占比分別為77.1%和70.2%。

根據(jù)中國銀聯(lián)發(fā)布的《2017移動互聯(lián)網支付安全調查報告》⑤“中國銀聯(lián)發(fā)布2017移動支付安全調查分析報告”, 2018年1月17日.http://corporate.unionpay.com/infonewsCenter/infoCompany News/file_140100747.html.，移動支付安全存在的5大風險是：隨意掃碼；刪除手機應用APP時不解除銀行卡綁定；上網時如實填寫各類支付信息；看有鏈接的短信或郵件；安裝跳出來的不明文件。因此，作為移動支付的使用者，需要時刻提高警惕，防范各種支付風險。中國銀聯(lián)的報告還指出，被調查者中，超過6成被訪者在使用手機時，存在不安全行為，對個人信息或支付賬號安全產生威脅。如，49%的用戶在刪除手機應用程序時，不解除銀行卡綁定。因此，作為移動支付的使用者，需要時刻提高警惕，防范各種支付風險。

圖22 支付方式 ①“中國銀聯(lián)發(fā)布2017移動支付安全調查分析報告”, 2018年1月17日.http://corporate.unionpay.com/infonewsCenter/infoCompany News/file_140100747.html.

5.5 區(qū)塊鏈安全

區(qū)塊鏈是一種分布式網絡交易記賬系統(tǒng)。它具有的開放性、全球性的特點，保證了交易活動可以在任何時間、任何地點進行，突破了傳統(tǒng)貿易在時空上的限制。因此被認為在金融、征信、物聯(lián)網、經濟貿易結算、資產管理等眾多領域都擁有廣泛的應用前景。2017年，隨著國務院把區(qū)塊鏈技術列入在“十三五”規(guī)劃②“What’s the future of blockchain in China?”， World Economic Forum, 2018年1月11日.https://www.weforum.org/agenda/2018/01/what-s-the-future-of-blockchain-in-china.，中國的加密貨幣市場總值也增長了30倍。

在ENISA發(fā) 布 的《Distributed Ledger Technology & Cybersecurity》③“ENISA report on blockchain technology and security”，ENISA，2018年1月18日.https://www.enisa.europa.eu/news/enisa-news/enisa-report-on-blockchain-technology-and-security.報告中分析了區(qū)塊鏈技術，同時也明示了它所帶來的一些挑戰(zhàn)：如密鑰管理，隱私，智能合約等。報告指出，傳統(tǒng)系統(tǒng)和區(qū)塊鏈中使用的一些安全原則雖然是相同的，但是它仍然帶來了新的挑戰(zhàn)值得我們去關注，比如共識劫持和智能合約管理。

然而，在區(qū)塊鏈不斷得到研究、應用的同時，在技術層面和應用層面依舊存在一定的安全局限，在共識機制、私鑰防盜等方面仍需提高安全意識和加強防范措施。2018年2月，132名投資者向日本加密交易所Coincheck提起訴訟，要求其賠償2.28億萬日元（約200萬美元）損失，原因是Coincheck在1月下旬曾遭受黑客重大攻擊，導致價值超過5.23億美元的NEM被盜。有投資者認為事件是Coincheck對“安全措施的忽視”造成的④“132名投資者起訴Coincheck交易所，尋求超400萬美元賠償”，雷鋒網，2018年3月2日.https://www.leiphone.com/news/201803/WKxzAD1Eg93mNwr9.html.。

6 總結與展望

6.1 總結

金融科技是金融業(yè)務創(chuàng)新的一個模式，在這個模式中，通過科技的力量極大的改變和提升了金融業(yè)務在普惠性、便捷性、差異性、靈活性等方面的發(fā)展和建設程度。回顧人類的歷史，科學技術通常帶有創(chuàng)造和毀滅的兩面性，對于金融業(yè)這樣一個特殊的行業(yè)，必須實時保持對風險的警惕和防范控制。在2017年的“全國金融工作會議“上，習近平主席特別強調防控金融風險是當前的一項主要工作任務。因此在金融科技這樣一個創(chuàng)新模式中行業(yè)機構必須重視科技本身以及在其利用和使用過程中所攜帶和面對的安全隱患。

本報告結合最新的案例和豐富的情報來源，以金融科技面臨網絡安全威脅、數(shù)據(jù)安全威脅和業(yè)務安全威脅作為切入點，直觀地分析了各類威脅的現(xiàn)狀及趨勢，在分析DDOS、web類攻擊和數(shù)據(jù)庫漏洞利用等傳統(tǒng)威脅的同時，更加著重對移動互聯(lián)網、云計算、區(qū)塊鏈等新技術所帶來安全威脅進行分析。從分析中可見，金融科技要持續(xù)、健康地發(fā)展，安全問題必不可忽視，需要從安全意識教育、安全設備部署、安全服務引入、安全人才儲備、安全預算投入等方面提升整體安全能力。

6.2 展望

按照2017年的“全國金融工作會議“的要求，一切金融業(yè)務都要納入監(jiān)管，因此金融機構在發(fā)展和應用金融科技的同時必須嚴格依據(jù)和滿足國家監(jiān)管要求，不能一味追求追求創(chuàng)新。金融科技的風險誠如前面報告分析所示，包括了諸多的方面，既有持續(xù)出現(xiàn)的傳統(tǒng)網絡安全威脅也有新興的網絡安全威脅。綜合考慮這些風險的危害范圍、危害程度以及金融機構的應對防護現(xiàn)狀，我們認為針對金融科技風險，金融機構需要在未來關注以下六個方面：

- 新的監(jiān)管合規(guī)要求

重視自身風險管控能力與風險之間的匹配和差距程度。

- 內部的安全培訓

提高內部人員安全意識，加強開發(fā)安全標準、安全部署與管理等方面的意識和技能培養(yǎng)。

- 新技術應用風險

應對物聯(lián)網，區(qū)塊鏈，移動支付等潛在安全風險。

- 開發(fā)安全管控

系統(tǒng)地識別和消除各個階段可能出現(xiàn)的由于人員知識和技能、開發(fā)環(huán)境、業(yè)務邏輯等所造成的信息安全風險。

- 高風險網絡攻擊

應對DDOS攻擊、WEB攻擊、有組織的APT攻擊、欺詐與勒索等潛在安全威脅。

- 數(shù)據(jù)安全

一方面要切實遵循國內外數(shù)據(jù)及隱私安全監(jiān)管條例，另一方面加強企業(yè)數(shù)據(jù)保護及防范數(shù)據(jù)倒賣風險的能力。

作者介紹：

平安金融安全研究院是由平安集團旗下的全資子公司平安科技成立的業(yè)界首家綜合性的金融安全研究及創(chuàng)新機構，為平安集團、行業(yè)、國家提供強有力的金融安全技術支撐，推動和引領我國在金融安全方面的科學技術進步，打造金融安全品牌。

北京神州綠盟科技有限公司（以下簡稱綠盟科技）成立于2000年4月，總部位于北京。在國內外設有40多個分支機構，為金融、政府、運營商、能源、互聯(lián)網以及教育、醫(yī)療等行業(yè)用戶，提供具有核心競爭力的安全產品及解決方案，幫助客戶實現(xiàn)業(yè)務的安全順暢運行。

參考資料介紹：

《2017中國企業(yè)金融科技安全調查問卷》

本問卷由平安金融安全研究院和北京神州綠盟信息安全科技股份有限公司共同發(fā)起，主要用于統(tǒng)計2017年度行業(yè)信息安全現(xiàn)狀，便于更好地設計安全的金融科技產品。本問卷共發(fā)出1591份，覆蓋安全行業(yè)及金融行業(yè)。