廣東墻體廣告價格 2018年3月29日平安科技聯(lián)合綠盟科技在深圳四季酒店召開發(fā)布會�����,會上正式發(fā)布《2017金融科技安全分析報告》,報告由平安金融安全研究院和綠盟科技聯(lián)合撰寫����。該報告結合《2017中國企業(yè)金融科技安全調查問卷》和綠盟科技運營數(shù)據(jù)作為主要情報來源,直觀地分析了金融行業(yè)安全威脅的現(xiàn)狀及趨勢�����。依托云計算�����、大數(shù)據(jù)、人工智能�����、區(qū)塊鏈等先進的計算機技術的發(fā)展���,金融服務也趨于多樣化����、便利化��、智能化��。金融科技的出現(xiàn)頻率正在高速增長�����,技術變革與創(chuàng)新加速��,至今已經步入金融科技3.0時代�����。
金融科技日漸成為金融產品的重要支撐手段,攻擊者也在不斷豐富其攻擊目標和攻擊手段��,以圖提升自身的攻擊變現(xiàn)能力����,獲利是他們的核心訴求。那么對于金融科技安全從業(yè)者而言���,在傳統(tǒng)的以脆弱點和檢測點為核心的防護方案之外���,更應從獲利點出發(fā)����,逆向分析,進而組織自身的防護體系��。本文延續(xù)報告結構���,從網(wǎng)絡安全��、數(shù)據(jù)安全��、業(yè)務安全三個方面進行解讀����。
網(wǎng)絡安全方面,拒絕服務攻擊已是當前金融領域極為常見的安全威脅�����。2017年DDoS攻擊發(fā)生總次數(shù)207,000次�,單次攻擊最高峰值1.4Tbps。與2016年相比�,2017DDoS攻擊仍然頻繁,攻擊總流量大幅上升����。統(tǒng)計數(shù)據(jù)表明,金融機構互聯(lián)網(wǎng)帶寬一般在100M上下��,攻擊流量峰值達到了萬倍以上�,攻防完全不在一個量級。攻擊威脅的源頭是攻擊方采用大量物聯(lián)網(wǎng)設備如攝像頭發(fā)起攻擊��,攝像頭的24小時在線�����、帶寬穩(wěn)定及缺少維護剛好成為了優(yōu)秀的攻擊設備。以一個不超過300秒���,攻擊流量帶寬在125Gbps的DDOS攻擊為例���,其實施攻擊成本為5至6美元,購買該攻擊的服務成本約為20美元����,但給受害者帶來的損失則可能在2萬至10萬美元的損失(視機構規(guī)模和業(yè)務而定)。應對思路是綜合防范��,如運營商流量清洗和本地拒絕服務防護為主���,網(wǎng)站運營監(jiān)測等手段為輔�,多管齊下進行防護����。以綠盟科技企業(yè)安全平臺(ESP)為例��,該平臺以大數(shù)據(jù)框架為基礎�,結合威脅情報系統(tǒng),通過攻防場景模型的大數(shù)據(jù)分析及可視化展示等手段,協(xié)助客戶建立和完善安全態(tài)勢全面監(jiān)控����、安全威脅實時預警����、安全事故緊急響應的能力�����。
數(shù)據(jù)安全方面��,數(shù)據(jù)泄露事件頻繁發(fā)生��。比如美國Equifax征信行業(yè)巨頭發(fā)生的數(shù)據(jù)泄露泄露事件��,約1.43億美國用戶的個人數(shù)據(jù)受到襲擊����,這也是美國歷史上最大的數(shù)據(jù)泄漏事件之一。統(tǒng)計數(shù)據(jù)表明��,數(shù)據(jù)庫勒索也是黑客攻擊金融業(yè)的一種常見手段����。許多數(shù)據(jù)庫的讀取接口直接暴露在互聯(lián)網(wǎng)上,并且沒有設置完整的訪問控制策略�,通過弱密碼甚至空密碼就可以直接獲取數(shù)據(jù)庫的控制權限���。黑客由此獲取數(shù)據(jù)庫控制權,加密或破壞數(shù)據(jù)�,以此要挾受害者支付贖金。中國金融機構應完善敏感信息保護措施���,加強內部管理�����,建立必要制度與控制機制�。
業(yè)務安全方面��,在互聯(lián)網(wǎng)業(yè)務中��,Web類攻擊格外突出��,且影響嚴重��。統(tǒng)計數(shù)據(jù)表明���,73.6% 的網(wǎng)站遭遇過不同程度的Web類型的攻擊,約65.9% 的網(wǎng)站遭遇過利用特定程序漏洞進行的攻擊�。相關安全事件頻發(fā)��,如盜刷資損�、薅羊毛�����、安全漏洞攻擊等����,對業(yè)務造成資金損失,且對企業(yè)品牌造成極大的負面影響�。分析個中緣由,大部分企業(yè)開發(fā)團隊開發(fā)任務注重功能實現(xiàn)�����,安全管理工作集中在上線階段��,或偏重“安全測試”管控�����,采用業(yè)務流程安全分析方法盡量識別出可能存在的威脅����,針對識別出的威脅構建安全測試用例��,嚴格把控測試過程并形成大量測試指南及測試工具集����。但是,由于沒有全局管控流程�����,無安全需求及安全設計技術措施�����,安全測試發(fā)現(xiàn)問題反復出現(xiàn)�����,消耗大量安全測試成本�����,治標不治本�����。從整個開發(fā)生命周期來看,需求階段�、設計階段和編碼階段對安全考慮十分欠缺��。以綠盟在安全開發(fā)生命周期管控安全需求的經驗����,安全需求提出的全面性和合理性考量,會在安全需求評審會中進行考量����。需要引入經驗豐富的內部或外部安全專家和開發(fā)專家,能不斷以變化和最新的威脅角度審視安全需求是成功的關鍵�。同樣地,通過業(yè)務人員的安全意識增強和安全編碼技能的提升����,綜合提高業(yè)務風險管控。
綜上�,金融和科技技術的融合發(fā)展大力推動了金融服務領域的拓展和維度,其面臨的安全威脅也與日俱增�����。金融科技要持續(xù)����、健康地發(fā)展�����,安全問題必不可忽視�����?�?梢哉J為���,報告提出的威脅情報、綜合平臺建設���、業(yè)務風險管控����、人才儲備和安全意識等方法和解決思路可以幫助金融機構的管理者們了解安全威脅現(xiàn)狀和趨勢�����,找出有效地解決方案�����。
