信息來源：FreeBuf

一、執(zhí)行摘要

近年，依托云計算、大數據、人工智能、區(qū)塊鏈等先進的計算機技術的發(fā)展，金融服務也趨于多樣化、便利化、智能化。金融科技的出現頻率正在高速增長，伴隨其技術變革與創(chuàng)新加速，至今已經步入金融科技3.0 時代。但隨著金融科技日漸成為金融產品的重要支撐手段，攻擊者也在不斷豐富其攻擊目標和攻擊手段，以圖提升自身的攻擊變現能力。金融科技安全從業(yè)者在傳統的以脆弱點和檢測點為核心的防護方案之外，更應從獲利點出發(fā)，逆向分析，進而組織自身的防護體系。金融科技安全現狀和安全趨勢值得關注：

l 金融業(yè)務大幅云化，金融行業(yè)約60%的機構使用了各類云服務；

l 金融行業(yè)機構對安全事件處置時間滯后，20%的安全事件處置時間超過一周；

l 金融機構業(yè)務流程欠缺，只有32.9%采用了SDL開發(fā)；

l 信息安全不可忽視，71.3%的企業(yè)計劃增加安全預算投入，但只有21%的企業(yè)打算擴招安全團隊。

二、金融科技

從金融科技1.0到金融科技2.0，底層技術創(chuàng)新促使金融服務的方式發(fā)生變革，金融產品和業(yè)務模式不斷變化。金融科技涉及領域廣泛，應用場景多元。大數據、人工智能、區(qū)塊鏈和云計算作為金融科技核心技術，使金融服務更加高效、智能，已在許多場景展露頭角。

金融科技的應用場景

金融科技迅猛發(fā)展的同時也面臨著越來越多的安全威脅，安全事件頻發(fā)，對業(yè)務造成資金損失和極大的負面影響，關注金融安全將是金融科技3.0 時代的重中之重。

三、網絡安全威脅介紹

眾所周知，金融行業(yè)是我國網絡安全重點行業(yè)之一，因其行業(yè)特殊性金融機構一直是網絡犯罪的主要目標。

3.1 DDoS攻擊

2016 vs 2017各月份攻擊次數和流量 

2017 年同2016 年相比，攻擊發(fā)生次數基本保持平穩(wěn)，共計發(fā)生20.7 萬次。但是從攻擊總流量上來看有較為明顯的波動，從年初到5 月份前后，攻擊總流量有非常顯著的增長，而5 月份之后攻擊總流量回落至較為平穩(wěn)的水平。與2016 年相比，2017 攻擊仍然頻繁，攻擊總流量大幅上升。

 

DDoS攻擊源設備類型

在2017 年的DDoS 攻擊中，攻擊源中IoT 設備的數量已經占據相當的比例，在或大或小規(guī)模的DDoS攻擊中IoT 設備都有顯著的占比，已經成為DDoS 網絡環(huán)境中需要重點關注的一個類別。從網絡總體態(tài)勢來看，物聯網迅猛發(fā)展的過程中必然伴隨著安全技術的滯后，可預測IoT 設備的威脅治理會進一步提上日程，而作為最易實施的攻擊類型之一，IoT 遭受DDoS 攻擊的數量會進一步上漲。 

3.2 網絡勒索

2017年相繼發(fā)生“匿名者”、“無敵艦隊”等網絡勒索事件。現今，對互聯網服務的勒索攻擊已經成為一種網絡攻擊趨勢，平均每天有4000 起勒索軟件攻擊，亞洲成為2017年遭到勒索軟件攻擊最多的地區(qū)。

3.3 僵尸網絡

據綠盟科技監(jiān)測的數據顯示，2017 年Botnet 活動仍然十分猖獗，尤其Q2 季度更是Botnet 活動的高發(fā)期。根據綠盟科技監(jiān)控的僵尸網絡C&C 攻擊指令數據，在Botnet 活動最高峰時期，平均每天共發(fā)出5187次指令，單個C&C 每天發(fā)出的指令最高達114 次。全球受控主機的數量間歇性增長，2017年8月的數量環(huán)比月增長高達三倍之多。

僵尸網絡受控主機增長率

另外，物聯網設備在線時間長、數量規(guī)模大、用戶普遍疏于升級和配置等因素使其成為僵尸網絡的溫床。在綠盟科技持續(xù)跟蹤的Botnet 中，至少存在4% 的樣本攻擊目標為物聯網設備。雖然Botnet 形式還是以Windows 平臺的設備為主，但是近年來，隨著IoT 設備、智能設備、移動設備的入網，針對IoT 或其他智能設備、移動設備的惡意樣本也逐漸增多。

3.4 APT攻擊

高級長期威脅（Advanced Persistent Threat，APT），又稱高級持續(xù)性威脅、先進持續(xù)性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，僅針對特定的目標。其通常是出于商業(yè)或政治動機，針對特定組織或國家，并要求在長時間內保持高隱蔽性。，在巨大的利益驅使下，金融行業(yè)成為攻擊者的首選目標，2017年綠盟科技發(fā)現的境外APT-C1 組織就是利用“互金大盜”惡意軟件攻擊我國某互金平臺，竊取平臺數字資產就是典型針對金融行業(yè)新型業(yè)務所采取的APT 攻擊事件。

四、數據安全威脅介紹

近年，大規(guī)模數據泄露事件激增，2017 年前11 個月的數據泄露事件數量已比2016 年全年總數量多出10%。

4.1 數據庫漏洞與利用

數據庫勒索也是黑客攻擊金融業(yè)的一種常見手段。許多數據庫的讀取接口直接暴露在互聯網上，并且沒有設置完整的訪問控制策略，通過弱密碼甚至空密碼就可以直接獲取數據庫的控制權限。黑客由此獲取數據庫控制權，加密或破壞數據，以此要挾受害者支付贖金。針對勒索事件涉及到的數據庫近三年的中危、高危漏洞進行統計后發(fā)現，MySQL的漏洞暴露最嚴重；而從增速方面看，除了MySQL，PostgreSQL在過去三年里的漏洞也有較快的增長。

 

中危、高危漏洞統計 

4.2 內部人員數據倒賣

根據Identity Theft Resource Center 和CyberScout 發(fā)布的報告，2017年全年有多達1500 起數據泄露事件發(fā)生，相比2016年發(fā)生的1093 起，增加37%。而美國運營商Verizon 發(fā)布數據泄露調查報告指出，已發(fā)生的數據泄露事件中，25% 由內部人員造成。金融行業(yè)作為信息泄露高發(fā)的行業(yè)，應完善敏感信息保護措施，加強內部管理，建立必要制度與控制機制。

  

數據泄露成因

4.3云上數據竊取

2017年中國私有云市場規(guī)模達預估已達425億元左右，到2020 年市場規(guī)模將達到762.4 億元。從由平安金融研究院和綠盟科技發(fā)起的《2017中國企業(yè)金融科技安全調查問卷》中，統計出我國金融行業(yè)約60% 的機構使用了云服務，大部分使用的是私有云，也有超過20% 的機構使用公有云或者混合云。金融行業(yè)使用云業(yè)務最關注的安全風險是數據及隱私保護、業(yè)務的訪問權限控制。

企業(yè)使用云服務比例 

五、業(yè)務安全威脅介紹

金融行業(yè)中，有83.5%的機構或企業(yè)都開展了互聯網業(yè)務。企業(yè)、機構對業(yè)務面臨的互聯網風險，最關注以下三個方面：自身資產是否存在漏洞；自有資產開放高危端口與服務情況；是否存在信息泄露風險。結合金融行業(yè)業(yè)務發(fā)展現狀，業(yè)務安全威脅重點梳理了Web 攻擊、銀行機構ATM 與SWIFT 攻擊威脅、金融欺詐威脅、移動支付威脅、區(qū)塊鏈安全威脅。

5.1 Web攻擊與代碼缺陷

Web 攻擊是常見的攻擊類型。根據綠盟科技防護數據統計，73.6% 的網站遭遇過不同程度的Web 類型的攻擊，65.9% 的網站遭遇過利用特定程序漏洞進行的攻擊。

遭受Web應用攻擊的站點占比 

Web攻擊已成為基本攻擊手段，也是各類攻擊中相對容易實施的。在金融行業(yè)中，針對Web 服務器的攻擊中，攻擊次數最多的仍然是常規(guī)化攻擊手段：SQL注入、XPATH 注入、跨站、路徑穿越、命令注入等；這幾類攻擊的占比超過60%。從服務器類型上來看，在金融行業(yè)中Nginx、IIS、Tomcat 服務器是遭受攻擊最為頻繁的資產類型。針對特定的Web插件、服務器程序的攻擊比例也相對較高，建議企業(yè)應該定期維護系統，升級相關的服務器應用。

Web類攻擊類型細分

代碼存在缺陷是Web 攻擊事件逐年增加的主因。在金融行業(yè)的信息系統開發(fā)環(huán)節(jié)，僅有32.9% 的機構采用SDL 管理，而且調查顯示，大部分安全管理工作集中在運維、上線、測試階段，在需求、設計、編碼階段，對安全考慮十分欠缺。

5.2 業(yè)務欺詐

隨著消費金融的快速發(fā)展，各類金融機構都面臨著一個嚴峻的問題：欺詐。在《2017/18 年度全球反欺詐及風險報告》中，中國有86% 的受訪企業(yè)表示2017 年曾遭受欺詐，較全球平均值的84% 略高2個百分點。2017年第一季度，金融服務領域被拒絕的交易相較于2016年增長了40%，相關僵尸攻擊增長幅度為180%；預計到2020年，在線支付欺詐將達256億美元。

 

2017年各行業(yè)發(fā)生欺詐事件比例 

5.3 ATM與SWIFT攻擊

2017年，針對銀行ATM設備的攻擊有了新的變化，如利用紅外插入式卡槽器展開網絡攻擊活動。黑客通過天線將竊取的死人數據傳輸到隱藏在ATM機外部的微型攝像頭中，進而收集信用卡或借記卡數據，之后極有可能被用于偽造信用卡或借記卡以便獲取用戶資金。另外，多起SWIFT事件發(fā)生，如尼泊爾NIC亞洲銀行，在事件中損失約500萬美元。類似事件說明銀行業(yè)金融機構對于反復發(fā)生的此類安全事件沒有足夠重視，且沒有有效的控制措施。信息安全管理必須建立健全的安全管理體系和有經驗的安全團隊，才是降低風險的正確道路。

5.4 移動支付安全

移動支付應用越來越廣泛，而有關數據指出，59%的用戶擔心移動支付安全問題。移動支付安全存在的5 大風險是：隨意掃碼；刪除手機應用APP 時不解除銀行卡綁定；上網時如實填寫各類支付信息；瀏覽有危險鏈接的短信或郵件；安裝跳出來的不明文件。報告還指出，被調查者中，超過6 成被訪者在使用手機時，存在上述不安全行為，對個人信息或支付賬號安全產生威脅。因此，作為移動支付的使用者，需要時刻提高警惕，防范各種支付風險。

支付方式

5.5 區(qū)塊鏈安全

區(qū)塊鏈是一種分布式網絡交易記賬系統。它具有的開放性、全球性的特點，保證了交易活動可以在任何時間、任何地點進行，突破了傳統貿易在時間和空間上的限制。因此被認為在金融、征信、物聯網、經濟貿易、結算、資產管理等眾多領域都擁有廣泛的應用前景。2017 年，隨著國務院把區(qū)塊鏈技術列入在“十三五”規(guī)劃 ，中國的加密貨幣市場總值也增長了30 倍。然而，在區(qū)塊鏈不斷得到研究、應用的同時，在技術層面和應用層面依舊存在一定的安全局限，在共識機制、私鑰防盜等方面仍需提高安全意識和加強防范措施。日本加密交易所Coincheck今年年初發(fā)生加密貨幣被盜事件，有投資者指責Coincheck對安全措施有所忽視。 

六、總結與展望

本報告結合最新的案例和豐富的情報源，以金融科技所面臨的網絡安全威脅、數據安全威脅和業(yè)務安全威脅作為切入點，直觀地分析了各類威脅的現狀及趨勢，在分析DDoS、Web 類攻擊和數據庫漏洞利用等傳統威脅的同時，更加著重對移動互聯網、云計算、區(qū)塊鏈等新技術所帶來安全威脅進行分析。

金融科技安全風險的未來關注點將聚焦在監(jiān)管合規(guī)新要求、內部安全培訓、新技術應用風險、開發(fā)安全管控、新技術應用風險、開發(fā)安全管控、高危險網絡攻擊、數據安全六個方面。并且，金融科技的可持續(xù)發(fā)展必須注重安全建設，從安全意識教育、安全設備部署、安全服務引入、安全人才儲備、安全預算等方面提升整體安全威力。 

七、關于平安金融安全研究院

由平安科技成立的業(yè)界首家綜合性的金融安全研究及創(chuàng)新機構，以“聚焦金融、著力創(chuàng)新、引領行業(yè)、打造品牌”為指導方針，著力整合“政、產、學、研、金、介、用”的業(yè)界優(yōu)秀資源，與國家、行業(yè)、高校、研究院所等強強聯合，“一手抓創(chuàng)新，一手抓落地”，創(chuàng)造一個良好的金融安全創(chuàng)新環(huán)境和生態(tài)，為平安集團、行業(yè)、國家提供強有力的金融安全技術支撐，為金融機構在互聯網、人工智能時代下的信息安全建設、業(yè)務安全風控、金融科技安全保障和國家金融安全作出科技貢獻，形成可持續(xù)發(fā)展的獨特學術研究優(yōu)勢、產品和服務，推動和引領我國在金融安全方面上的科學技術進步，打造金融安全品牌。

目前研究院下分6個研究領域：網絡安全、數據及內容安全、系統安全、金融業(yè)務安全、金融安全標準和政策、醫(yī)療信息及應用安全。各個研究領域的骨干精英均來自知名院校、科學家團隊、BAT、知名咨詢公司、金融機構、國內頂尖安全公司等。

下載查看完整報告：https://pan.baidu.com/s/1s_OIh_S0NeA1j6D7-xQqtg，提取碼：nlbl