2018-《2017年金融科技安全分析报告》

2017 2017 金融科技安全金融科技安全分析报告分析报告每日免费获取报告 1、每日微信群内分享5+最新重磅报告； 2、每日分享当日华尔街日报、金融时报； 3、每周分享经济学人 4、每月汇总500+份当月重磅报告（增值服务）扫一扫二维码关注公号回复：研究报告加入“起点财经”微信群。平安金融安全研究院是由平安集团旗下的全资子公司平安科技成立的业界首家综合性的金融安全研究及创新机构，为平安集团、各行业和国家提供强有力的金融安全技术支撑，为金融机构在互联网时代下的信息安全建设、业务安全风控、金融科技安全保障和国家金融安全作出技术贡献，努力推动和引领我国在金融安全方面的科学技术进步，打造金融安全品牌。北京神州绿盟信息安全科技股份有限公司（以下简称绿盟科技）成立于 2000 年 4 月，国内外设有 40 多个分支机构，一直为各行业提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技在网络空间安全生态建设和威胁情报应用方面组建的专业性威胁情报研究中心。《2017 中国企业金融科技安全调查问卷》本报告部分数据来源于问卷调查。问卷由平安金融安全研究院和北京神州绿盟信息安全科技股份有限公司共同发起，共发出 1591 份，覆盖安全行业和金融行业，参与者主要为：安全架构师、安全咨询师、安全工程师，占比 40.3%；安全开发及运维人员，占比 15.7%；还包括首席执行官、首席信息官、信息安全官、IT 部门主管、业务部门主管等。目录 01 执行摘要 02 安全现状 03 安全态势 04 02 金融科技 05 03 网络安全威胁介绍 07 3.1 DDoS 攻击 07 3.2 网络勒索 10 3.3 僵尸网络 11 3.4 APT 攻击 15 04 数据安全威胁介绍 16 4.1 数据库漏洞与利用 16 4.2 内部人员数据倒卖 17 4.3 云上数据窃取 18 05 业务安全威胁介绍 19 5.1 Web 攻击与代码缺陷 19 5.2 业务欺诈 22 5.3 ATM 与 SWIFT 攻击 23 5.4 移动支付安全 23 5.5 区块链安全 24 06 总结与展望 25 6.1 总结 25 6.2 展望 26 02 2017 金融科技安全分析报告 01 执行摘要在 2017 年 8 月 22 日，世界经济论坛发布了报告《超越金融科技：全面评估金融服务的颠覆潜力》1。该报告涵盖了数百位金融、科技领域专家的访谈内容，旨在探索创新对全球金融生态系统的影响。报告对驱动 FinTech 创新的 8 大因素及其颠覆潜力进行了定义；同时总结出在 FinTech 冲击下，支付、信贷、财富管理、保险、数字银行等 7 大金融领域未来的创新模式和路径，以及每个领域所面临的风险和可能的终局。近年，依托云计算、大数据、人工智能、区块链等先进的计算机技术的发展，金融服务也趋于多样化、便利化、智能化。金融科技的出现频率正在高速增长，伴随其技术变革与创新加速，至今已经步入金融科技 3.0 时代。天下熙熙皆为利来，天下攘攘皆为利往，逐利更是攻击者的天性。随着金融科技日渐成为金融产品的重要支撑手段，攻击者也在不断丰富其攻击目标和攻击手段，以图提升自身的攻击变现能力。一方面，攻击者对金融科技系统的渗透逐步深入，从网络服务、金融业务逐步深入到核心业务数据、用户财产和隐私。攻击者不再满足于危害金融系统的可用性，更青睐从贩卖数据和资产转移中直接获利。另一方面，攻击者不局限于传统针对信息系统的攻击，愈多从人员的角度迂回渗透，勾结内部人员进行数据倒卖。Loudhouse 曾发布的企业安全调查报告显示，如果价格到位，35% 的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。这一调查事实也侧面印证在网络安全、业务安全和数据安全之外，人员安全同样也需要重视。对于以金融科技为目标的攻击者，获利是他们的核心诉求。那么对于金融科技安全从业者而言，在传统的以脆弱点和检测点为核心的防护方案之外，更应从获利点出发，逆向分析，进而组织自身的防护体系。 1 《超越金融科技：全面评估金融服务的颠覆潜力》, 世界经济论坛，2017 年 8 月 . 2017 金融科技安全分析报告安全现状金融行业经大幅度互联网化，83.5% 的机构或企业都开展了互联网业务。金融行业约 1 60% 的机构使用了各类云服务，大部分使用的是私有云，也有超过 20% 的机构使用公有云或者混合云。金融行业使用云业务时最关心的风险除了数据及隐私保护外，也十分关注业务的访问权限控制。 2 40% 金融行业机构对安全事件的处置可以在一天内完成，另外 40% 能在一周内完成，约 20% 对安全事件处置超过一周。同时，漏洞修补时间近半数超过一周。 3 从问卷统计中，我们认为安全事件的最主要成因是安全意识淡薄和运维投入不足，这或许是安全管理各类问题的根源所在。缺乏基本的安全意识，安全投入自然不足，同时安全管理制度上也会不够完善，导致数据安全、隐私保护等方面出现问题。金融行业从业者最关心的安全问题集中在数据安全与隐私保护，而合规性要求也是企业关 4 注安全问题的一个重要考量。但我们需要指出，安全措施是一个整体的规划，并不是一个方面或者某个领域的单一问题，需要从开发、管理、运维等各个生产环节进行规划，不是一台设备、一次巡检能够彻底解决的，为了更好的保护数据安全与隐私，需要有完善的配套管理流程、防护方案。 5 对于安全服务，业务量最大的服务包括安全咨询、安全运维、应急响应服务，从问卷统计中我们认为，金融行业仍然普遍缺乏安全管理的知识和经验，在安全培训、人才储备上需要加强。我们看到企业均加强了对信息安全问题的关注。另外，大部分企业（71.3%）会加大 6 预算的投入，但只有少部分（21%）企业打算扩招自己的安全团队。这应该是由于近年来互联网业务高速发展、企业业务复杂度大幅提升、新技术频出、攻击态势演变更加迅猛而促使企业采取应对举措。企业为了维护自身业务安全，需要技术、人员两方面的支持，不过大部分企业仍然倾向于通过业务外包来减轻自己管理规划的负担。 03 04 2017 金融科技安全分析报告安全态势 1 2 3 4 5 2017 年与 2016 年相比，DDoS 攻击总流量和攻击规模大幅上升，攻击总流量达 64 万 TBytes，增长 79.4%，单次攻击峰值高达 1.4Tbps，是 2016 年的近 2 倍。 2017 年 Botnet 的数量和规模在不断扩大。其中，C&C（僵尸网络控制者）的数量持续不断增长，在进入 8 月份后增速明显，10 月份环比增长达到 1.67%。同时，全球受控主机的数量间歇性增长，8 月份的数量环比上月增长高达 3 倍（增长 320%）。网络勒索事件频发，“Opicarus2017”等多起事件利用勒索病毒进行攻击，危及大量金融机构的网站安全，并导致敏感数据泄露。 MySQL 的漏洞暴露情况最为严重，MySQL 和 PostgreSQL 在过去三年里的漏洞数量有着较快的增长。以 Web 应用为目标的攻击中，据统计，针对框架（例如 Struts、ThinkPHP）的攻击占比高达 54%，插件类（例如 ImageMgick 等）占比 39%，而针对具体 CMS 程序的攻击占比较低。本报告将结合相关企业数据、行业报告和安全分析报告，从互联网的角度重点分析金融行业的网络安全现状。报告将简单介绍金融科技的发展历程和趋势，重点介绍典型的网络安全威胁、数据安全威胁和业务安全威胁，并结合各环节中的典型安全案例和《2017 中国企业金融科技安全调查问卷》，分析金融科技机构的安全现状及面临的安全趋势。金融行业要持续、健康地发展，必定不可忽视安全问题。作为报告的编纂方，平安金融安全研究院与绿盟科技希望本报告能为我国金融业从业机构提供一个可参考的安全视角，为我国金融业的健康发展贡献一份薄力。 2017 金融科技安全分析报告 05 02 金融科技传统金融是只具备存款、贷款和结算三大传统业务的金融活动，传统金融机构在面对市场竞争时的应对能力明显不足。随着互联网的发展，互联网金融时期来临，金融业搭建在线业务平台，通过互联网渠道收集用户信息，完成业务处理。传统金融加科技服务，这是金融科技 1.0 阶段。金融科技 2.0 则是向服务金融科技转化，通过底层技术革新促使金融服务的方式发生变革，重塑金融产品的生成模式和定价模式，极大提升资产配置效率。其典型应用有智能投顾、智能信贷、供应链金融等。金融科技不断发展，同时也面临着越来越多的安全威胁，安全事件频发，对业务造成资金损失和极大的负面影响，关注金融安全将是金融科技 3.0 时代的重中之重。金融科技涉及领域广泛，应用场景多元。大数据、人工智能、区块链和云计算作为金融科技核心技术，使金融服务更加高效、智能，已在许多场景展露头角。 06 2017 金融科技安全分析报告图 1 - 金融科技的应用场景 2 金融科技天生拥有创新基因，对行业、经济、民生是有益的，但插上科技翅膀的金融，具有更强、更广和更快的易破坏性，因而尤其需要引导和规范。在国际上，美国、英国、欧盟等相继发布金融科技监管文件，以平衡发展需求。而国内也已加快金融监管机构、法律法规等的建设，中国人民银行已成立金融科技（FinTech）委员会，旨在加强金融科技工作的研究规划和统筹协调。从总体上看，国家监管者对金融科技发展持开放态度，但同时对于金融科技风险的重视程度也逐年增强，预计未来几年，国内监管机构将采取更为主动积极的监管措施。 2 《金融科技》，周伟，张健，梁国忠，2017 年 8 月 . 2017 金融科技安全分析报告 07 03 网络安全威胁介绍金融科技技术的发展大力推动了金融服务领域的拓展和维度，其面临的安全威胁也与日俱增。《2017 年度网络犯罪报告》3 中指出：网络犯罪是当今世界上所有公司面临的最大威胁，也是人类面临的最大问题之一。根据这份报告，到 2021 年为止，网络犯罪的成本将从 2015 年的 3 万亿美元增加到 6 万亿美元。众所周知，金融行业是我国网络安全重点行业之一，因其行业特殊性金融机构一直是网络犯罪的主要目标。以下，我们将通过 2017 年金融行业的重大安全事件说明安全威胁可