强敌环伺:金融业信息安全威胁分析——整体态势

从早期的Zeus和其他以银行为目标的特洛伊木马程序,到现在的大规模分布式拒绝服务(DDoS)攻击,再到新颖的钓鱼攻击和勒索软件,金融服务业已成为遭遇网络犯罪威胁最严重的行业之一。金融服务业的重要性不言而喻,不仅在人们的生活中, 也在全球经济中发挥着重要作用。该行业遇到任何中断或停机都会带来严重影响,而此类组织所持有的一些敏感数据也很容易会变成有价值的商品。因此攻击者会将金融服务业看作一种有利可图的目标,并以此为目标开展各类攻击,具体攻击方式包括但不限于新发现的零日漏洞以及复杂的钓鱼攻击等。

攻击者会密切关注并积极攻击金融服务行业,这早已不是什么秘密。以往,Akamai围绕金融服务业发布的互联网状态报告(SOTI)主要以网络钓鱼或欺诈为主题,但这次我们采取了一种更广泛的方法,涵盖了影响金融服务业的一系列问题。

这种更广泛的视角使得我们发现,针对金融服务业的攻击数量正在快速激增,而且攻击者会以更快的速度利用新发现的零日漏洞。而金融服务业的客户也未能幸免,很多攻击者已经不再对该行业的从业机构发起攻击(毕竟这可能是全球最重视安全性的行业之一),而是转为攻击这些行业的消费者。在这种强敌环伺的情况下,金融服务业的安全专家就更有必要了解相关威胁态势的变化情况。

凭借对全球互联网的洞察和庞大的覆盖面,Akamai会定期针对不同行业发布互联网状态报告(SOTI)。最新的第8卷第3期报告主要以金融服务业为主,分析了该行业所面临的威胁和Akamai的见解。我们将通过总共三篇的系列文章详细介绍这些内容。本文是第一篇,主要介绍金融服务行业在信息安全威胁方面所面临的整体态势。

重点总结

本次报告所发现的重点结论主要是:

  • 在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。
  • 金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击
  • 利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
  • 本地文件包含(LFI)和跨站脚本(XSS)攻击的显著增加,意味着攻击者正在转换至以远程脚本执行(RCE)为目标的攻击方式,这会对内部网络安全造成更大的压力。
  • 利用金融服务业客户发起攻击的做法十分猖獗,以该行业为目标的攻击者,有超过80%会以直接攻击或钓鱼攻击的方式攻击金融服务业的客户,而非金融机构。
  • 钓鱼攻击(如Kr3pto)正在引入新技术,从而通过一次性密码令牌或推送通知的方式绕过双重身份验证(MFA)机制。

威胁形势:针对金融服务业的攻击正在激增

金融服务业始终是全球范围内最容易受到攻击的行业之一,并且攻击数量依然体现出增长的迹象,尤其是针对Web应用程序和API的攻击,不仅增速惊人,而且也日趋复杂。攻击者会设法在内部网络中获得立足点,进而开始进行各种破坏,其中的一种手段甚至会向被攻击的金融机构索取赎金,以防止损失进一步扩大。作为一个重要行业,金融服务业需要保证服务稳定运行,而攻击者除了攻击机构本身,还可以通过窃取的敏感信息变现,甚至攻击客户的账户并丛中窃取资金。

网络犯罪分子已经将目光投向了金融服务机构及其客户,不过我们也发现,很多业内机构已经增强了自己的网络安全意识,并增加了网络安全方面的IT预算。如果无法保护自己的周边环境和数据,可能会面临勒索软件和其他威胁的入侵,从而导致严重的关键数据外泄和财务损失。根据IBM的2022年数据泄漏成本告报统计,作为“关键基础设施”的金融服务业,其数据泄漏事件的平均成本高达597万美元。

为了充分了解金融服务业所面临的各种风险,我们必须把威胁情况作为一个整体来看待。为此,我们分析了大量活动数据,例如(恶意的和善意的)爬虫趋势、针对关键漏洞的利用尝试、以Web应用和API为目标的攻击,以及钓鱼活动。我们还检测了攻击者的IP地址,从而推断出攻击者的动机。此外,我们还分析了一整年的数据,借此更直观地了解到金融服务业的整体威胁态势(图1)。

257%Web应用程序和API攻击增长比例
81%爬虫活动增长比例
22%DDoS攻击目标增长比例

图1:金融服务业所面临不同类型攻击的增长情况

从较高的视角来看,金融服务业在如下几个关键领域已成为最容易受到攻击的垂直行业:Web应用程序和API攻击、DDoS、钓鱼、零日漏洞利用、爬虫活动。上文提到过,Web应用程序和API攻击数量的激增(金融服务业面临的此类攻击数量增长了3.5倍)尤其让人担心。此外,以金融机构为目标的爬虫活动也有显著增加。

每种攻击载体都带来了不同的安全风险和挑战,只有解决了这些问题才能进一步加强金融机构的安全性。下文我们还将更详细地研究各种攻击载体。总的来说,这些见解都证明金融机构加大网络安全方面的投资是非常有必要的。

安全风险与日俱增:应用程序和API攻击

Web应用程序和API依然是金融服务业一个重要的考虑因素。该行业的很多数字化转型工作都以应用程序和API为基础,相关机构也需要借助它们向第三方提供开放的服务,从而塑造更好的客户体验,在市场上获得更多价值和竞争优势。另外,客户也需要通过金融机构的应用来使用各种金融服务。尽管在COVID-19大流行之前,金融类应用程序的使用就很普遍了,但疫情的流行进一步推动了相关应用和服务的普及。

由于API能带来各种优势,很多企业都以将其纳入自己的生态系统中。在Postman发布的2022年API状态报告中,89%的受访者表示,今年可能会增加有关API开发工作的投资。在某些情况下,采用API也是为了满足监管要求。例如欧盟的Payment Services Directive 2要求欧洲银行公开API,以便让金融服务提供商访问与贷款、账户等信息有关的客户数据。

在API的帮助下,银行和第三方相互之间可以实现标准化的客户金融信息数据连接和交换。另外,Web应用程序则能通过更便捷、快速的处理和可靠的服务改善客户体验,降低金融服务机构的成本。不过这些Web应用程序中的漏洞也可能让攻击者借此攻陷系统并窃取敏感数据。虽然API和Web应用带来了很多好处和优势,但也可能为网络犯罪分子带来全新的攻击面。

过去12个月里,Web应用程序和API攻击出现了大规模增长,金融服务业依然是其中最主要的目标。经过分析,我们发现金融服务业是最容易被攻击的三大垂直行业之一,承受了15%的攻击总量,紧随其后的是高科技行业(图2)。在2022年的大部分时间里,金融服务也都已经超过高科技行业,成为遭受攻击总量最多的行业。

从较高的视角来看,金融服务业在如下几个关键领域已成为最容易受到攻击的垂直行业:Web应用程序和API攻击、DDoS、钓鱼、零日漏洞利用、爬虫活动。

图2:过去12个月,Web应用程序和API攻击的首要目标行业为商业、高科技以及金融服务业

Web应用程序和API对金融服务业的重要性与日俱增,这也吸引着越来越多的攻击者围绕这些领域寻找漏洞并发起攻击。首先,在构建这类应用和API时,安全性本身就是一个艰难的挑战。这些Web应用程序中隐藏的漏洞可能导致RCE和入侵。其次,这类Web应用程序还可以获取并存储客户的机密信息(如登录凭据)。

一旦攻击者成功发起针对Web应用程序的攻击,就可以窃取这些机密信息,在一些更严重的情况下,甚至可以借此获得对内部网络的访问权,从而获得更多凭据并在网络内部横向移动。除了漏洞所产生的影响,被盗的信息也可能放在黑市中交易或用于发起更多攻击。鉴于金融服务业拥有大量数据(如个人身份信息和账户信息),这一点就更加令人担忧。

以金融服务业的Web应用程序和API为目标的攻击活动正在迅速增加,这标志着攻击者对金融机构及其客户的兴趣也在持续增长。2022年,针对金融服务业Web应用和API的攻击数量增长了3.5倍,仔细分析会发现,在这背后,几乎每种攻击载体的使用都有了显著增长,并且在几乎所有行业中高居首位。

图3:过去12个月里,金融服务业面临的攻击数量稳步增长

过去12个月里,金融服务业面临的攻击稳步增长,图3中观察到的峰值似乎代表着有针对性的攻击或集中攻击。不仅如此,这些模式可能意味着此类机构的Web应用程序面临的攻击风险还在不断增加。Positive Technologies的研究发现,91%的Web应用都曾发生过个人数据(如用户ID和凭据)泄漏事件。

保证Web应用程序安全性已成为当务之急,因为相关漏洞很可能充当入侵目标企业的大门。了解不同类型的攻击,以及这些攻击可能导致的结果,可以帮助企业了解如何正确地保护自己的Web应用。

1.区域性趋势

通过观察不同区域的趋势,我们可以对比世界各地的攻击增长情况(图4)。

图4:亚太日本地区与Web应用程序和API相关的攻击大幅增加了449%

值得注意的是,拉丁美洲(LATAM)地区的攻击数量出现了指数级的增长。数字化转型以及对网络犯罪活动有限的治理能力可能是导致该地区网络犯罪活动不断增长最主要的两个因素。网络犯罪每年会给该地区造成900亿美元的损失,其中最主要的威胁包括加密劫持、欺诈、银行木马以及勒索软件,这说明拉美地区的网络犯罪更多是出于经济动机。2022年,哥斯达黎加遭受的Conti团伙勒索软件攻击就袭击了多个政府网站,展现出勒索软件即服务(RaaS)在经济影响之外所产生的其他破坏性作用。进一步分析该地区的情况我们发现,巴西在Web应用年程序和API攻击目标的名单上名列前茅。由于网络银行业务的高度普及,巴西出现了很多与银行有关的威胁。

亚太日本(APJ)地区与Web应用程序和API有关的攻击也大幅增长了449%,这似乎与该地区越来越多的网络攻击(主要是勒索软件)相吻合。2022年初,我们发现Web应用和API攻击载体主要被勒索软件团伙用于利用漏洞获得初始访问,该地区在Web应用程序和API攻击方面遭受攻击最多的国家分别为澳大利亚、日本和印度。

接着再看看北美(NA)地区,该地区的Web应用程序和API攻击增加了354%。2022年初,俄乌冲突使得人们担心会有人对美国和欧洲金融机构发起网络攻击和报复,但其实在这之前,美国的金融服务机构就在遭受大量勒索软件、银行木马以及其他恶意软件威胁。例如名为FIN8的网络犯罪团伙入侵了美国的一些金融服务公司,地下黑市还流传着40万条美国和韩国银行支付记录。为缓解网络安全风险,美国联邦存款保险公司、美国联邦储备系统理事会以及美国货币监理署曾在2021年颁布了一项规则,要求在发生可疑威胁时必须向联邦监管机构和银行机构组织的客户发出“事件通知”。

与美国类似,欧洲也有一系列法案和法规,例如网络和信息系统安全指令(NIS指令)、通用数据保护条例(GDPR)等,它们为金融服务和其他垂直领域的网络安全与数据保护提供了指导和基准。虽然这些法规可以帮助企业面对安全问题提高弹性,但并不一定能让企业面对网络攻击获得免疫能力。例如一款名为Bizarro的银行木马就是一个直观的例子,该木马的目标已经涵盖了大量欧洲银行,同时衍生出多种移动软件,其攻击和载荷交付能力增速已经达到了惊人的500%。在欧洲、中东和非洲(EMEA)地区,英国遭遇的Web应用程序和API攻击数量最多。

这些数据表明,犯罪团伙正在将更多精力和资源投注于金融服务行业,他们会充分利用各种自动化机制和侦查手段,并通过不断迭代的方法来规避地理封锁等规则。作为应对,企业需要不断完善安全规则并提高风险的耐受程度,同时要确保所有面向互联网的系统都能受到各类安全产品相结合所提供的保护。

2.应用程序和API攻击所涉及的载体

为了弄清攻击的性质,我们还可以进一步分析针对该行业所采取的攻击中最常见的攻击载体。这一点很重要,只有这样才能更好地理解自己可能面临的风险,以及企业可能会遇到的攻击类型。随后,我们可以在这些知识的帮助下制定缓解策略,加强防御能力,封堵漏洞。

图5:LFI攻击已成为WAF攻击大规模增长背后最主要的推动力

如图5所示,Web应用程序和API攻击的增长主要由LFI和XSS推动。与主要为了访问数据库所用的SQL注入不同,攻击者通常会利用LFI和XSS在目标网络中获得立足点。

攻击者会通过自动化工具不断扫描互联网,借此寻在潜在目标。攻击者可以借助LFI攻击验证目标企业是否确实存在漏洞。此外,攻击者还可将恶意代码注入Web服务器,随后通过远程代码执行的方式利用LFI漏洞,从而危及系统安全。更糟的是,LFI可能被用于向攻击者泄漏敏感信息。

XSS也会给企业造成安全隐患。攻击者可以使用XSS漏洞将代码注入网站,随后每当用户访问被攻陷的网站时,都会面临信息泄漏的风险。另一类XSS可由攻击者通过恶意链接提供给受害者,导致受害者下载恶意载荷。攻击者通常会借助这种载体开展钓鱼攻击并篡改网站。

金融服务垂直行业的Web应用程序和API攻击与日俱增,这是一个值得关注的问题,因为这会对安全性产生极大的影响。然而只有对攻击面和载体获得清晰的认识,才能帮助金融机构更好地保护自己的环境。

3.载荷

接下来将介绍现实世界中针对金融服务机构所进行的一次攻击企图。其中涉及到的载荷通常会配合使用不同的攻击载体和漏洞,包括最新的CVE。在下文的图10中可以看到,一些攻击是专门为目标量身定制的,但有些攻击主要是为了侦查,这类攻击往往更为“通用”。

4.自定义创建的XSS载荷

图6:攻击者发送的一个XSS载荷(编码后)

图7:攻击者发送的一个XSS载荷(解码后)

上述URL解码后,XSS载荷将从攻击者指定的域名下载并使用一个恶意脚本。看起来这个脚本似乎是针对特定目标量身定制的。更重要的是,攻击者可以借助这样的载荷,利用OGNL漏洞(如Log4j,CVE-2021-44228)来运行脚本。

5.使用不同的攻击方法

图8:攻击者尝试了多种不同技术(解码后)

另一方面,从图8中可以看到,攻击者执行了SQL注入从而暴露了目标数据库的敏感信息。此外,还使用一个LFI漏洞通过Unix的cat命令转储敏感的etc/passwd文件内容。此外还出现了另一个XSS探针,攻击者借此检查网站是否存在XSS漏洞。这是攻击者在扫描/侦查阶段最典型的做法,他们会同时测试目标系统是否存在多种漏洞。

6.持续潜伏

图9:该载荷试图利用CVE-2022-24881这个RCE漏洞

图10:CVE-2022-24881解码后的版本

最后,通过图9可以看到,该载荷试图利用Ballcat Codegen软件中发现的CVE-2022-24881这个RCE漏洞,攻击者试图对Velocity模板引擎注入恶意代码来实现RCE。更具体来说,攻击者转储了/etc/profile这个Unix文件(该文件可用于在用户的外壳(Shell)上设置系统级环境变量)的内容。攻击者可以借此探测系统中是否存在漏洞,以及如果存在,是否能通过操作Unix文件来持久隐蔽自己。

小结

这一系列文章的第一篇,简单介绍了全球金融服务机构在信息安全方面所面临的整体安全态势,以及不同地区的业内机构在攻击载体等方面存在的细微差异。

在了解了整体状况后,敬请期待该系列的第二篇文章,届时我们将进一步分析软件漏洞、DDoS攻击、网络钓鱼攻击等攻击方式对金融机构可能造成的影响和隐患。欢迎关注Akamai知乎机构号,第一时间了解最新更新。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/358843.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

浙政钉(专有钉钉)

专有钉钉是浙政钉的测试版本,可在正式发布之前进行业务开发。 专有钉钉 原名政务钉钉 是高安全、强管控、灵活开放的面向大型组织专有独享的协同办公平台。支持专有云、混合云等多种方式灵活部署,以满足客户特定场景所需为目标,最大化以“平…

Docker 搭建MySQL主从复制-读写分离

一. 介绍 MySQL主从复制是一种常用的数据库高可用性解决方案,通过在主数据库上记录的数据变更,同步到一个或多个从数据库,实现数据的冗余备份和读写分离。在Docker环境下搭建MySQL主从复制和读写分离,不仅方便管理,还…

【干货】【常用电子元器件介绍】【电容】(二)--电容器的主要参数、测量、选择与应用

声明:本人水平有限,博客可能存在部分错误的地方,请广大读者谅解并向本人反馈错误。 一、 电容器的主要参数 1.1 耐压 耐压(Voltage Rating)是指电容器在电路中长期有效地工作而不被击穿所能承受的最大直流电压。对于结构、介质、容量相同的…

Linux--redhat9创建软件仓库

1.插入光盘,挂载镜像 模拟插入光盘: 点击:虚拟机-可移动设备-CD/DVD 设备状态全选,使用ISO影响文件选择当前版本镜像,点击确认。 2.输入: df -h 可以显示,默认/dev/sr0文件为光盘文件,挂载点为/run/media/root/镜像…

Linux(CentOS7)常见指令的常见用法(上)

指令功能hostname查看当前的主机名hostnamectl set-hostname修改主机名adduser添加用户passwd给用户设置密码userdel -r 删除用户ls显示某路径下的文件名ls -l ll 显示某路径下每个文件及其属性ls -la ls -al 显示某路径下所有文件包括隐藏文件及属性ls -d只看指定文件夹&…

ElementUI安装与使用指南

Element官网-安装指南 提醒一下:下面实例讲解是在Mac系统演示的; 一、开发环境配置 电脑需要先安装好node.js和vue2或者vue3 安装Node.js Node.js 中文网 安装node.js命令:brew install node node.js安装完后,输入&#xff1…

第九节HarmonyOS 常用基础组件18-checkBox

1、描述 提供多选框组件,通常用于某选项的打开或关闭。 2、接口 Checkbox(options:{name?: string, group?: string}) 3、参数 参数名 参数类型 必填 描述 name string 否 多选框名称 group string 否 多选框群组名称。(未配合使用Chec…

【芯片设计- RTL 数字逻辑设计入门 番外篇 8 -- MBIST 详细介绍】

请阅读【嵌入式开发学习必备专栏 】 文章目录 MBISTMBIST 背景MBIST的主要特点和优势MBIST的工作原理举例 MBIST MBIST(Memory Built-In Self-Test)是一种在系统级芯片(SoC)中内置的内建自测试,用于检测和验证片上存储…

centos下静态链接:/usr/bin/ld: cannot find -l某某某

问题:/usr/bin/ld: cannot find -l某某某 前言解法相关文章 前言 我是在静态链接的时候碰到了/usr/bin/ld: cannot find -lstdc的问题,这里来记录一下我是如何解决的。 如果你是动态链接的时候出了问题,可以直接看我给出的倒数第二篇文章&a…

C#,贝尔数(Bell Number)的计算方法与源程序

1 埃里克坦普尔贝尔 贝尔数是组合数学中的一组整数数列,以埃里克坦普尔贝尔(Eric Temple Bell)命名, 埃里克坦普尔贝尔(生于1883年2月7日,苏格兰阿伯丁郡阿伯丁,于1960年12月21日在美国加利福尼…

Abp 创建一个WPF的项目

开发环境:VS2022、.NET6 1、创建项目:MyWpfApp,这里不再废话了。 2、NuGet添加: 2.1、Volo.Abp.Autofac 2.2、Serilog.Sinks.File 2.3、Serilog.Sinks.Async 2.4、Serilog.Extensions.Logging 2.5、Serilog.Extensions.Hos…

算法沉淀——滑动窗口(leetcode真题剖析)

算法沉淀——滑动窗口 01.长度最小的子数组02.无重复字符的最长子串03.最大连续1的个数 III04.将 x 减到 0 的最小操作数05.水果成篮06.找到字符串中所有字母异位词07.串联所有单词的子串08.最小覆盖子串 滑动窗口算法是一种用于解决数组或列表中子数组或子序列问题的有效技巧。…

【C++版】排序算法详解

目录 直接插入排序 希尔排序 选择排序 冒泡排序 堆排序 快速排序 hoare法 挖坑法 前后指针法 非递归版本 快速排序中的优化 归并排序 递归版本 非递归版本 计数排序 总结 直接插入排序 直接插入排序的思想是:把待排序的记录按其关键码值的大小逐个插入…

【Java程序设计】【C00174】基于SSM在线医院管理系统(论文+PPT)

基于SSM在线医院管理系统(论文PPT) 项目简介项目获取开发环境项目技术运行截图 项目简介 这是一个基于ssm的在线医院管理系统 本系统分为前台系统、后台管理员、后台医生以及后台用户4个功能模块。 前台系统:当游客打开系统的网址后&#xf…

flask基于python的个人理财备忘录记账提醒系统vue

在当今高度发达的信息中,信息管理改革已成为一种更加广泛和全面的趋势。 “备忘记账系统”是基于Mysql数据库,在python程序设计的基础上实现的。为确保中国经济的持续发展,信息时代日益更新,蓬勃发展。同时,随着信息社…

在 Android 中使用 C/C++:初学者综合指南

在 Android 中使用 C/C:初学者综合指南 一、为什么有人在他们的 Android 项目中需要 C/C 支持?二、了解 C 如何集成到 Android 应用程序中三、C和Java程序的编译3.1 Java3.2 Android ART 和 DEX 字节码 四、使用 JNI 包装 C 源代码五、CMake和Android ND…

【讲座分享】| 复旦大学张奇教授——《自然语言发表论文如何打怪升级?NLP顶会论文发表》

文章目录 1 基础关1.1 基础书籍1.2 提高书籍1.3 课程链接1.4 编程实战 2 阅读关2.1 分层过滤2.2 集团作战,信息获取2.3 论文如何泛读 3 动机 方向关3.1 快速发论文3.2 好的研究 4 写作关4.1 论文写作流程4.2 从读者角度出发4.3 每一部分怎么写4.3.1 Abstract摘要4.3…

浅谈一下软件 QA 方法论 和 工具

浅谈一下软件 QA 方法论 和 工具 目录概述需求: 设计思路实现思路分析1.QA方法论2.Java QA工具 参考资料和推荐阅读 Survive by day and develop by night. talk for import biz , show your perfect code,full busy,skip hardness,make a better result…

探索Go 语言URL:解析与构建

探索Go 语言URL:解析与构建 在 Go 语言中,解析和处理 URL 是日常开发中常见的任务之一。URL(统一资源定位符)是指定 Web 资源位置的标准方式,它由多个部分组成,包括协议、主机、路径、查询参数等。本文将深…

调试小结:PHY初始化前后Link Status是否能正确反应网线插上、拔下状态

1 说明 为了验证是否需要初始化PHY才能检测到网线插上、拔下,这里我们对比初始化PHY(LAN8720)前后,插拔网线PHY寄存器1的bit2的是否按照预期变化来进行测试。 我们查看的PHY寄存器是1的bit2,定义如下: 2…