当前,随着数字化发展的不断深入,关键信息基础设施作为国家的重要战略资源,面临着国内外严峻的网络安全风险。为了确保国家安全,在国家发展各领域和全过程中,需要将安全发展贯穿始终,筑牢国家安全屏障。金融安全作为国家安全的重要组成部分,是经济平稳健康发展的重要基础。持续构建完备的网络金融安全体系,落实关基保护工作,有效防范网络安全风险。
一、金融服务业网络安全面临的风险挑战
金融服务业即从事金融服务业务的行业。目前,我国金融服务业包括银行、证券、保险、信托、基金等多个分支。网络安全风险是指敏感数据、关键资产、财务或声誉受损的可能性,这些损害通常是由网络攻击或数据泄露造成的。
(1)持续数字化转型和技术创新带来的风险
近年来,互联网、大数据、云计算、人工智能、区块链等技术加速创新,逐渐融入经济社会发展各领域全过程。金融服务业也广泛利用数字技术、大数据等进行决策服务行动,以实现经济快速增长和生活质量改善。金融机构采用云计算、人工智能、数字服务等新兴技术,满足其数字技术的创新。大多数金融机构利用基于云的服务提高信息处理、欺诈检测和财务分析能力。但同时,从本地到云的转变使得传统基于边界的防御不再有效,给机构带来了新的安全挑战。由于数字化转型,以及虚拟银行和数字金融服务的出现,使得金融服务业开始运用更多新应用程序、设备和基础架构组件,攻击面扩大。上述因素导致金融服务业及其客户的网络安全风险上升。
(2)复杂的法律法规与遵从合规性制约的风险
金融机构越来越依赖技术和数据向客户提供产品和服务,因此面临着不断变化的监管环境。由于金融服务业客户来自全球各地,因此其业务通常受到当地政府和国际监管机构监管。金融服务业除了需遵守中央政府和地方部门的规定,还应遵守国际法规,不仅需要确保数据得到适当保护,还需要确保数据符合《通用数据保护条例》(General Data Protection Regulation,GDPR)等法规定义的管辖范围以外的数据传输限制。金融服务业被委托处理大量敏感数据,这些数据必须按照多样化的法规要求进行保护。同时,金融机构越来越依赖技术和数据向客户提供产品和服务,所面临的监管环境在不断变化。随着金融机构监管范围扩大,有关数据保护、隐私标准及网络安全的要求也随之变化。复杂的监管环境导致执法更严格,监管费用和罚款随之增加,给金融服务业造成一定的资金损失。2020 年 8 月,第一资本金融公司(Capital One)因未能识别和管理网络风险导致了 2019 年的大规模数据泄露,被美国政府罚款 8 000 万美元。
(3)面临第三方风险管理和供应链生态系统的风险
金融服务业大多依靠第三方服务商实现其数字化运营,因此对网络安全几乎没有控制权,即使自己的安全系统对网络攻击具有很强的弹性,第三方服务商也有可能成为网络安全链中的薄弱环节,为网络攻击者提供访问数据的通道,很容易受到网络攻击和破坏。软件供应链攻击是指在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽和漏洞劫持或篡改合法软件,从而绕过传统的安全检查,达到非法目的的一种攻击类型。网络攻击者更多地针对软件供应商,通过看似合法的产品下载或更新,向供应链中的客户提供恶意代码,2020 年底全球发生的太阳风(Solar Winds)供应链攻击事件就是最典型的例证。
(4)区块链技术衍生出金融创新活动的风险
区块链是一个分布式存储数据库,通过建立“机器信任”解决传统金融服务中存在的各种痛点问题,成为金融创新的新兴技术。与此同时,区块链技术衍生出的各种金融形态,产生了复杂性更强、传播性更广的风险因素,针对这些演化而来的新型风险,使用传统的方法难以控制,给金融风险管理研究与监管制度设计带来新挑战。例如,以比特币为首的加密货币存在冲击传统货币体系、投机炒作、金融犯罪等诸多风险。随着比特币、以太坊等数字货币的兴起,数字货币的投机行为带来了套利问题,若加密货币在流通过程中因没有办法受到监管部门审核监督,则存在被洗钱、恐怖融资等非法利用的风险。
(5)混合工作场所的环境变化增加 IT 系统复杂性的风险
自新冠疫情以后,远程工作、混合劳动力和基于云的软件技术已经无处不在。包括金融服务业在内的各个行业都在采用支持远程访问、通信和协作的新技术。混合工作场所的环境变化增加了信息技术(Information Technology,IT)系统的复杂性,由此带来新的网络风险。金融服务业从基本服务转向使用云服务展开业务活动,而云服务协议需要各种数据共享法规,这为网络攻击者打开了一扇门,方便其在财务数据上设置陷阱。线上远程办公环境给金融服务业带来数据安全和法规遵从性等风险。
二、金融服务业网络安全面临的威胁攻击类型
全球金融服务业网络安全威胁态势在不断发生变化,影响网络安全的威胁攻击类型主要包括:勒索软件攻击、网络钓鱼攻击、Web 应用程序攻击、漏洞利用攻击、分布式拒绝服务(Distributed Denial of Service,DDoS) 攻 击、高 级 持 续 性 威 胁(Advanced Persistent Threat,APT)攻击、内部攻击等。金融服务业已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标。
(1)勒索软件攻击
勒索软件是一种恶意软件,它阻止或限制用户访问其系统或数据,向受害者声称要对外公布或出售被盗的数据,直到受害者向攻击者支付赎金。虽然任何组织都可能成为勒索软件攻击的对象,但金融服务业仍是勒索软件攻击的主要目标。NordLocker 的一项研究表明,金融业在 2022 年遭受的勒索软件攻击次数激增,修复成本也在不断增长,对于金融服务业而言,修复勒索软件攻击的平均成本为 210 万美元,这些成本包括业务中断、数据丢失、生产力损失、声誉受损、员工培训和灾难恢复等。
(2)网络钓鱼攻击
网络钓鱼是指通过网络钓鱼工具包,在电子交互过程中隐藏并为攻击者获取机密数据、收集除电子邮件地址和密码以外的敏感信息。例如银行卡、信用卡、身份证号码和家庭住址等信息,并进行以营利为目的的恶意操作。如今,网络攻击者能够通过托管解决方案使用网络钓鱼即服务(Phishing as a Service,PhaaS),向运营商支付在 PhaaS 模型中运行网络钓鱼活动的费用,包括欺骗性登录页面、网站托管、网络钓鱼邮件模板创建、网络钓鱼电子邮件分发、凭据解析和整体编排。相关报告显示,2022 年第三季度,金融服务业是受恶意电子邮件影响最大的行业,网络攻击者针对金融服务业的网络钓鱼攻击中,成功获得初始访问权限占比 46%。
(3) Web 应用程序攻击
Web 应用程序攻击是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码、修改网站权限、获取网站用户隐私信息等,常见的 Web 攻击方式有跨站脚本(Cross Site Scripting,CSS)攻击、跨站请求伪造(Cross Site Request Forgery,CSRF)攻击和SQL注入(SQL Injection)攻击等。金融服务业许多机构都在使用Web应用程序共享数据文件和协同线上工作,可能面临攻击者诱导员工点击进入不明链接,从而引发网络安全问题。Web 应用程序中的错误配置会使组织容易受到网络攻击。《2022 年互联网现状 / 安全》报告显示,Akamai 公司在 2020 年观察到全球发生了 63 亿次 Web 攻击,其中金融服务业遭受的攻击占比 12%。针对金融服务最常见的 Web 攻击类型是本地文件包含(占比 52%),其次是 SQL 注入(占比 33%)和跨站点脚本(占比 9%)。
(4) 漏洞利用攻击
漏洞是计算机软件、硬件或服务组件中的弱点。网络攻击者通过漏洞利用攻击能够访问目标网络,获取更高的权限执行其他恶意操作。在金融服务业,31% 的攻击是由漏洞利用造成的,网络攻击者在 2021 年针对美国金融机构的 3 次攻击中使用漏洞利用攻击作为初始访问的媒介,利用包括 Java 反序列化(CVE-2021-35464)和 Citrix 路径遍历(CVE-2019-19781)漏洞在内的多个已知漏洞,获得对受害者网络的初始访问权限。攻击者通过攻击中的零日漏洞访问目标网络,例如 Kaseya 供应链勒索软件攻击和 Microsoft Exchange Server 事件(CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 和CVE-2021-26855)。2021 年 被 利 用 的 5 大 漏洞中有 4 个是新的,其中包括 Log4j 漏洞 CVE-2021-44228。
(5) DDoS 攻击
DDoS 攻击会使网站的流量过载,导致其无法运行。网络攻击者使用 DDoS 攻击时,利用流量淹没目标网站使其崩溃。网络攻击者利用各种受感染的计算机系统生成攻击流量,并利用现成的工具包和 DDoS 出租网站执行 DDoS 攻击。DDoS 攻击中断业务运营,给受害者带来重大的经济损失,对金融机构构成重大威胁。2021 年 6 月,负责运营德国合作银行技术的德国组织 Fiducia&GADIT 成为 DDoS 攻击的目标,影响了全国 800 多家金融机构;2022 年 2 月,乌克兰政府和银行网站连遭两波大规模 DDoS 攻击,导致政府和银行网站服务受限;同年 5 月,俄罗斯最大银行 Sberbank 遭到有史以来规模最大的 DDoS 攻击,峰值流量最高达 450 GB/s。
(6) APT 攻击
金融服务业面临 APT 攻击。其中,发起高级持续性威胁的团体通常由国家暗中赞助,它们未经授权访问计算机网络,且能在很长一段时间内不被发现。这些复杂而隐蔽的威胁,结合了先进的入侵和欺骗技术,使网络攻击者能够访问账户管理应用程序。这类对特定机构或行业的攻击,都是有预谋的、有组织的攻击行为,其攻击方法复杂多变,能够对攻击目标造成严重的数据泄露或破坏。相关报告显示,2021 年第三季度,检测发生在银行 / 金融部门的 APT攻击占比 37%。有些网络犯罪集团会在网络上共享攻击策略、技术、程序、工具和资源,以破坏金融机构,从而导致网络攻击增加。
(7) 内部攻击
金融服务业内控风险通常与不恰当操作和内部控制程序、信息系统出错和人工失误等密切相关,该风险在内部控制和信息系统存在缺陷时容易导致不可预期的损失。常见的内部威胁包括:心怀不满的员工;员工的错误操作;个人滥用敏感信息谋取私利,通过窃取机密客户数据或知识产权以获取经济利益等。近年来,内部攻击越来越普遍,该攻击不仅较难检测而且危害巨大,造成系统服务中断甚至关键数据丢失。在 2020 年至 2022 年的短短两年内,全球内部威胁事件数量增加了 44%。2021 年 9 月,纽约一家信用合作社的内部人员造成了数据泄露,据称是被解雇后的一名前员工进入公司系统,在 40 分钟内删除了 21.3 GB 的公司数据和文件。
三、金融服务业网络安全风险威胁应对策略思考
随着网络威胁的不断升级和监管需求的增加,金融机构亟须建立全面的网络安全应对策略,以保护其系统和受委托的数据免受网络攻击者攻击。
(1)金融业网络资产治理与风险控制方案
提供真正意义上的互联网暴露面资产检测、安全治理与运营等能力,实现全量暴露资产的可查、可定位、操作可识别,解决未知资产、影子资产、僵尸资产的发现和已知资产防护不足的难题。
现状与痛点
1.缺乏全网数据支撑能力:资产信息收集、数据关联与情报订阅的能力,因其IT运营场景和标准相对零散,无法很好支撑落地。
2.资产管理与维护成本高、难度大:互联网资产环境异常复杂,分支机构私搭乱建,想实现安全资产的集中管理总是面临着各种各样的技术挑战和管理挑战。
3.缺乏全网数据溯源能力:相关厂商安全产品无法提供全量监控数据与接口,无法对接现有运营流程,支撑安全团队进行威胁溯源,无法推进安全投入和汇报评估。
4.难以支撑可持续的监控与跟踪:企业数字转型改革,资产类别多样、数量庞大且渠道复杂,没有完善的指纹规则知识与强力的资产监测引擎,难以实现资产的持续化发现、监控与跟踪。
技术方案
1.基础设施指纹储备:海量指纹库,覆盖多种设备、操作系统、数据库和Web应用,自带海量漏洞信息(资产类型15000+,协议1200+,操作系统300+,数据库30+,Web应用500+)。
2.信息监测:监测范围覆盖率高、类型广,拥有暗网监测能力、各大搜索引擎敏感信息监测能力,全面进行网站的服务发现、语种分布、内容分布、敏感信息监测与发现。
3.本地化统:依托网络空间资产安全管理系统—ZoomEyeBE,对网络资产进行资产梳理、资产动态监控、资产管理、1DAY漏洞响应、漏洞全生命周期管理,更好的对网络信息资产进行统一有效的管理。
4.资产运营:派遣专业的安全工程师入场,协助用户完成资产梳理与录入,进行统一管理;指纹定制服务,根据用户资产实际情况,识别并记录企业资产特有指纹;运营系统进行资产的实时监测与信息管理。
方案优势
(1)云地一体化
----可拉取和提供客户相关全量数据
----结合本地管理平台形成一体化解决方案
----海量云端新生数据持续输送
(2)级联一体化
----全集团一盘棋治理
----监测互联网出口、敏感信息
----公有云资产发现
----隔离专网指纹
(3)前向开放兼容
----开放型漏扫管理
----全方位资产信息关联
----产变更足迹监控、台账接口
----多维数据统计分析
(4)资产全面覆盖
----全面排查互联网暴露的IT资产、应用系统、敏感信息、品牌信息以及影子资产等,构建全局资产视角
(2)强化威胁检测和响应能力(漏洞扫描服务 VSS)
随着网络攻击变得越来越普遍,金融服务业需要在面对攻击时做出快速响应、恢复运营,以维护系统的稳定。在金融服务业,网络攻击者访问系统的时间越长,窃取或加密有价值数据、泄露用户凭据、部署持久性机制以加深其对系统控制的机会就越多,因此 7×24 h 全天候威胁监控至关重要。越早检测到入侵指标,就能越快地采取措施防止对金融机构造成伤害。为了结束网络攻击者干预,安全团队必须监控财务数据变化情况并确定其优先级。加大对黑灰产组织及网络攻击者的防范力度,通过建立黑灰产组织画像的方法,有力提升威胁事件的响应速度。
漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形
产品优势
(1)扫描全面
涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。
(2)高效精准
采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率,时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。
(3)简单易用
配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。
(4)报告全面
清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。
使用方向
一、Web漏洞扫描
网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。
能够做到
(1)常规漏洞扫描
丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。
(2)最紧急漏洞扫描
针对最紧急爆发的VCE漏洞,安全专家第一时间分析漏洞、更新规则、提供最快速专业的VCE漏洞扫描。
二、弱密码扫描
主机或中间件等资产一般使用密码进行远程登录,攻击者往往使用扫描技术来探测其用户名和弱口令。
能够做到
(1)多场景可用
全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。
(2)丰富的弱密码库
丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测。
三、中间件扫描
中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。
能够做到
(1)丰富的扫描场景
支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。
(2)多扫描方式可选
支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险。
四、内容合规检测
当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。
能够做到
(1)精准识别
同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。
(2)智能高效
对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。
四、结语
金融服务业的业务开展高度依赖金融网络和信息系统支撑。同时,由于其涉及大量敏感数据和资金流动,具有极高的回报潜力,因此成为黑客组织和不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标。随着针对金融服务业机构的 APT 攻击、精准式网络攻击日益猖獗,网络安全威胁不断飙升。近几年,金融服务业对数字环境依赖程度日益扩大,对此,监管部门及金融机构需要不断考虑和完善网络安全的期望,重视金融服务业网络安全,守住不发生重大风险和安全事件底线,做好应对风险挑战和威胁的准备。
