紧急提醒！未来的金融科技要关注这些……

天下熙熙皆为利来，天下攘攘皆为利往，逐利更是攻击者的天性。随着金融科技日渐成为金融产品的重要支撑手段，攻击者也在不断丰富其攻击目标和攻击手段，以图提升自身的攻击变现能力。

一方面，攻击者对金融科技系统的渗透逐步深入，从网络服务、金融业务逐步深入到核心业务数据、用户财产和隐私。攻击者不再满足于危害金融系统的可用性，更青睐从贩卖数据和资产转移中直接获利。

另一方面，攻击者不局限于传统针对信息系统的攻击，愈多从人员的角度迂回渗透，勾结内部人员进行数据倒卖。Loudhouse曾发布的企业安全调查报告显示，如果价格到位，35%的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。这一调查事实也侧面印证在网络安全、业务安全和数据安全之外，人员安全同样也应引起足够重视。

近期发布的《2017金融科技安全分析报告》，结合最新的案例和丰富的情报来源，以金融科技面临网络安全威胁、数据安全威胁和业务安全威胁作为切入点，对各类威胁的现状及趋势进行了直观地分析。

2017年DDoS攻击发生总次数207,000次，单次攻击最高峰值1.4Tbps。与2016年相比，2017DDoS攻击仍然频繁，攻击总流量大幅上升。统计数据表明，金融机构互联网带宽一般在100M上下，攻击流量峰值达到了万倍以上，攻防完全不在一个量级。攻击威胁的源头是攻击方采用大量物联网设备如摄像头发起攻击，摄像头的24小时在线、带宽稳定及缺少维护刚好成为了优秀的攻击设备。以一个不超过300秒，攻击流量带宽在125Gbps的DDOS攻击为例，其实施攻击成本为5至6美元，购买该攻击的服务成本约为20美元，但给受害者带来的损失则可能在2万至10万美元的损失（视机构规模和业务而定）。

应对思路是综合防范，如运营商流量清洗和本地拒绝服务防护为主，网站运营监测等手段为辅，多管齐下进行防护。以绿盟科技企业安全平台（ESP）为例，该平台以大数据框架为基础，结合威胁情报系统，通过攻防场景模型的大数据分析及可视化展示等手段,协助客户建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。

近年，大规模数据泄露事件猛增，2017年前11个月的数据泄露事件起数已比2016年全年总数多出10%。美国知名信用机构Equifax在9月份透露，曾遭黑客袭击，导致1.43亿名用户的信息泄露；科技公司Uber则在11月发现，5700万名乘客和司机的信息在2016年一次大规模数据泄露事件中被黑客窃取。数据泄露的目标除了政府机构和金融机构，已经扩大到第三方承包商、数据集成商、以及安全厂商和解决方案提供商自身，越来越多企业和个人将可能因数据泄露而处于危险之中。

数据库安全成为2017年的安全热点，我们针对涉及到的数据库近三年来中、高危漏洞进行了统计。

其中MySQL的漏洞暴露最严重，从增速方面看，除了MySQL，PostgreSQL在过去三年里的漏洞也有较快的增长。相比之下，MongoDB、Elasticsearch、Redis、Hadoop等数据库则相对安全性，不过仍有一定程度的增长从数据库漏洞的发展态势上看，数据库的安全问题也越来越受到关注，也许基于漏洞利用的数据库劫持事件将在不远的将来出现。

业务安全威胁来源有很多，如使用不安全的函数或协议，集成了有缺陷的SDK、Web插件、服务器程序，或者业务流程上的逻辑缺陷等。

依据绿盟收集到的数据统计，金融行业已经大幅度互联网化，83.5%的机构或企业都开展了互联网业务。在互联网业务中，Web类的攻击显得非常突出，在安全管理中，企业机构非常关注三方面的问题：

1、自身资产是否存在漏洞

2、自有资产开放高危端口与服务情况 

3、是否存在信息泄露风险。

结合金融行业业务发展现状，业务安全威胁重点梳理了Web攻击、银行机构ATM与SWIFT攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。

在金融行业的信息系统开发环节，仅有32.9%的机构采用SDL管理，而且调查显示，大部分安全管理工作集中在运维、上线、测试阶段，在需求、设计、编码阶段对安全考虑十分欠缺。

未来关注

综合考虑这些风险的危害范围、危害程度以及金融机构的应对防护现状，我们认为针对金融科技风险，金融机构需要在未来关注以下六个方面：

新的监管合规要求：重视自身风险管控能力与风险之间的匹配和差距程度。

内部的安全培训：提高内部人员安全意识，加强开发安全标准、安全部署与管理等方面的意识和技能培养。

新技术应用风险：应对物联网，区块链，移动支付等潜在安全风险。

开发安全管控：系统地识别和消除各个阶段可能出现的由于人员知识和技能、开发环境、业务逻辑等所造成的信息安全风险。

高风险网络攻击：应对DDOS攻击、WEB攻击、有组织的APT攻击、欺诈与勒索等潜在安全威胁。

数据安全：一方面要切实遵循国内外数据及隐私安全监管条例，另一方面加强企业数据保护及防范数据倒卖风险的能力。

总结

《2017金融科技安全分析报告》在分析DDoS、Web类攻击和数据库漏洞利用等传统威胁的同时，更加注重对移动互联网、云计算、区块链等新技术所带来的安全威胁进行分析。同时，我们也发现金融科技要持续健康发展，安全问题必不可忽视，越来越多的企业开始关注信息安全问题，并且开始采购包括威胁情报在内的各项增值安全服务。企业在应用金融科技的同时，还需要在监管合规要求、安全人才储备、新技术应用风险、开发安全管控、高风险网络攻击，以及数据安全，这六个方面进行关注。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP