一文盘点金融业6大安全威胁

　　一、序言
　　2021年全球互联网持续快速发展，在疫情背景下，人们对互联网的依赖持续加深。近年来，金融行业数字化转型如火如荼，并且随着生物识别技术、区块链等技术的发展和普及，金融行业也在加速引入最新信息化技术。
　　但随着信息技术的发展，来自互联网的安全威胁持续升级，全球出现了很多重大信息安全事件、公布了不少高危漏洞、发展出一些新的攻击手法，其中金融机构是攻击者的重要攻击目标之一，本文重点梳理对金融行业有借鉴意义的2021年安全事件，从金融行业面对的安全挑战的六个维度，包括勒索软件攻击、供应链攻击、关键信息基础设施安全、数据安全和个人信息保护、区块链挖矿、CaaS等类型的攻击事件，结合行业特点进行分析。
　　二、信息安全事件分析（一）、勒索软件：全球企业头号威胁
　　自2017年WannaCry勒索病毒在全球范围爆发以来，勒索病毒加速演进，越发猖狂。据相关机构的统计，近年来遭受勒索软件威胁的个人用户数量显著下降，主要原因是黑客逐渐将目标由个人转向大型企业、政府单位、公共机构等，因此企业、政府等受到勒索软件威胁程度越来越高。2021年勒索软件已经成为全球企业的头号威胁。
　　2021年攻击事件中，影响最大的是5月份的美国最大成品油管道运营公司ColonialPipeline遭遇勒索软件攻击暂停运营事件，该事件导致美国最大燃油管道被掐断，ColonialPipeline公司最终在支付500万美元赎金后恢复运营。而针对金融行业的勒索软件攻击事件也层出不穷。
　　以下是全球范围内金融行业较知名勒索软件攻击事件：
　　2021年2月，支付处理商AFTS遭遇名为CubaRansomewar的黑客组织的勒索软件攻击，并导致使用AFTS作为服务商的加州车辆管理局的用户数据泄露。
　　2021年3月，美国保险巨头CNA遭受勒索软件攻击，赎金4000万美元。
　　2021年5月，美国最大成品油管道运营公司ColonialPipeline遭受勒索软件攻击，赎金500万美元；全球最大保险公司法国安盛集团遭受勒索软件攻击，疑似泄露包括客户医疗报告、银行账户对账单、付款记录及合同等3TB数据。
　　2021年8月，西班牙对外银行、摩根大通银行、萨顿银行、桑坦德银行、印度国家银行等多家银行约100万张被盗信用卡在暗网销售。
　　2021年9月，南非收债公司DebtINConsultants遭勒索软件攻击，致消费者和员工个人信息数据泄露。
　　从勒索软件攻击事件来看，近年来勒索软件攻击具有以下特点和趋势：
　　1。攻击目标从个人转向企业和政府
　　近年来，勒索软件黑客组织意识到传统的广撒网式战术不能带来更多回报，黑客组织开始采用复杂性和针对性更强的攻击手段，并瞄准高端市场，他们的攻击目标从个人用户转向了大型企业、政府单位、公共机构等。由于这些目标通常保存了大量关键业务数据，因此一旦攻击成功，将对业务以及组织声誉严重影响，以此增加受害者支付赎金的概率。
　　2。攻击模式规模化和专业化
　　勒索软件攻击已从个人行为演变至团队产业。黑客组织内部往往分工严密，从勒索软件武器化，到入侵攻击，再到解密沟通，都由不同人员负责，甚至最核心的成员隐藏在幕后，把武器提供给外围黑客实施真正的攻击。攻击者还结合APT攻击，在发起勒索攻击之前，已经潜伏和控制目标网络相当长一段时间，直到时机成熟才发起最后攻击，让受害者损失最大化，从而勒索更多赎金。
　　3。攻击手段逐渐以加密勒索转变为加密和窃取双重勒索方式
　　双重勒索是从2020年发展起来的一种新的勒索攻击方式，是指攻击者先窃取未加密的文件，再对文件进行加密进而威胁受害者，若受害者不支付赎金，攻击者将在暗网公开窃取的文件，受害者即使已经备份过文件，仍会因担心数据泄露而支付赎金。从2021年的攻击事件来看，大部分勒索攻击事件都伴随文件窃取或信息泄露。
　　从上述看出，与以往的勒索攻击相比，除了系统破坏风险外，还存在数据窃取和信息泄露风险，危害更大。数据是金融行业的重要资产，目前金融行业在数据保护方面采用多中心灾备、全流程对账等手段，对数据的生命周期提供全面的保障，在网络安全防护方面，也一般采取纵深防御、网络隔离等多种方法，最大限度防止外部和内部的攻击行为。工商银行采用网络分区纵深防御的安全防护策略，配合一体化的安全运营中心最大限度防范攻击威胁，保障企业和客户数据安全。针对目前勒索软件攻击的特点和趋势，金融行业应持续加强数据和网络安全防护，防范于未然。（二）、关键信息基础设施：攻击热点
　　还是以2021年5月份的美国最大成品油管道运营公司ColonialPipeline遭遇攻击为例，在被攻击时间段内，ColonialPipeline被迫关闭整个管道系统。该管道十分重要，承担了美国东岸45的燃料供给，迫使美国宣布17个州和华盛顿特区进入紧急状态。该事件也暴露了美国关键信息基础设施网络安全防护的脆弱性。
　　从上述事件可以看出，关键信息基础设施网络安全防护的重要性。我国《网络安全法》对关键信息基础设施提供者和网络运营者的义务和责任都作了规定，而《关键信息基础设施安全保护条例》对关键信息基础设施安全保护进行了具体细化的规定，并且等保2。0也对关键信息基础设施作了特别要求。
　　金融行业特别是国有大行的部分系统作为关键信息基础设施，承载个人与对公的账户和账户处理等功能，涉及民生保障和国家稳定。在网络安全和数据防护方面，金融行业一般采用纵深防御、网络隔离、多中心灾备、全流程对账等多种手段和方法，保障系统和数据的安全，即使不法分子攻击突破到网络内部，仍可最大限度保障关键业务的运行和数据安全，类似美国ColonialPipeline公司那样关键业务被中断的可能性较低，但仍不可掉以轻心，应该持续加强关键信息基础设施网络安全防护，做好全面的安全防护和灾备。
　　金融行业涉及关键信息基础设施的系统关系国计民生，工商银行作为国内乃至世界头部银行，采用两地三中心的架构，并配合多种冗余和灾备手段，最大限度保障系统安全和业务平稳运行。（三）、数据安全和个人信息：黑产愈演愈烈
　　2021年爆发了多起信息泄露或数据破坏事件。
　　2021年1月，10000名墨西哥和美国运通卡用户的数据在暗网发布，可免费下载；印度支付处理公司Juspay超过1亿用户的借记卡、信用卡信息遭窃取；新西兰储备银行存储在第三方托管提供商的数据遭攻击，商业和个人数据遭泄露。
　　2021年2月，美国风险投资公司红衫资本因遭受网络钓鱼攻击，一些个人信息和财务信息疑似被窃取。
　　2021年3月，印度移动支付服务商MobiKwik超350万客户端信息遭泄露。
　　2021年4月，印度股票市场经纪人公司Upstox数据泄露，约250万用户数据从第三方仓库系统泄露。
　　2021年6月，美国金融软件公司Intuit部分用户的个人和财务数据遭泄露。
　　2021年7月，美国投资银行剧透摩根士丹利因第三方AccellionFTA服务器攻击导致数据泄露。
　　2021年8月，摩根大通银行因网站和应用程序存在技术漏洞，导致包括姓名、账号、报表、交易清单在内的客户信息泄露。
　　2021年11月，美国股票交易平台Robinhood遭遇黑客攻击，约500万客户信息遭泄露。
　　2021年12月，加密货币交易平台Bitmart遭受黑客攻击，近2亿美元资产遭泄露。
　　从上述事件来看，造成信息泄露的主要原因除了勒索攻击外，还存在传统技术漏洞，此外，伪造APP、第三方漏洞、内鬼等也是导致信息泄露的原因之一。
　　在个人信息和数据保护方面，我国于2021年1月1日正式实施《民法典》，其中第一千零三十五条明确规定，处理个人信息应征得该自然人或者其监护人同意。之后，《中华人民共和国数据安全法》于2021年9月1日正式实施，《中华人民共和国个人信息保护法》于2021年11月1日正式实施。从法律层面明确了保护个人信息和数据的合法性和重要性，凸显了国家对个人信息的尊重，对个人信息和数据的保护要求也日益严格。
　　此外2021年2月，工信部起草《移动互联网应用程序个人信息保护管理暂行规定》，明确了知情同意和最小必要两项个人信息保护基本原则。
　　金融行业保存了大量客户数据，对于这些数据，使用了多种安全措施保障数据安全，但是在一些源码数据等方面的防护仍待加强，近年来也发生过国内银行数据泄露并在暗网倒卖的问题，建议加强监控和防护，同时还应警惕数据的内部泄露等问题，做好内控合规监控。（四）、供应链攻击：威胁日增
　　2020年影响最广、最复杂的黑客攻击事件可谓SolarWinds供应链攻击事件，该事件在2021年仍有很大影响。2020年1月，美国法院行政办公室因SolarWinds后门被入侵，迫使美国法院系统禁止在敏感案件中以电子方式提交法律文件；黑客通过SolarWinds后门入侵包括微软、思科、FireEye和SolarWinds在内的多个公司，并将多个公司的源代码在一个名为SolarLeaks的网站上公开售卖。
　　2021年在开源社区和应用平台等领域也存在供应链攻击事件。2月份，Perl。com官网被劫持用以分发恶意软件。3月份，PHP主Git服务器被非法访问并上传两个恶意提交植入后门。同期，苹果公司的Xcode也被爆出存在供应链攻击漏洞，攻击者将恶意代码植入开源插件中，恶意代码会在开发人员启动Xcode时从服务器下载定制后门程序。11月份，华为应用程序库AppGallery被爆存在多个木马程序伪装成190个不同的APP以收集用户信息，影响超过900万台安卓设备。
　　供应链攻击是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。简单归纳起来，供应链攻击主要有5种方法：利用供应商的产品进行注入（如SolarWinds事件）利用第三方应用程序（如邮件浏览器漏洞）利用开放源代码库中包含的漏洞（如PHP事件）依赖关系混淆恶意接管（担任社区项目维护者，注入恶意代码）
　　供应链攻击具有危害大、攻击隐蔽、难以发现等特点。传统安全防护体系一般针对边界进行防御，对供应链则默认可信，一般不做过多恶意代码检查。如果供应链被植入木马，则直接绕过边界防护到达内网甚至核心网络。在SolarWinds供应链攻击事件中，攻击者在2019年4月至2020年2月的不同版本的SolarWinds管理软件中植入恶意后门程序，并利用SolarWinds的数字证书绕过验证，伪装成合法协议与攻击者通信，从而绕过微软等大公司以及美国多个政府部门的安全防护体系。
　　金融行业的业务系统往往涉及很多上下游应用，也使用大量外购、免费和开源软件，这些场景一般缺少对应的安全检查，存在供应链攻击的风险，建议加强外围资源的检测和防护，谨防恶意代码，以防止不法分子通过这些外围资源实施供应链攻击。（五）、区块链挖矿：依旧猖獗
　　2020年以比特币为首的区块链数字货币一路高涨，到2021年4月份涨到最高59000多美元，在巨大利益面前，挖矿黑产也日益繁盛。黑客利用服务器或PC漏洞，甚至利用长期控制的僵尸网络，将挖矿软件植入服务器或PC中，挖矿软件经过免杀处理后，很难被用户和杀毒软件发现，挖矿软件在后台长期消耗设备CPU或显卡资源，影响设备的正常使用。例如，2021年4月PaloAltoNetwork的安全研究员AvivSasson发现了30个被植入挖矿木马的Docker镜像，这些镜像总计被下载了2000万次，据估算攻击者以此获利超过20万美元。
　　我国对待比特币挖矿和交易一直持否定态度。在2021年5月21日国务院金融稳定发展委员会（以下简称金融委）召开第五十一次会议中，明确打击比特币挖矿和交易行为，坚决防范个体风险向社会领域传递。
　　金融行业有大量面向互联网的出口和服务器，若这些出口存在安全漏洞，很容易被不法分子植入挖矿软件，谋取不当利益。此外，由于服务器一般是Linux服务器，一般未部署杀毒软件等安全防御软件，加之挖矿软件具有隐蔽性，因此一旦被植入，很难被发现，因此应警惕服务器被不法分子植入挖矿软件的风险，做好日常巡查和监控，部署必要的安全软件，做好全面的安全防护。另外，从上述案例中存在通过开源docker镜像植入挖矿木马的情况，因此还需要警惕此类供应链攻击挖矿的风险，从源头保证服务器安全。（六）、CaaS：新攻击模式
　　犯罪软件即服务（CaaS）是近年出现的新的攻击模式，是指在网络犯罪生态系统中技术人员向其他网络犯罪分子提供产品和服务。这种模式为不法分子的攻击行为提供了便利，即使在没有高级网络技术的情况下，也能实施复杂攻击行为，极大降低攻击门槛，并且由于攻击工具和攻击服务通常共享多个攻击者，增加了溯源难度。当CaaS应用于勒索软件攻击时，称为勒索软件即服务（RaaS）。由于RaaS使用简单、成本低廉，增加了勒索软件攻击的效率，是近年来勒索软件攻击数量快速上升的原因之一。但是目前业界暂时没有明确的解决方案来防御或减少CaaS模式带来的风险，初步看来，可以采取整体性安全防护方案，时刻关注安全舆情，尽早发现新的威胁攻击，减少危害。
　　CaaS的出现使攻击的成本极大降低，也降低了不法分子的攻击门槛，必将带来更多攻击行为，并且也加大了防御、反制和攻击溯源的难度。在金融电子化的今天，网络安全和对网络攻击的防范已然成为金融行业的要务。针对CaaS可能带来的问题各种问题，金融行业应在加强安全监控防护的同时，加强舆情监测，关注业界安全态势发展，并可借鉴业界最新防御思想，全方位提高防护水平。
　　三、总结
　　从2021年信息安全事件情况来看，信息安全问题依然比较严峻。2021年信息安全态势主要有以下特点：
　　1。攻击手法依然以传统漏洞攻击为主。
　　从2021年的攻击事件来看，无论是勒索软件攻击还是植入挖矿木马，黑客依然是利用传统攻击手法（例如利用软件漏洞或社会工程等）对应用或系统的边界进行突破，再在此基础上做进一步的利用。
　　2。攻击目标以政府、组织和大型公司为主。
　　从2021年的攻击事件来看，大部分攻击事件的受害者为政府、组织机构和大型公司，并且攻击者大都为具有一定规模的团队，有些黑客组织甚至是国家队，分工协作，攻击性较强。
　　3。攻击成本进一步降低。
　　黑客攻击采用服务化方式，将攻击工具打包销售，或将攻击服务包装为服务销售，使不懂黑客技术的普通用户也能发起黑客攻击，极大降低了攻击门槛和攻击成本。
　　4。我国信息安全监管进一步完善。
　　上半年我国从法律层面对个人信息保护做出明确要求，进一步完善我国个人信息保护，此外明确禁止比特币挖矿和交易行为。
　　针对2021年安全态势，金融行业应在现有安全体系架构基础上，做好全面的安全防护和灾备。此外在加强安全监控防护的同时，加强舆情监测，关注业界安全态势发展。具体可有如下几点应对措施：
　　1。全面完善安全架构体系，做好纵深防护。
　　从上述特点可看出，黑客攻击的手段并没有根本上的变化，做好传统的安全防护体系可最大限度防范于未然。具体包括自顶向下的安全架构，全面覆盖的物理安全、网络安全、区域边界安全、计算环境安全、应用安全等基础安全技术体系，合理的网络区域划分和网络分层、分区域安全防护，以及一体化的安全监控和运营中心等。
　　2。完善应急响应和灾备机制。
　　金融行业作为关系国计民生的重要行业，成为大型黑客组织和国家队的重要攻击目标，这些组织攻击隐蔽，技术较强，破坏性较大，防御和预警都较困难。因此金融行业应在传统安全防御体系基础上，完善应急响应机制和灾备机制，即使在遭受攻击后也能最大限度减少损失。
　　3。加强安全舆情监测，关注安全态势发展。
　　随着攻击服务化思路的转变，黑客攻击成本将越来越低，攻击频率也会逐步上升。对于这种新的攻击思路，不确定因素很多，因此金融行业应做好安全舆情监控，时刻关注安全态势发展，及时转变防护思路，调整防御策略。
　　4。严格遵守国家法律法规。
　　2021年国家出台了多个与网络安全相关法律法规。金融行业既有承担国家关键信息基础设施的重任，也有保护客户个人信息安全的义务，因此务必严格遵守国家法律法规，推进行业稳健发展。