在2014中国互联网安全大会第二天的APT防御技术论坛中,国家信息技术安全研究中心特种技术检测处队长曹岳带来“以金融行业为例,漫谈APT防御”的主题分享,其中讲到三个部分:金融安全态势、实例分享及APT的攻防之道。
曹岳表示,“真实参与的高强度的攻击在金融系统中并不常见,从银行抽查情况来看,安全性整体较好。认证体系基本完善,应用技术世界领先。在我国的电子银行认证基本上是很复杂的认证体系,包括多因子、双因子,甚至是三因子,转帐、帐号、密码。这种技术的应用在国外是不可想象的。”
曹岳讲到,“我们在国外亚马逊进行支付的时候,只需要通过一个帐号。系统防御体系趋于成熟,防御能力较高。我们曾经和一家银行的安全主管讲到网络防御可能是处于弱势。他当时就说你知道我们一年投入多少个亿在安全防御上吗?当时我没有跟他争论。我认为我们应该从风险控制系统逐渐开展工作。风险控制是金融在线支付讲得比较多的话题。第三方支付的风险控制更多一些。目前政策监管在加强,管理层安全意识也在加强。所以银行从宏观到微观都进行了双重监管。”
从高强度渗透测试来看,曹岳认为,“大规模的网络攻击依然存在风险,从国家的信息安全角度来看,挑战依然严峻。国产化率较低,自主可控的压力较大。我认为金融系统更多的是偏应用,而对于核心设备这块,金融系统是不掌握核心技术的,因此存在一定风险。”
另外,曹岳还表示,“系统复杂,防御滞后,安全动态变化,科技风险集中。在2000年以后,金融系统的数据大规模集中。黑色产业链趋利化、集团化、跨境化。当我们防御某个攻击的时候,不法分子的攻击速度已经远远超出了安全防御的框架。相关法律法规、信用体系仍待完善。在金融系统,我们说技术上领先,但这是一种悲哀,因为我们的信息科技发展太快了,我们个人的信息安全意识还有待提升。”
面对金融系统大都采用世界上最先进的防御体系,我们也对他们的防疫能力进行了穿透性测试,曹岳表示,“大概有20%的银行防护能力较低,容易被直接穿透。而对于网站安全等级及趋势,从十八大以后开始对金融网站进行监测,每个月会出一个报告。根据360在2014年发布的互联网安全报告,金融网站的平均漏洞比例大概是50%。”
实例分享
曹岳在现场为我们分享了四个经典案例,“第一个是逻辑缺陷。在转帐的过程中,输入一个负数,对方的钱就转过来了。所以黑客在发现的上百个漏洞里面,认为这个漏洞是最让他们“开心”的漏洞。第二个是信息泄露。在2001年,CSDN有一个“经典”信息漏洞事件。第三个是银行信息泄露的情况。这些信息是通过复杂的攻击手段获得的。如果一个黑客进行持续的攻击,他可能比一个银行掌握的信息还要多。第四个是交易劫持的案例。举个简单的例子。我们在过安检的时候,是一个人对一个身份证,如果后台验证不清楚,我们给了一个身份证,但是哪个人过去是不清楚的,这个一个案例是对加密协议的破解。“
曹岳认为,“从攻击的角度来讲,金融系统需要照顾自身的安全和用户信息的安全,存在一定的风险。从防御来看有两个案例:第一个是DDOS攻击,今天我们将是通过大数据的方式进行DDOS的溯源。DDOS攻击的溯源是很困难的,主要是因为我们掌握的防御信息比较少。如果掌握互联网的数据,任何一个DDOS攻击都可以溯源。通过这些攻击行为以及分析攻击网站背后的心理状态。第二个是大规模钓鱼的分析。这个案例是病毒木马的钓鱼。有人问我一个问题,他的网上银行开了这么多年,为什么在今年才被钓鱼呢?我们分析一下钓鱼的成本,它的攻击方式是不法分子以广告的形式诱骗用户上钓鱼网站。假设银行的用户总量是m,随手机用户总量是n为,上当的概率是p,一条短信的价格是a。在2009年,有800万用户,钓鱼的成本是3万。到2011年,用户量是3000万,钓鱼成本就是8300块钱。攻防不仅是技术的对行,更是利益的对抗。黑客投了几万块钱在某个省进行了试点,发现赚钱了,就开始投了几十万。最后一次攻击是一次性投入几百万发短信。防御的方式很简单,就是加一把锁进行认证。”
APT攻防之道
最后,曹岳介绍APT的攻防之道。表示,“技术防控的演进,传统竖井式的防御体系,几百套的应用系统都是竖井式的防御体系。在面对高强度攻击的时候,它是存在很大缺陷的。新一代的防御体系,应该是具有智能的威胁感知能力。孙在2000年前就提出了网络攻防的方法,就是知己知彼。我认为金融行业的土豪可以买最好的设备,知道自己的系统情况,但在是需要加强知彼能力的。而从业务防控的演进可以看出2006年到2014年的发展体系。当我们提供便捷支付的时候,更多的考虑是去钥匙,我通过分析这个人的走路形态和眼神是不是可疑的。”
曹岳表示,“2014年是互联网金融的时代,金融支付已经贯穿到存、贷、流通各个层面,安全问题是跨平台、跨地域的,安全问题更加复杂,谁的电脑上中了一个病毒,这个病毒可能是淘宝的商家诱骗它的买家,最后这个钱是从某个银行的信用卡里出去的。另一个关联依赖的数字金融网络,攻击一个金融系统就意味着攻击整个金融系统,没有一个人可以逃脱这种攻击。虽然每个金融机构在业务上是竞争的,但我们在金融上面临着同样的安全风险。随着黑色产业链的发展,我们有必要联合起来进行共同防御。需要安全服务商、金融机构和主管部门以及金融参与者的联合,只有联合起来才能战胜攻击。
最后,曹岳总结,”某个支付机构的高管要悬赏100万,把帐号密码向全社会公布。最后经过技术人员的评估,他们对系统是很有信心的,但对APT没信心,如果要攻击邮件怎么办呢?也许不一定能扛得住。最后我想对奋斗在APT攻防一线的人员致敬,他们给我们提供了更加方便、更加便捷的金融网络安全支付环境。”