根据《互联网金融监测情况报告(2017年5月1日-5月15日)》,在网站网络攻击方面,系统监测到的网络攻击达117.7万次,比上期增加1.6万次。
互联网金融的兴起和快速应用,革命性地改变了传统金融产品的内容和服务模式。虽然传统金融机构也因此面临着压力,但不得不承认,互联网金融企业在快速创新能力、客户体验为中心的服务理念,乃至产品和服务的快速覆盖等方面,给传统银行的创新和发展注入了新的活力。
当传统银行向“互联网+”转型时,很多固有思维和运营、服务模式都需要转换,其中应用安全就面临着不小的挑战。那么应用安全向“互联网+”靠拢要过几道关?现阶段的安全攻击手段给传统安全技术带来哪些挑战?又有哪些创新技术可以改变安全“后知后觉”的现状?本文将一一予以解答。
“互联网+”安全需求大不同
“互联网+”金融的创新在于围绕多元化的金融服务、线上线下的紧密结合,它对现有技术支撑平台的开放性、应用的易用性、应用上线的快速、运维的便捷性等方面都有很高的要求。而传统金融行业固有的应用安全模式也因此面临着新的挑战。
首先是安全威胁的范围扩大了。金融服务链条的广泛延伸以及技术平台开放性的要求,加大了安全威胁的攻击面;
其次是传统安全策略不适用于互联网金融模式。传统银行业大多奉行严谨多层次的安全防御体系和机制,对客户体验和客户满意度为优先的模式形成一定的制约;
再次是新业务快速迭代和上线的需求与安全漏洞的发现、修复周期和成本之间的矛盾愈加明显;
最后是数据泄露风险加大。金融服务与客户交易行为的深度融合,所产生的“客户”为中心的关联用户“大数据”信息,带来科技引领业务的积极因素的同时,也加大了客户资料泄漏造成的更为严重后果的风险。
如何消除制约并实现“互联网+”对银行传统应用安全的诉求,成为信息安全方面的关注焦点。
自动化威胁肆虐“互联网+”金融
传统银行面临的不仅仅是“互联网+”金融带来的安全挑战,在网络攻击手段层出不穷的今天,传统的安全技术提供的防御效果也大打折扣,安全现状令人堪忧。据FreeBuf发布的《2016年上半年金融行业应用安全态势报告》显示,高危漏洞占比高达78.48%;从漏洞利用程度上分析,互联网金融比传统金融更加“脆弱”——“非常容易利用”的漏洞占比高达57.5%。)而这种状况在过去三年内几乎毫无改观。在近两年机器人攻击手段盛行的状况下,使得漏洞利用被大规模复制,造成前所未有大规模业务损失、数据损失。据权威机构Research and Markets的报告,90%的网络攻击流量来自自动化程序。
自动化威胁的趋势也受到国内外安全行业的关注,OWASP组织列出了以下Top 20的Web应用的自动化威胁(表1),其中盗刷、恶意爬虫、撞库、刷单等自动化威胁已经实实在在地发生在我们身边,金融行业成为攻击者的首要目标。
表1:2015 OWASP Web应用 Top 20自动化威胁
传统安全防御“心有余,力不足”
面对自动化威胁,现有主流网页安全技术,应对自动化攻击均存在不同程度的局限,大致可分为四类:
一是基于规则和签名的技术存在空窗期。防火墙、IDS/IPS、Web应用防火墙等技术在现阶段都没有摆脱有防护空窗期的缺陷,规则和签名永远滞后于攻击的发生。
二是身份安全面临挑战。安全水平参差不齐的互联网及互联网金融企业的兴起,在大量的普通用户群体用户帐号、密码一致的现实情况下,以“拖库”为代表的大量用户身份信息泄漏事件频发,甚至通过“撞库”方式产生更为严重的连锁反应。出现了抗动态身份认证技术的工具和服务,如:打码平台,专门应对各类动态验证码防护技术。
三是模拟合法操作的自动化攻击和对未知攻击的防护薄弱且低效。目前主要依赖应用软件本身的改进,并无有效的产品和技术应对。这如同发现应用漏洞一样,漏洞的修复和应用软件修改的工作成本和周期都较大,这些改进的工作内容的复制性低,也造成了不能很好适应“互联网+”模式的快速性特点。同时,过严的安全防护还造成客户体验不佳。
四是日志分析和大数据分析技术仍需要时间和验证。大数据技术运用在安全威胁情报的分析和预测上是潮流和方向,其中海量的事件源采集和数据分析模型是关键。然而,自动化攻击和威胁事件的捕获手段是目前一个主要的障碍点。
取胜之道:“动态安全”防御理念动中取胜
在自动化威胁肆虐和传统安全防御技术亟待提升的严峻形势下,突破传统安全防御观念,扭转被动滞后的局面,成为传统金融机构和安全厂商的迫切需求。
瑞数信息做到了这一点。
瑞数信息立足信息安全领域的技术创新,面向解决自动化攻击的威胁趋势,秉承动态安全的防御理念,采用创新的“动态变幻”安全技术(已获专利),通过对服务器网页底层代码的持续动态变换,使得服务器对于用户端访问请求的响应具有 “不可预测性”,使得成为攻击者目标的网页和手机应用,变成“移动标靶”。不仅有效对抗传统技术部分解决的漏洞利用问题,也更简便有效地解决了滥用业务逻辑的自动化威胁,乃至越来越普遍被使用,却是检测和防御难点的DDoS和分布式漏洞扫描。“动态变幻”技术同时也颠覆了传统安全技术中采用的静态和被动(规则及事后)的模式,转为动态和主动方式(变幻及事中)进行保护。
瑞数机器人防火墙Botgate产品通过以下多重“动态”引擎技术联合使用,实现其防护能力:
动态封装。网页代码的底层动态封装,封闭攻击入口。每次的变换均不同,攻击者难以逆向。
动态验证。对客户端的人机行为进行验证,有效判断自动化攻击。
动态混淆。对客户端提交的重要数据和属性进行混淆保护,防止中间人攻击。
动态令牌。通过对受保护网页授予一定时间内的有效访问,确保合法的业务逻辑。防止越权访问、拖库等恶意自动化攻击。
针对银行业面临的主要安全风险,瑞数产品可以实现三个层面的安全,例如屏蔽业务安全风险:防止撞库;防止盗用账户、窃取用户信息、欺诈交易、盗取用户存款;防止应用层DDoS。还可以避免银行的商誉受到影响:防止自动化提交垃圾信息或恶意内容、防止自动化投票或评价结果操控、防止中间人攻击(MITM或MITB)。此外还可以保障网站安全:防止漏洞扫描与漏洞利用、隐藏网站逻辑缺陷、防止各种已知和未知攻击行为,做到先人一步,以动制动。
更值得一提的是,瑞数机器人防火墙Botgate以虚拟机及软硬一体机的方式部署于网页服务器前端,采用反向代理的工作模式。其最主要的特点和优势是无需修改应用的代码,运维难度小成本低,在一定程度上替换了应用软件漏洞修补和代码改进的工作,更适应“互联网+”时代的业务特点。
互联网金融业务的风控体系,需要从政策、监管、信用机制、身份和交易安全等多方面整体规划、通盘考虑。作为即将成为互联网金融更强大的参与者和推动力的银行业,可以结合创新的产品和技术有效弥补传统安全策略的不足,将应用安全技术纳入业务安全模型,推动银行业“互联网+”业务的快速发展。
原文发布时间为:2017年8月1日