以金融为例,谈APT防御 - APT防御产品

以金融为例,谈APT防御

今天我演讲的题目是以金融为例,漫谈APT防御。我一直在国家信息技术安全研究中心从事金融行业电子银行系统和第三方支付的安全研究工作。

我分三个部分来介绍今天的内容。首先是金融安全态势,在这里面我扮演的是一个攻击者;二是分析几个攻击实例,技术很简单,但个人觉得很有意思,这时我扮演的是防御者。最后APT攻防之道,谈一谈防御体会。在我真实参与的高强度攻击,在金融系统中并不常见。持续性的攻击“P”倒是时常发生,因为每天都出现大量的钓鱼木马攻击,广义上来说我们每个人都是金融系统网络攻击的受害者。

从银行抽查情况来看金融安全态势,安全性整体较好。根据我中心的检测数据,金融的安全同比其他行业好很多,具体表现在以下四个方面。一是认证体系基本完善,应用技术世界领先,我国的电子银行基本上是高强度的认证体系,双因子甚至三因子的身份认证,而在国外亚马逊进行购物时,只需要通过银行信用卡号,CCV三位码就能进行支付了,这在国内是不可想象的事情。二是系统防御体系趋于成熟,防御能力较高,我曾经跟一个银行的安全主管说,网络攻防银行处于弱势,当时他就反问我说:“你知道我们今年投入多少个亿在信息安全上面么?我们行领导在安全上从来是高度支持,说我认为世界上最先进的防御设备,给全买过来。这还能处于弱势?”三是风险控制体系逐渐形成,安全防护纬度多,风险控制在第三方支付运用较为深入,这几年电子银行也开始在跟进。四是政策监管在加强,管理层安全意识强,银行系统的信息安全从宏观到微观都进行了双重监管。科技风险就像悬在头上的达摩克利斯之剑一样,这点安全管理层有着更为深刻的体会。

从高强度的渗透测试来看金融安全态势,大规模的网络攻击依然存在风险。我中心从十八大以后开始对金融网站进行监测,每个季度会出一个分析报告。根据我中心对银行网站的持续检测,大概25%左右网站存在高危风险。根据360在2014年发布的互联网安全报告,网站的中高危漏洞比例大概65%。金融系统采用了世界上最先进的防御体系,我们对他们的防御能力进行了穿透性测试,存有漏洞的网站大概有20%的概率被直接穿透。另外,从金融业务系统电子银行深度测试来看,我举四个经典的案例。第一个是逻辑缺陷,在转账的过程中,输入一个负数,对方的钱就过来了。在每年发现的上百个漏洞中,这个“不差钱”的漏洞是最开心的。第二是信息泄漏,2011年,CSDN的600万的信息泄漏事件受到了广泛的关注,把信息泄漏由黑产摆到了公众面前,这几年渗透经验表明,金融系统潜在的信息泄漏风险可能更为严峻,可以说有组织的持续性攻击可以获取比单个银行更多的信息。第三是认证绕过,举个例子,我们过安检的时候,身份证和本人是否一致需要核对的,但是部分的多因子认证存在漏洞,给个身份证,随便谁都能过去。第四是协议的破解,可以直接造成资金的紊乱,这个我认为是金融信息系统的原子弹。

从国家信息安全的战略来看金融安全态势,挑战依然严峻,一是国产化率不高,自主可控的压力较大。金融对科技更多的是应用,国家和银行不掌握核心设备和技术,存在一定的风险。二是系统复杂、防御之后、安全动态变化、科技风险集中。三是黑色产业的趋利化、集团化、跨境化,如一次跨境网络钓鱼攻击,黑客从骗取用户的信息到国外的ATM取现只需要2小时,而立案最快得6小时,不法分子的攻击速度已经远远超出了更大范围的安全防御框架。四是相关法律法规、信用体系仍待完善,前面我说金融系统认证体系世界领先,其实是一种无奈和悲哀,因为我们的信息科技发展太快了,快的超过了政府部门和使用的理解速度,我们整体的安全意识、法律征信等都需要提高完善。

前面从攻击的角度来讲,金融系统存在被攻击的风险。从防守来看,我想从技术和业务的角度讲两个案例。第一个是DDOS攻击,我今天讲的是通过大数据的方式进行DDOS溯源。DDOS攻击的溯源是很困难的,主要是因为我们掌握的信息是不全面的,如果能掌握整个互联网的数据,可以说任何一个DDOS攻击我们都可以溯源,当然这不太现实。但是互联网攻击行为往往不是孤立的,攻击者通常会频繁的攻击多个目标,通过关联互联网多次攻击事件,分析攻击者常用的攻击手段、攻击工具、发起地址、攻击类型等行为特征,可以为攻击者贴上标签。在DDOS攻击溯源中,将此次DDOS事件的攻击特征与以往的恶意攻击者特征相匹配,结合互联网巨头的数据,是有可能定位到攻击者的。

 第二个是大规模钓鱼的分析。和现在夹杂病毒木马的钓鱼不同,这个案例是很简单的钓鱼攻击。我把这件事情讲出来是有人问我一个问题,他的网上银行开了这么多年,为什么在今年才被钓鱼呢?金融系统的攻击是逐利的,我们分析一下钓鱼的成本,它的攻击方式是不法分子以广播短信的形式诱骗用户上钓鱼网站,诱骗用户输入帐号密码。假设银行的用户总量是m;手机用户总量是n~=5亿;上当的概率是p~=万分之一;一条短信的价格是a~=5分钱;构建网站的成本,还有法律风险成本,未知。钓一条鱼的成本X=a/(p*m/n)+未知成本;假设那年代不法分子抓不着,未知成本忽略掉。在2008年,800万用户时,钓鱼的成本是3万。3年后,用户量是3000万,钓鱼成本就是8300块钱。马克思说有300%的利润,资本就敢犯任何罪行,甚至冒绞首的危险。那么在2011年,不法份子赶冒一切风险钓鱼的条件是网银账户平均资金>0.83*300%=2.5万 。黑客投了几万块钱在某个省进行了试点,发现赚钱了,就开始投了几十万。最后一次攻击是一次性投入几百万发短信。防御的方式很简单,就是加一把锁进行转账认证,降低了钓鱼概率,提高了钓鱼成本,虽然还有人中招,但是黑产觉得亏本后就消停了。因此攻防不仅是技术的对抗,更是利益的对抗,几年前360推出的网购敢赔,打击黑产也是从打击黑产利益的角度出发的。

最后介绍下金融系统的APT攻防之道。我想从技术和业务两方面谈谈攻防演进。从技术防控上来看,金融系统一般都为上百种应用分别构建了“竖井状”的防御体系。大家都知道基于签名和边界防御体系在面临高强度持续性的攻击是存在很大缺陷的。

新一代的防御体系,至少具备四个能力。首先应该具有智能的威胁感知能力,在2500年前,孙子就提出了攻防的思路,就是知己知彼。孙子在《行军篇》中提到“众树动者,来也”,就是说我们看到大量的树在摇晃的时候,就知道敌人要来了。我认为金融行业的土豪可以买最好的设备,系统自身的情况应该是很熟悉的,但是还是需要加强知彼的能力,同样这也是我们整个产业需要关注的问题。其次还应该具有高强度攻击抵御能力、快速应急响应能力,从漏洞的角度来看,我们需要意识到既然漏洞是无法避免的,我们能够做得就是尽量缩短漏洞暴漏在互联网上的周期。最后是大数据分析能力,稍微大一点的金融系统,每天的光IDS报警是数以万记的,已经超过了人类分析的极限。在大数据分析上,大家对这个图应该很熟悉,和我们提了10年的SOC或者SIM的架构是大同小异的。集中威胁感知和防控一直我们安全人员的追求。但是就好比造一艘航母战斗群,是要巨大的投入的,就拿专职的攻防人员来说,大型的金融机构都是个位数。所以对于自建SOC我是持悲观的态度的,就好比几个人要开一艘航母,那最多是个巨大的游轮。在大数据分析上我想提的是联防联控,也许举行业之力,能够打造出一只像模像样的航母战斗群。时间关系,我不扩展了。

另外就是业务防控的演进。如图,可以看出2006年到2014年的电子银行认证体系的发展,我的感觉就是不断的加锁。业务防控的演进,我直接引用了支付宝风控的演进历程,即谁在什么时间用什么方式给用户做了什么事情,然后在每一个纬度进行模型分析,判断风险后提供便捷的支付。就好比我们如果要进一个屋子,要用五把钥匙才能开开,你是很烦的,我们还可以通过分析这个人走路的形态、眼神等来判断是否可疑。

2014年是互联网金融的时代,金融支付已经贯穿到存、贷、流通各个层面,安全问题也是跨平台、跨地域的,安全问题更加复杂。譬如不法分子通过假冒淘宝商家给一个北京的买家电脑上中了一个木马,通过欺诈的方式骗取用户账户金额,最后这个钱是在几个银行流通后,从另外一个省ATM取出去。 因此,在一个高度关联依赖的数字金融网络,攻击一个金融系统就意味着攻击整个金融系统,没有一个人可以逃脱这种攻击。虽然每个金融机构在业务上是竞争的,但我们在信息安全上面临着同样的对手。随着黑色产业链集团化、趋利化、跨境化的特点日趋明显,我们有必要联合安全服务商、金融机构和主管部门、金融参与者以及更多的正能量进行共同防御、战胜攻击。

最后我用一个故事来结束我的演讲。某个支付机构的高管准备悬赏100万,把帐号密码向全社会公布,但是不告诉支付密码,说谁能把钱取走100万就是谁的。最后经过技术人员的评估,他们对系统是很有信心的,但对APT没信心,如果要攻击邮件怎么办呢?不一定能扛得住。而且这算是主动招攻击了,最后法律责任怎么算?最后这事不了了之了。通过这个故事我想表达对奋斗在APT攻防一线人员的致敬,在我们刷个卡、扫个码就能很方便的支付时,凝聚了攻防一线人员大量的工作,他们给大家提供了一个更加安全和便捷的金融网络安全环境。谢谢各位!



转载请注明出处 APT防御产品 » 以金融为例,谈APT防御

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址