雲計算、大資料、人工智能、區塊鍊正影響着社會的各個角落,金融行業也是如此——這些技術正逐漸滲透到金融交易的前中背景,助力金融創新。
新技術的普及,帶來了想象空間的同時,其硬币的另一面也露出猙獰的面孔——資訊安全事件呈現高速增長的趨勢,安全事件要麼不發生,一發生就損失慘重。研究顯示,平均每次網絡安全事故,會給金融行業企業造成近100萬美元的損失。
新技術、新形勢下,那金融行業面臨的安全挑戰究竟有哪些?認識了這些挑戰後,我們又應該如何破除這些金融安全防護的難題?
3月15日,網易雲首席安全架構師沈明星受邀參加了第四屆區塊鍊金融與金融科技中國年會,并分享了《金融安全防護之道》的主題演講。筆者整理了相關内容,分享給大家。
金融企業業務管道越廣、服務越多樣化,安全問題就越突出
網易雲首席安全架構師沈明星
沈明星擁有10年安全行業經驗,在安全領域有豐富的實戰經驗。他主要從事安全防禦體系建設、安全應急響應、雲安全、安全服務産品化等工作,目前主緻力于實踐傳統企業在向雲進行遷移時利用雲安全服務解決企業的安全需求。
這位網易雲首席安全架構師在分享的一開始,就指出了網際網路+時代金融服務在當下的四大特點。
分别是:
· 特點一,與使用者的生活場景深度綁定
· 特點二,資訊傳播更廣泛
· 特點三,金融資料規模海量化
· 特點四,資料處理由本地升入雲端
這四大特點,讓金融業務的管道非常廣,服務也多樣化。然而金融創新的同時,很多安全問題也不斷暴露。
比如内容安全層面,敏感資訊、虛假資訊泛濫;業務安全層面,機器注冊、批量撞庫、活動作弊、薅羊毛;移動安全層面,逆向破解、二次打包;網絡安全層面,黑客攻擊、木馬後門、DDoS攻擊、APT攻擊等。
這隻是大的層面,落到具體細節,沈明星認為金融企業存在的細節性問題如下:
· 賬号密碼重置
· 郵箱等存在弱密碼,密碼爆破
· SQL注入
· 無驗證碼或者驗證碼繞過
· 業務系統對公網開放
· 系統存在越權漏洞,可檢視使用高權賬号功能
· 資料庫未授權通路(redis,mongodb)
· 上傳檔案沒有做限制( getshell)
· 第三方軟體(wordpress,dizcuz, 第三方支付漏洞)
· 用戶端,伺服器端 - 木馬,蠕蟲,Rootkit, 軟體漏洞
· Web攻擊 - XSS, SQL注入
· DDoS攻擊, CC攻擊
· 公司内部員工資訊洩露 - 郵箱密碼, Github賬号 …
· 企業内部産品邏輯漏洞 - CSRF攻擊,平行權限…
· 薅羊毛、作弊
· 垃圾虛假資訊泛濫
· DNS域名劫持,營運商劫持
· ……
保障金融行業資訊安全,已刻不容緩,那面對這些安全挑戰,金融企業該如何應對呢?
破解網際網路金融安全防護難題
對于如何應對,網上一首打油詩有過形象描述:
監管檔案搶頭條 移動終端是熱點
資訊洩露成常态 釣魚欺詐手段多
内網問題隐藏深 裡應外合要警惕
外網防線待加強 應急機制需落地
然而上面的應對非常抽象,在第四屆區塊鍊金融與金融科技中國年會上,沈明星分享了網易金融安全一站式解決方案,它從四個方面解決金融安全企業面臨的挑戰。
· 第一個方面是業務安全,業務安全提供的驗證碼、注冊保護、登入保護和活動反作弊等服務,能夠從源頭開始,就對金融企業開啟保護;
· 第二個方面是網絡安全,網易雲易盾的DDoS防護、漏洞掃描、Web應用防火牆、SSL證書服務,讓你不懼黑客的不斷騷擾。
· 第三個方面是移動安全,移動安全的加強功能,能讓Android應用程式擁有一個強大的盾牌,可以抵抗外部的逆向分析。
· 第四個方面是内容安全,内容安全提供文本過濾、圖檔識别、視訊檢測等服務,該服務基于的是網易20年反垃圾技術經驗、營運經驗及海量垃圾特征庫,能夠很好地幫你打造純淨的網際網路空間。
網易雲易盾為什麼能夠做好金融安全,我們從架構層面來解讀。
針對業務系統中的注冊、登入、UGC、投票、秒殺、拉新等環節,網易雲易盾都有對應的業務安全系統進行保護,利用智能驗證碼、識别垃圾注冊、人機識别、注冊量監控、可信裝置、MD5檢測、關鍵詞、深度學習、行為分析、高頻檢測、信譽等級、規則系統等措施,有效解決金融安全企業遇到的撞庫盜号、薅羊毛、惡意搶紅包等難題。
DDoS防護
DDoS高防
網絡層面,DDoS高防上易盾通過對出口全流量進行監控分析,依托網易大資料分析技術,自動化發現攻擊并做精細分類、識别及清洗,能夠将攻擊流量洗出去,合法通路流量引導到客戶的伺服器上。
除此之外,易盾還會通過Web和系統漏洞掃描,加強金融企業在各個闆塊的安全。
值得一提的是,沈明星的分享引起了不少人的興趣,分享結束後,有不少金融企業過來咨詢銀行體系如何反作弊,在發紅包、活動拉新上如何防止薅毛黨。