近年,大规模数据泄露事件激增,根据一份来自identity theft resource center和cyberscout的报告显示,2017年前11个月,数据泄露事件继续猛增,数量增加到1202起,这比2016年全年的1093起多出了10%。作为网络安全重点行业之一,金融因其行业特殊性一直是网络犯罪的主要目标,金融数据变成不法分子觊觎的重点对象。
2018年3月,平安科技和绿盟科技联合发布《2017金融科技安全分析报告》,结合最新的案例和丰富的情报源,直观地分析了各类威胁的现状及趋势。金融科技安全现状和安全趋势值得关注:
金融业务大幅云化,金融行业约60%的机构使用了各类云服务;
金融行业机构对安全事件处置时间滞后,20%的安全事件处置时间超过一周;
金融机构业务流程欠缺,只有32.9%采用了sdl开发;
信息安全不可忽视,71.3%的企业计划增加安全预算投入,但只有21%的企业打算扩招安全团队。
进入大数据时代,数据价值充分释放,数据安全成为金融行业极为宝贵的城池营垒,必须严防死守:一方面要切实遵循国内外数据及隐私安全监管条例,另一方面加强企业数据保护及防范数据倒卖风险的能力。其中,重点关注了数据安全这一核心领域。
关于数据安全领域面临的安全威胁,报告中重点列举了以下三大类:
数据库勒索也是黑客攻击金融业的一种常见手段。许多数据库的读取接口直接暴露在互联网上,并且没有设置完整的访问控制策略,通过弱密码甚至空密码就可以直接获取数据库的控制权限。黑客由此获取数据库控制权,加密或破坏数据,以此要挟受害者支付赎金。针对勒索事件涉及到的数据库近三年的中危、高危漏洞进行统计后发现,mysql的漏洞暴露最严重;增速方面,除mysql,postgresql过去三年的漏洞也有较快增长。
中危、高危漏洞统计
数据库漏洞威胁一直是数据库的严重威胁。从不同角度来看数据库存在多种不同分类方式,按照漏洞属性分,数据库漏洞大体分为两种类型:第一是数据库专有漏洞,第二类是通用性软件漏洞。
技术应对:
1)应用数据库漏洞扫描技术,有效暴露当前数据库系统的安全问题,对数据库的安全状况进行持续化监控,对检测出的数据库漏洞加以分析,有针对性给出修复建议,以及修复漏洞所需的命令、脚本、执行步骤等。
2)如果允许第一时间内打补丁是非常必要的。官方补丁能解决95%的问题,攻击数据库经常都是用的很老的漏洞,0day比例就很小。
3)如果由于测试结果或环境的问题无法打补丁,那么只能采用具备虚拟补丁能力的数据库防火墙技术进行安全加固,虚拟补丁通过规则可以防护大部分已知数据库漏洞的攻击。
根据identity theft resource center 和cyberscout 发布的报告,2017年全年有多达1500 起数据泄露事件发生,相比2016年发生的1093 起,增加37%。而美国运营商verizon 发布数据泄露调查报告指出,已发生的数据泄露事件中,25% 由内部人员造成。
数据泄露成因
内部人员数据倒卖进一步细究,可以分成三类场景:
业务人员利用业务系统的查询功能批量窃取数据;
运维人员利用高权限数据库账号直连数据库批量导出数据;
测试库里面存放了大量真实的生产数据,为测试人员窃取数据大开方便之门;
其中,第三种泄密途径体现了公司层面对生产数据管理不力的重大责任:生产数据离开生产环境要经过脱敏处理,这已经是金融行业重要的数据安全标准。
金融行业作为信息泄露高发的行业,应完善敏感信息保护措施,加强内部管理,建立必要制度与控制机制。鉴于安全体系的建设需要循序渐进的开展,首先应当从人员的安全意识、问题的解决思路和管理体系完善等几方面入手:
第一步:依靠政策、法律法规等制度来进行意识培养和教育,并对违法行为形成震慑;
第二步:控制业务系统调取数据能力,通过技术手段彻底切断内部人员窃取数据的通道,避免业务人员通过业务系统批量导出数据,杜绝泄密事件;
第三步:做好监管和审计技术手段,形成可定责追责的完整管理体系。
技术应对:
然后针对金融内部人员数据倒卖的上述几种风险场景进行深入分析,在技术层面加大数据安全防范力度:
利用数据库防火墙的阈值管控功能阻断批量的数据导出和敏感数据的纂改、窃取。
建立运维制度,结合运维管控技术手段控制运维人员行为规范,重点控制dba及第三方人员。
利用数据资产梳理技术做好敏感数据发现和梳理,建立数据资产台账、梳理敏感数据清单。
整改测试环境,建立敏感数据的脱敏机制,杜绝测试环境再次出现生产数据;利用脱敏技术对个人敏感数据、业务敏感数据按需变形;通过扫描和流量分析结合,持续监控敏感数据使用及分布变化。
3、云上数据窃取
2017年中国私有云市场规模达预估已达425亿元左右,到2020 年市场规模将达到762.4 亿元。平安金融研究院和绿盟科技发起的《2017中国企业金融科技安全调查问卷》,统计出我国金融行业约60% 的机构使用了云服务,大部分使用的是私有云,也有超过20% 的机构使用公有云或者混合云。
企业使用云服务比例
金融行业使用云业务最关注的安全风险是数据及隐私保护、业务的访问权限控制。其中,针对来自内外部的数据安全威胁,结合金融云上客户的特性进行以下技术的组合化的安全产品部署:防火墙技术 运维管控技术 动态脱敏技术 加密技术 审计技术
利用云数据库防火墙技术防范来自外部的黑客攻击,同时使用slb做双防火墙的负载均衡,保障应用对数据库访问的持续性。
通过云数据库安全运维对内部系统进行细粒度的访问与操作权限控制,明确每个内部人员的权限范围,通过对批量数据导出等一系列操作的控制,避免内部人为操作带来数据资产损失。
在正常运维前提下,依靠动态脱敏技术,对应用中的敏感数据进行脱敏,保证运维人员无法查看敏感的数据,降低信息从内部泄漏的机率。
最后,依靠云数据库加密技术作为数据安全的最后一道防线,防止外部黑客通过可其他漏洞拖库拿到数据,为数据加密。
利用审计技术对数据库全方位监控与审计,可关联前端应用用户与后端数据库访问行为,监控内部应用及运维侧数据访问操作行为,审计数据库访问行为记录,针对可疑、高危操作行为告警;实现准确定位违规操作行为责任人,追踪发现数据泄露点。
金融科技时代的来临让金融行业发生了一场更加深刻的变革,而变革的背后将面临着越来越多的安全威胁。安全事件频发,对业务造成资金损失和极大的负面影响,关注金融安全将是金融科技3.0 时代的重中之重。
从报告我们可以看到,金融科技安全风险的未来关注点将聚焦在监管合规新要求、数据安全、内部安全培训、新技术应用风险、开发安全管控、高危险网络攻击等六个方面。我们知道,金融科技的可持续发展必须注重安全建设,从安全意识教育、安全设备部署、安全服务引入、安全人才储备、安全预算等方面提升整体安全威力。
试用申请