近年���,大規(guī)模數(shù)據(jù)泄露事件激增�,根據(jù)一份來自Identity Theft Resource Center和CyberScout的報告顯示���,2017年前11個月��,數(shù)據(jù)泄露事件繼續(xù)猛增,數(shù)量增加到1202起����,這比2016年全年的1093起多出了10%。作為網(wǎng)絡(luò)安全重點(diǎn)行業(yè)之一�����,金融因其行業(yè)特殊性一直是網(wǎng)絡(luò)犯罪的主要目標(biāo),金融數(shù)據(jù)變成不法分子覬覦的重點(diǎn)對象��。
2018年3月�,平安科技和綠盟科技聯(lián)合發(fā)布《2017金融科技安全分析報告》,結(jié)合最新的案例和豐富的情報源�����,直觀地分析了各類威脅的現(xiàn)狀及趨勢����。金融科技安全現(xiàn)狀和安全趨勢值得關(guān)注:
金融業(yè)務(wù)大幅云化,金融行業(yè)約60%的機(jī)構(gòu)使用了各類云服務(wù)��;
金融行業(yè)機(jī)構(gòu)對安全事件處置時間滯后�,20%的安全事件處置時間超過一周;
金融機(jī)構(gòu)業(yè)務(wù)流程欠缺��,只有32.9%采用了SDL開發(fā)�����;
信息安全不可忽視���,71.3%的企業(yè)計(jì)劃增加安全預(yù)算投入�����,但只有21%的企業(yè)打算擴(kuò)招安全團(tuán)隊(duì)��。
進(jìn)入大數(shù)據(jù)時代�,數(shù)據(jù)價值充分釋放,數(shù)據(jù)安全成為金融行業(yè)極為寶貴的城池營壘�����,必須嚴(yán)防死守:一方面要切實(shí)遵循國內(nèi)外數(shù)據(jù)及隱私安全監(jiān)管條例��,另一方面加強(qiáng)企業(yè)數(shù)據(jù)保護(hù)及防范數(shù)據(jù)倒賣風(fēng)險的能力�����。其中��,重點(diǎn)關(guān)注了數(shù)據(jù)安全這一核心領(lǐng)域���。
關(guān)于數(shù)據(jù)安全領(lǐng)域面臨的安全威脅����,報告中重點(diǎn)列舉了以下三大類:
1�����、數(shù)據(jù)庫漏洞與利用
數(shù)據(jù)庫勒索也是黑客攻擊金融業(yè)的一種常見手段���。許多數(shù)據(jù)庫的讀取接口直接暴露在互聯(lián)網(wǎng)上���,并且沒有設(shè)置完整的訪問控制策略,通過弱密碼甚至空密碼就可以直接獲取數(shù)據(jù)庫的控制權(quán)限����。黑客由此獲取數(shù)據(jù)庫控制權(quán),加密或破壞數(shù)據(jù)���,以此要挾受害者支付贖金���。針對勒索事件涉及到的數(shù)據(jù)庫近三年的中危、高危漏洞進(jìn)行統(tǒng)計(jì)后發(fā)現(xiàn)��,MySQL的漏洞暴露最嚴(yán)重����;增速方面���,除MySQL,PostgreSQL過去三年的漏洞也有較快增長��。
中危�、高危漏洞統(tǒng)計(jì)
數(shù)據(jù)庫漏洞威脅一直是數(shù)據(jù)庫的嚴(yán)重威脅。從不同角度來看數(shù)據(jù)庫存在多種不同分類方式��,按照漏洞屬性分�,數(shù)據(jù)庫漏洞大體分為兩種類型:第一是數(shù)據(jù)庫專有漏洞,第二類是通用性軟件漏洞���。
技術(shù)應(yīng)對:
1)應(yīng)用數(shù)據(jù)庫漏洞掃描技術(shù)��,有效暴露當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題�,對數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控����,對檢測出的數(shù)據(jù)庫漏洞加以分析,有針對性給出修復(fù)建議�����,以及修復(fù)漏洞所需的命令、腳本�����、執(zhí)行步驟等�。
2)如果允許第一時間內(nèi)打補(bǔ)丁是非常必要的�。官方補(bǔ)丁能解決95%的問題,攻擊數(shù)據(jù)庫經(jīng)常都是用的很老的漏洞�����,0day比例就很小���。
3)如果由于測試結(jié)果或環(huán)境的問題無法打補(bǔ)丁�,那么只能采用具備虛擬補(bǔ)丁能力的數(shù)據(jù)庫防火墻技術(shù)進(jìn)行安全加固��,虛擬補(bǔ)丁通過規(guī)則可以防護(hù)大部分已知數(shù)據(jù)庫漏洞的攻擊����。
2、內(nèi)部人員數(shù)據(jù)倒賣
根據(jù)Identity Theft Resource Center 和CyberScout 發(fā)布的報告���,2017年全年有多達(dá)1500 起數(shù)據(jù)泄露事件發(fā)生����,相比2016年發(fā)生的1093 起,增加37%��。而美國運(yùn)營商Verizon 發(fā)布數(shù)據(jù)泄露調(diào)查報告指出�,已發(fā)生的數(shù)據(jù)泄露事件中,25% 由內(nèi)部人員造成���。
數(shù)據(jù)泄露成因
內(nèi)部人員數(shù)據(jù)倒賣進(jìn)一步細(xì)究�,可以分成三類場景:
業(yè)務(wù)人員利用業(yè)務(wù)系統(tǒng)的查詢功能批量竊取數(shù)據(jù)�����;
運(yùn)維人員利用高權(quán)限數(shù)據(jù)庫賬號直連數(shù)據(jù)庫批量導(dǎo)出數(shù)據(jù)�;
測試庫里面存放了大量真實(shí)的生產(chǎn)數(shù)據(jù),為測試人員竊取數(shù)據(jù)大開方便之門�����;
其中�����,第三種泄密途徑體現(xiàn)了公司層面對生產(chǎn)數(shù)據(jù)管理不力的重大責(zé)任:生產(chǎn)數(shù)據(jù)離開生產(chǎn)環(huán)境要經(jīng)過脫敏處理��,這已經(jīng)是金融行業(yè)重要的數(shù)據(jù)安全標(biāo)準(zhǔn)。
金融行業(yè)作為信息泄露高發(fā)的行業(yè)�����,應(yīng)完善敏感信息保護(hù)措施����,加強(qiáng)內(nèi)部管理����,建立必要制度與控制機(jī)制。鑒于安全體系的建設(shè)需要循序漸進(jìn)的開展�,首先應(yīng)當(dāng)從人員的安全意識、問題的解決思路和管理體系完善等幾方面入手:
第一步:依靠政策���、法律法規(guī)等制度來進(jìn)行意識培養(yǎng)和教育��,并對違法行為形成震懾����;
第二步:控制業(yè)務(wù)系統(tǒng)調(diào)取數(shù)據(jù)能力�,通過技術(shù)手段徹底切斷內(nèi)部人員竊取數(shù)據(jù)的通道,避免業(yè)務(wù)人員通過業(yè)務(wù)系統(tǒng)批量導(dǎo)出數(shù)據(jù)���,杜絕泄密事件�;
第三步:做好監(jiān)管和審計(jì)技術(shù)手段,形成可定責(zé)追責(zé)的完整管理體系�����。
技術(shù)應(yīng)對:
然后針對金融內(nèi)部人員數(shù)據(jù)倒賣的上述幾種風(fēng)險場景進(jìn)行深入分析��,在技術(shù)層面加大數(shù)據(jù)安全防范力度:
利用數(shù)據(jù)庫防火墻的閾值管控功能阻斷批量的數(shù)據(jù)導(dǎo)出和敏感數(shù)據(jù)的纂改��、竊取����。
建立運(yùn)維制度,結(jié)合運(yùn)維管控技術(shù)手段控制運(yùn)維人員行為規(guī)范��,重點(diǎn)控制DBA及第三方人員���。
利用數(shù)據(jù)資產(chǎn)梳理技術(shù)做好敏感數(shù)據(jù)發(fā)現(xiàn)和梳理����,建立數(shù)據(jù)資產(chǎn)臺賬�����、梳理敏感數(shù)據(jù)清單。
整改測試環(huán)境�,建立敏感數(shù)據(jù)的脫敏機(jī)制,杜絕測試環(huán)境再次出現(xiàn)生產(chǎn)數(shù)據(jù)�;利用脫敏技術(shù)對個人敏感數(shù)據(jù)、業(yè)務(wù)敏感數(shù)據(jù)按需變形�����;通過掃描和流量分析結(jié)合�,持續(xù)監(jiān)控敏感數(shù)據(jù)使用及分布變化。
3�、云上數(shù)據(jù)竊取
2017年中國私有云市場規(guī)模達(dá)預(yù)估已達(dá)425億元左右�,到2020 年市場規(guī)模將達(dá)到762.4 億元。平安金融研究院和綠盟科技發(fā)起的《2017中國企業(yè)金融科技安全調(diào)查問卷》����,統(tǒng)計(jì)出我國金融行業(yè)約60% 的機(jī)構(gòu)使用了云服務(wù),大部分使用的是私有云�,也有超過20% 的機(jī)構(gòu)使用公有云或者混合云。
企業(yè)使用云服務(wù)比例
金融行業(yè)使用云業(yè)務(wù)最關(guān)注的安全風(fēng)險是數(shù)據(jù)及隱私保護(hù)����、業(yè)務(wù)的訪問權(quán)限控制。其中�,針對來自內(nèi)外部的數(shù)據(jù)安全威脅��,結(jié)合金融云上客戶的特性進(jìn)行以下技術(shù)的組合化的安全產(chǎn)品部署:防火墻技術(shù)+運(yùn)維管控技術(shù)+動態(tài)脫敏技術(shù)+加密技術(shù)+審計(jì)技術(shù)
利用云數(shù)據(jù)庫防火墻技術(shù)防范來自外部的黑客攻擊���,同時使用SLB做雙防火墻的負(fù)載均衡,保障應(yīng)用對數(shù)據(jù)庫訪問的持續(xù)性�����。
通過云數(shù)據(jù)庫安全運(yùn)維對內(nèi)部系統(tǒng)進(jìn)行細(xì)粒度的訪問與操作權(quán)限控制����,明確每個內(nèi)部人員的權(quán)限范圍,通過對批量數(shù)據(jù)導(dǎo)出等一系列操作的控制��,避免內(nèi)部人為操作帶來數(shù)據(jù)資產(chǎn)損失���。
在正常運(yùn)維前提下����,依靠動態(tài)脫敏技術(shù)��,對應(yīng)用中的敏感數(shù)據(jù)進(jìn)行脫敏�����,保證運(yùn)維人員無法查看敏感的數(shù)據(jù),降低信息從內(nèi)部泄漏的機(jī)率�。
最后,依靠云數(shù)據(jù)庫加密技術(shù)作為數(shù)據(jù)安全的最后一道防線���,防止外部黑客通過可其他漏洞拖庫拿到數(shù)據(jù)�,為數(shù)據(jù)加密����。
利用審計(jì)技術(shù)對數(shù)據(jù)庫全方位監(jiān)控與審計(jì),可關(guān)聯(lián)前端應(yīng)用用戶與后端數(shù)據(jù)庫訪問行為�,監(jiān)控內(nèi)部應(yīng)用及運(yùn)維側(cè)數(shù)據(jù)訪問操作行為,審計(jì)數(shù)據(jù)庫訪問行為記錄�����,針對可疑����、高危操作行為告警�;實(shí)現(xiàn)準(zhǔn)確定位違規(guī)操作行為責(zé)任人,追蹤發(fā)現(xiàn)數(shù)據(jù)泄露點(diǎn)��。
金融科技時代的來臨讓金融行業(yè)發(fā)生了一場更加深刻的變革,而變革的背后將面臨著越來越多的安全威脅�����。安全事件頻發(fā)��,對業(yè)務(wù)造成資金損失和極大的負(fù)面影響�,關(guān)注金融安全將是金融科技3.0 時代的重中之重。
從報告我們可以看到����,金融科技安全風(fēng)險的未來關(guān)注點(diǎn)將聚焦在監(jiān)管合規(guī)新要求、數(shù)據(jù)安全����、內(nèi)部安全培訓(xùn)、新技術(shù)應(yīng)用風(fēng)險�����、開發(fā)安全管控���、高危險網(wǎng)絡(luò)攻擊等六個方面�。我們知道�,金融科技的可持續(xù)發(fā)展必須注重安全建設(shè),從安全意識教育、安全設(shè)備部署�����、安全服務(wù)引入��、安全人才儲備�����、安全預(yù)算等方面提升整體安全威力�����。
產(chǎn)品咨詢:4000 258 365 
