中國網財經11月27日訊 今日,“2020北京國際金融安全論壇”在北京召開,奇安信集團董事長齊向東在會上表示,中小金融機構的網路安全狀況堪憂。對於中小銀行,85%都被“拿下”,如果是攻擊的時間夠長,不是一週到兩周的時間,你是一個月到兩個月的時間,我相信100%都會被“拿下”,這是非常讓我們堪憂的一個比例。
以下為演講內容:
各位領導,各位嘉賓,我的題目是“從實戰攻防看金融行業安全態勢”,講的主要還是從微觀的角度看金融行業面臨的網路安全問題到底是什麼樣的。
先説一個結論,中小金融機構的網路安全狀況堪憂。去年網路攻防演習在金融機構裏面有的是行業主管部門主持,有的是金融機構自查,大概辦了200多場,在這200多場裏面,大型的金融機構失陷率15%,一般的攻防演習一週到兩周的時間,請專門的駭客攻擊隊,對線上運作的網路進行攻擊,15%的大型銀行能被“拿下”,我們説的“拿下”,就是駭客通過外網攻擊進入到銀行系統的內網,在內網裏面能拿到他關鍵性的許可權,能夠對金融的業務進行操作,這就是能夠執行破壞性的動作。但是對於中小銀行,85%都被“拿下”,如果是攻擊的時間夠長,不是一週到兩周的時間,你是一個月到兩個月的時間,我相信100%都會被“拿下”,這是非常讓我們堪憂的一個比例。
我舉幾個例子網路攻擊對金融系統怎麼攻擊的,第一個案例,就是用0DAY漏洞進行攻擊,所謂的網路攻擊都是通過漏洞進行的,如果沒有漏洞,網路的防護都是健全的,因為《國家電腦等級保護條例》、《關鍵資訊技術設施保護條例》、《網路安全法》都有一系列的規定,你作為一個金融機構能夠拿到牌照,在網路安全方面我們是有法律規定的,就是合規,如果是網路安全上,不能夠合規,那麼你的安全的牌照就不能夠正常年檢了,從合規的角度來説,大家都是合規的,像我們今天開會的會場,門口有保安,進來要驗體溫,要求什麼場合下什麼位置檢查健康碼,這些合規的措施都是有的,如果檢查程式上出現漏洞,比如説門口的檢查人員不負責任,漏過了幾個人沒檢,這就是程式性漏洞和具體管理的漏洞。出現了這個漏洞之後,就會被攻擊者滲透,我們所謂原來的合規,就被打開了一個口子。
這個網路攻擊的漏洞,我如果再用一個形象的比喻來形容,大家就知道,抗日戰爭期間,鬼子都有炮樓,遊擊隊去炸鬼子炮樓的時候,鬼子圍繞著炮樓是有鬼子的哨兵、巡邏崗,我們的遊擊隊員趴在莊稼地裏面等著鬼子的哨兵過去,在那兒數幾圈,鬼子的哨兵5分鐘巡邏一次,我們前進的路上一定要4分鐘結束,接著再隱藏起來。5分鐘轉一圈這個檢查,這就是一個漏洞,你要充分利用這個漏洞,就可以突破鬼子的巡邏哨,就可以潛伏到他的炮樓裏面去。所以我們的網路安全措施都有類似的漏洞。
0DAY是什麼呢?只有駭客知道,外界其他人不知道,這就是竅門,這是非常可怕的。這個典型的案例裏面,紅字的標識,這些都是駭客攻擊的步驟。第一個步驟,在金融機構裏面為了支援員工遠端辦公,所以在手機和電腦遠端接入銀行系統的時候,都要有一個VPN,經常用手機翻墻的人也知道,如果手機翻墻也需要用VPN,VPN的設備如果被駭客發現了0DAY漏洞,他就可以不用輸VPN的密碼,就可以侵入到你的銀行網路裏面去,這就是第一步完成了。到了第二步的時候,上傳一個竊取的文件,就可以記錄其他人上網時的用戶名和密碼,由此實現了第二步,拿到密碼。之後他通過再上傳一些命令,就能拿到VPN管理的密碼,所以通過VPN就可以造更多合法的賬戶,但是實際上這些賬戶都是虛假的,可以用於攻擊的。到了第四步,他拿到合法的用戶命令的時候,又通過一系列的操作,能拿到伺服器管理的許可權,伺服器的管理都是運作後臺管理員才能有的密碼,他通過這種方式也能拿到。等到第四個步驟都完成了,就能控制伺服器了。我們的業務邏輯和我們的數據都在伺服器裏,他一旦控制了這個伺服器,就想幹什麼就幹什麼了,想往外轉錢就可以往外轉錢,他想刪除數據就給你刪除數據,同時他如果想把你的數據庫加密了,也能做得到。
第二個例子,供應鏈的攻擊,所有的銀行系統都是通過招投標找第三方開發的,第三方開發的程式如果不可靠,埋入一個後門,同樣可以把這個漏洞拿下。
第三個案例是社工釣魚,可能有些人經歷過釣魚的郵件,一封假郵件,説公司要發社保的物品了,希望大家快速到哪兒去領,點這個地址就可以領了,一點電腦中了,把你的用戶名、密碼拿走,最後實現對密碼的控制,這個方式一般叫釣魚攻擊。
經過總結,中小機構在網路安全上存在十大薄弱環節,從安全意識、資産不清、網際網路出口過多、應用系統漏洞、供應鏈管控沒有、0DAY漏洞等等十個方面,看上去這十個東西,幾乎在我們中小的金融安全機構裏面不完善的佔一半以上。
新一代的金融安全體系應該設四個重要目標,合規檢查、保障業務、適應形勢、應對挑戰。我們説合規檢查,國家有很多法律法規,應該按照法律法規去做。保障業務,現在僅僅合規已經不夠了,因為按照習近平總書記在4·19講話裏面明確指出網路安全是動態的,不是靜態的,網路安全是全面的,而不是局部的。所以,一個合規的設備裝上去之後,只能説明靜態狀態下是合規了,但是並不具備攻防的動態性。你要保證業務,安全系統需要和業務系統相融合,才能識別對業務的攻擊。適應形勢,就是我們老的東西已經不適用了,因為安全是場景化保護方案,我們現在新的場景已經是數字化時代了,我們所有的東西都已經和以前金融的系統不一樣了,所以我們要更新思想。應對挑戰,就是在新發展階段,我們要有新的網路安全的格局,所以要迎接這個新的挑戰。補足短板,我們又給出四條措施:
第一個是要建立實戰化的安全運營中心。我們知道,一個城市的安全、社會安全,如果沒有一個有效的110,這個城市有效的安全是做不到的,有多少警察也沒有用,你不能夠形成一個聯動的指揮體系。
第二個是要補充實戰攻防對抗類武器。現實生活當中,隨著時間的推移,出現了暴恐分子之後,我們給警察、保安配一些可以遠距離把他控制住的裝備,你的對抗性武器沒有,也對抗不了駭客的攻擊。
第三個是加強對終端的安全管控。我們説病從口入,數字化時代,網路安全的口是什麼呢?就是終端,這個終端突破了傳統意義上的電腦和手機,包括各種各樣的物聯網的設備,包括我們的攝像頭都是終端,這些終端都可能引發成為安全攻擊的入口。
第四個是提升安全人員的能力。人是安全最關鍵和最核心的東西,按照公安部的要求,公安部在等級保護和關鍵資訊保護條例裏面明確提出實現“三化六防”,網路安全面向實戰化、體系化、常態化,做到動態防禦、主動防禦、縱深防禦、精準防護、整體防護、聯防聯控,這是新等保和新關鍵資訊保護基礎設施的新的要求,按照這個要求,目前絕大多數體系是不合格的,但是我們要按照新的要求,不斷運營合格,所以我們提出要實現“三化六防”要建新的網路安全框架,叫內生安全的框架,我們有一個對外公開的內生網路安全框架的白皮書,目前為止超過一百多家的大型機構,按照內生網路安全框架結構制定“十四五”的網路安全規劃。
謝謝大家!
(責任編輯:葉景)