0年金融业安全威胁态势分析

来源：轻金融

作者：工商银行软件开发中心曾炜谢晓昕

一、序言

0年全球互联网持续快速发展，在疫情背景下，人们对互联网的依赖持续加深。近年来，金融行业数字化转型如火如荼，并且随着生物识别技术、区块链等技术的发展和普及，金融行业也在加速引入最新信息化技术。

但随着信息技术的发展，来自互联网的安全威胁持续升级，全球出现了很多重大信息安全事件、公布了不少高危漏洞、发展出一些新的攻击手法，其中金融机构是攻击者的重要攻击目标之一，本文重点梳理对金融行业有借鉴意义的0年安全事件，从金融行业面对的安全挑战的六个维度，包括勒索软件攻击、供应链攻击、关键信息基础设施安全、数据安全和个人信息保护、区块链挖矿、CaaS等类型的攻击事件，结合行业特点进行分析。

二、信息安全事件分析

（一）、勒索软件：全球企业头号威胁

自07年WannaCry勒索病毒在全球范围爆发以来，勒索病毒加速演进，越发猖狂。据相关机构的统计，近年来遭受勒索软件威胁的个人用户数量显著下降，主要原因是黑客逐渐将目标由个人转向大型企业、政府单位、公共机构等，因此企业、政府等受到勒索软件威胁程度越来越高。0年勒索软件已经成为全球企业的头号威胁。

0年攻击事件中，影响最大的是5月份的美国最大成品油管道运营公司ColonialPipeline遭遇勒索软件攻击暂停运营事件，该事件导致美国最大燃油管道被“掐断”，ColonialPipeline公司最终在支付万美元赎金后恢复运营。而针对金融行业的勒索软件攻击事件也层出不穷。

以下是全球范围内金融行业较知名勒索软件攻击事件：

0年月，支付处理商AFTS遭遇名为CubaRansomewar的黑客组织的勒索软件攻击，并导致使用AFTS作为服务商的加州车辆管理局的用户数据泄露。

0年3月，美国保险巨头CNA遭受勒索软件攻击，赎金万美元。

0年5月，美国最大成品油管道运营公司ColonialPipeline遭受勒索软件攻击，赎金万美元；全球最大保险公司法国安盛集团遭受勒索软件攻击，疑似泄露包括客户医疗报告、银行账户对账单、付款记录及合同等3TB数据。

0年8月，西班牙对外银行、摩根大通银行、萨顿银行、桑坦德银行、印度国家银行等多家银行约00万张被盗信用卡在暗网销售。

0年9月，南非收债公司Debt-INConsultants遭勒索软件攻击，致消费者和员工个人信息数据泄露。

从勒索软件攻击事件来看，近年来勒索软件攻击具有以下特点和趋势：

.攻击目标从个人转向企业和政府

近年来，勒索软件黑客组织意识到传统的广撒网式战术不能带来更多回报，黑客组织开始采用复杂性和针对性更强的攻击手段，并瞄准“高端市场”，他们的攻击目标从个人用户转向了大型企业、政府单位、公共机构等。由于这些目标通常保存了大量关键业务数据，因此一旦攻击成功，将对业务以及组织声誉严重影响，以此增加受害者支付赎金的概率。

.攻击模式规模化和专业化

勒索软件攻击已从个人行为演变至团队产业。黑客组织内部往往分工严密，从勒索软件“武器化”，到入侵攻击，再到解密沟通，都由不同人员负责，甚至最核心的成员隐藏在幕后，把“武器”提供给外围黑客实施真正的攻击。攻击者还结合APT攻击，在发起勒索攻击之前，已经潜伏和控制目标网络相当长一段时间，直到时机成熟才发起最后攻击，让受害者损失最大化，从而勒索更多赎金。

3.攻击手段逐渐以加密勒索转变为加密和窃取“双重勒索”方式

“双重勒索”是从00年发展起来的一种新的勒索攻击方式，是指攻击者先窃取未加密的文件，再对文件进行加密进而威胁受害者，若受害者不支付赎金，攻击者将在暗网公开窃取的文件，受害者即使已经备份过文件，仍会因担心数据泄露而支付赎金。从0年的攻击事件来看，大部分勒索攻击事件都伴随文件窃取或信息泄露。

从上述看出，与以往的勒索攻击相比，除了系统破坏风险外，还存在数据窃取和信息泄露风险，危害更大。数据是金融行业的重要资产，目前金融行业在数据保护方面采用多中心灾备、全流程对账等手段，对数据的生命周期提供全面的保障，在网络安全防护方面，也一般采取纵深防御、网络隔离等多种方法，最大限度防止外部和内部的攻击行为。工商银行采用网络分区+纵深防御的安全防护策略，配合一体化的安全运营中心最大限度防范攻击威胁，保障企业和客户数据安全。针对目前勒索软件攻击的特点和趋势，金融行业应持续加强数据和网络安全防护，防范于未然。

（二）、关键信息基础设施：攻击热点

还是以0年5月份的美国最大成品油管道运营公司ColonialPipeline遭遇攻击为例，在被攻击时间段内，ColonialPipeline被迫关闭整个管道系统。该管道十分重要，承担了美国东岸45%的燃料供给，迫使美国宣布7个州和华盛顿特区进入紧急状态。该事件也暴露了美国关键信息基础设施网络安全防护的脆弱性。

从上述事件可以看出，关键信息基础设施网络安全防护的重要性。我国《网络安全法》对关键信息基础设施提供者和网络运营者的义务和责任都作了规定，而《关键信息基础设施安全保护条例》对关键信息基础设施安全保护进行了具体细化的规定，并且等保.0也对关键信息基础设施作了特别要求。

金融行业特别是国有大行的部分系统作为关键信息基础设施，承载个人与对公的账户和账户处理等功能，涉及民生保障和国家稳定。在网络安全和数据防护方面，金融行业一般采用纵深防御、网络隔离、多中心灾备、全流程对账等多种手段和方法，保障系统和数据的安全，即使不法分子攻击突破到网络内部，仍可最大限度保障关键业务的运行和数据安全，类似美国ColonialPipeline公司那样关键业务被中断的可能性较低，但仍不可掉以轻心，应该持续加强关键信息基础设施网络安全防护，做好全面的安全防护和灾备。

金融行业涉及关键信息基础设施的系统关系国计民生，工商银行作为国内乃至世界头部银行，采用“两地三中心”的架构，并配合多种冗余和灾备手段，最大限度保障系统安全和业务平稳运行。

（三）、数据安全和个人信息：黑产愈演愈烈

0年爆发了多起信息泄露或数据破坏事件。

0年月，名墨西哥和美国运通卡用户的数据在暗网发布，可免费下载；印度支付处理公司Juspay超过亿用户的借记卡、信用卡信息遭窃取；新西兰储备银行存储在第三方托管提供商的数据遭攻击，商业和个人数据遭泄露。

0年月，美国风险投资公司红衫资本因遭受网络钓鱼攻击，一些个人信息和财务信息疑似被窃取。

0年3月，印度移动支付服务商MobiKwik超万客户端信息遭泄露。

0年4月，印度股票市场经纪人公司Upstox数据泄露，约50万用户数据从第三方仓库系统泄露。

0年6月，美国金融软件公司Intuit部分用户的个人和财务数据遭泄露。

0年7月，美国投资银行剧透摩根士丹利因第三方AccellionFTA服务器攻击导致数据泄露。

0年8月，摩根大通银行因网站和应用程序存在技术漏洞，导致包括姓名、账号、报表、交易清单在内的客户信息泄露。

0年月，美国股票交易平台Robinhood遭遇黑客攻击，约万客户信息遭泄露。

0年月，加密货币交易平台Bitmart遭受黑客攻击，近亿美元资产遭泄露。

从上述事件来看，造成信息泄露的主要原因除了勒索攻击外，还存在传统技术漏洞，此外，伪造APP、第三方漏洞、“内鬼”等也是导致信息泄露的原因之一。

在个人信息和数据保护方面，我国于0年月日正式实施《民法典》，其中第一千零三十五条明确规定，处理个人信息应征得该自然人或者其监护人同意。之后，《中华人民共和国数据安全法》于0年9月日正式实施，《中华人民共和国个人信息保护法》于0年月日正式实施。从法律层面明确了保护个人信息和数据的合法性和重要性，凸显了国家对个人信息的尊重，对个人信息和数据的保护要求也日益严格。

此外0年月，工信部起草《移动互联网应用程序个人信息保护管理暂行规定》，明确了知情同意和最小必要两项个人信息保护基本原则。

金融行业保存了大量客户数据，对于这些数据，使用了多种安全措施保障数据安全，但是在一些源码数据等方面的防护仍待加强，近年来也发生过国内银行数据泄露并在暗网倒卖的问题，建议加强监控和防护,同时还应警惕数据的内部泄露等问题，做好内控合规监控。

（四）、供应链攻击：威胁日增

00年影响最广、最复杂的黑客攻击事件可谓SolarWinds供应链攻击事件,该事件在0年仍有很大影响。00年月，美国法院行政办公室因SolarWinds后门被入侵，迫使美国法院系统禁止在敏感案件中以电子方式提交法律文件；黑客通过SolarWinds后门入侵包括微软、思科、FireEye和SolarWinds在内的多个公司，并将多个公司的源代码在一个名为"SolarLeaks"的网站上公开售卖。

0年在开源社区和应用平台等领域也存在供应链攻击事件。月份，Perl.

转载请注明:http://www.aideyishus.com/lkcf/2690.html