根據(jù)《互聯(lián)網(wǎng)金融監(jiān)測情況報告(2017年5月1日-5月15日)》，在網(wǎng)站網(wǎng)絡(luò)攻擊方面，系統(tǒng)監(jiān)測到的網(wǎng)絡(luò)攻擊達(dá)117.7萬次，比上期增加1.6萬次。

互聯(lián)網(wǎng)金融的興起和快速應(yīng)用，革命性地改變了傳統(tǒng)金融產(chǎn)品的內(nèi)容和服務(wù)模式。雖然傳統(tǒng)金融機(jī)構(gòu)也因此面臨著壓力，但不得不承認(rèn)，互聯(lián)網(wǎng)金融企業(yè)在快速創(chuàng)新能力、客戶體驗為中心的服務(wù)理念，乃至產(chǎn)品和服務(wù)的快速覆蓋等方面，給傳統(tǒng)銀行的創(chuàng)新和發(fā)展注入了新的活力。

當(dāng)傳統(tǒng)銀行向“互聯(lián)網(wǎng)+”轉(zhuǎn)型時，很多固有思維和運(yùn)營、服務(wù)模式都需要轉(zhuǎn)換，其中應(yīng)用安全就面臨著不小的挑戰(zhàn)。那么應(yīng)用安全向“互聯(lián)網(wǎng)+”靠攏要過幾道關(guān)?現(xiàn)階段的安全攻擊手段給傳統(tǒng)安全技術(shù)帶來哪些挑戰(zhàn)?又有哪些創(chuàng)新技術(shù)可以改變安全“后知后覺”的現(xiàn)狀?本文將一一予以解答。

“互聯(lián)網(wǎng)+”安全需求大不同

“互聯(lián)網(wǎng)+”金融的創(chuàng)新在于圍繞多元化的金融服務(wù)、線上線下的緊密結(jié)合，它對現(xiàn)有技術(shù)支撐平臺的開放性、應(yīng)用的易用性、應(yīng)用上線的快速、運(yùn)維的便捷性等方面都有很高的要求。而傳統(tǒng)金融行業(yè)固有的應(yīng)用安全模式也因此面臨著新的挑戰(zhàn)。

首先是安全威脅的范圍擴(kuò)大了。金融服務(wù)鏈條的廣泛延伸以及技術(shù)平臺開放性的要求，加大了安全威脅的攻擊面;

其次是傳統(tǒng)安全策略不適用于互聯(lián)網(wǎng)金融模式。傳統(tǒng)銀行業(yè)大多奉行嚴(yán)謹(jǐn)多層次的安全防御體系和機(jī)制，對客戶體驗和客戶滿意度為優(yōu)先的模式形成一定的制約;

再次是新業(yè)務(wù)快速迭代和上線的需求與安全漏洞的發(fā)現(xiàn)、修復(fù)周期和成本之間的矛盾愈加明顯;

最后是數(shù)據(jù)泄露風(fēng)險加大。金融服務(wù)與客戶交易行為的深度融合，所產(chǎn)生的“客戶”為中心的關(guān)聯(lián)用戶“大數(shù)據(jù)”信息，帶來科技引領(lǐng)業(yè)務(wù)的積極因素的同時，也加大了客戶資料泄漏造成的更為嚴(yán)重后果的風(fēng)險。

如何消除制約并實(shí)現(xiàn)“互聯(lián)網(wǎng)+”對銀行傳統(tǒng)應(yīng)用安全的訴求，成為信息安全方面的關(guān)注焦點(diǎn)。

自動化威脅肆虐“互聯(lián)網(wǎng)+”金融

傳統(tǒng)銀行面臨的不僅僅是“互聯(lián)網(wǎng)+”金融帶來的安全挑戰(zhàn)，在網(wǎng)絡(luò)攻擊手段層出不窮的今天，傳統(tǒng)的安全技術(shù)提供的防御效果也大打折扣，安全現(xiàn)狀令人堪憂。據(jù)FreeBuf發(fā)布的《2016年上半年金融行業(yè)應(yīng)用安全態(tài)勢報告》顯示，高危漏洞占比高達(dá)78.48%;從漏洞利用程度上分析，互聯(lián)網(wǎng)金融比傳統(tǒng)金融更加“脆弱”——“非常容易利用”的漏洞占比高達(dá)57.5%。)而這種狀況在過去三年內(nèi)幾乎毫無改觀。在近兩年機(jī)器人攻擊手段盛行的狀況下，使得漏洞利用被大規(guī)模復(fù)制，造成前所未有大規(guī)模業(yè)務(wù)損失、數(shù)據(jù)損失。據(jù)權(quán)威機(jī)構(gòu)Research and Markets 的報告，90%的網(wǎng)絡(luò)攻擊流量來自自動化程序。

自動化威脅的趨勢也受到國內(nèi)外安全行業(yè)的關(guān)注，OWASP組織列出了以下Top 20的Web應(yīng)用的自動化威脅(表1)，其中盜刷、惡意爬蟲、撞庫、刷單等自動化威脅已經(jīng)實(shí)實(shí)在在地發(fā)生在我們身邊，金融行業(yè)成為攻擊者的首要目標(biāo)。

表1：2015 OWASP Web應(yīng)用 Top 20自動化威脅

傳統(tǒng)安全防御“心有余，力不足”

面對自動化威脅，現(xiàn)有主流網(wǎng)頁安全技術(shù)，應(yīng)對自動化攻擊均存在不同程度的局限，大致可分為四類：

一是基于規(guī)則和簽名的技術(shù)存在空窗期。防火墻、IDS/IPS、Web應(yīng)用防火墻等技術(shù)在現(xiàn)階段都沒有擺脫有防護(hù)空窗期的缺陷，規(guī)則和簽名永遠(yuǎn)滯后于攻擊的發(fā)生。

二是身份安全面臨挑戰(zhàn)。安全水平參差不齊的互聯(lián)網(wǎng)及互聯(lián)網(wǎng)金融企業(yè)的興起，在大量的普通用戶群體用戶帳號、密碼一致的現(xiàn)實(shí)情況下，以“拖庫”為代表的大量用戶身份信息泄漏事件頻發(fā)，甚至通過“撞庫”方式產(chǎn)生更為嚴(yán)重的連鎖反應(yīng)。出現(xiàn)了抗動態(tài)身份認(rèn)證技術(shù)的工具和服務(wù)，如：打碼平臺，專門應(yīng)對各類動態(tài)驗證碼防護(hù)技術(shù)。

三是模擬合法操作的自動化攻擊和對未知攻擊的防護(hù)薄弱且低效。目前主要依賴應(yīng)用軟件本身的改進(jìn)，并無有效的產(chǎn)品和技術(shù)應(yīng)對。這如同發(fā)現(xiàn)應(yīng)用漏洞一樣，漏洞的修復(fù)和應(yīng)用軟件修改的工作成本和周期都較大，這些改進(jìn)的工作內(nèi)容的復(fù)制性低，也造成了不能很好適應(yīng)“互聯(lián)網(wǎng)+”模式的快速性特點(diǎn)。同時，過嚴(yán)的安全防護(hù)還造成客戶體驗不佳。

四是日志分析和大數(shù)據(jù)分析技術(shù)仍需要時間和驗證。大數(shù)據(jù)技術(shù)運(yùn)用在安全威脅情報的分析和預(yù)測上是潮流和方向，其中海量的事件源采集和數(shù)據(jù)分析模型是關(guān)鍵。然而，自動化攻擊和威脅事件的捕獲手段是目前一個主要的障礙點(diǎn)。

取勝之道：“動態(tài)安全”防御理念動中取勝

在自動化威脅肆虐和傳統(tǒng)安全防御技術(shù)亟待提升的嚴(yán)峻形勢下，突破傳統(tǒng)安全防御觀念，扭轉(zhuǎn)被動滯后的局面，成為傳統(tǒng)金融機(jī)構(gòu)和安全廠商的迫切需求。

瑞數(shù)信息做到了這一點(diǎn)。

瑞數(shù)信息立足信息安全領(lǐng)域的技術(shù)創(chuàng)新，面向解決自動化攻擊的威脅趨勢，秉承動態(tài)安全的防御理念，采用創(chuàng)新的“動態(tài)變幻”安全技術(shù)(已獲專利)，通過對服務(wù)器網(wǎng)頁底層代碼的持續(xù)動態(tài)變換，使得服務(wù)器對于用戶端訪問請求的響應(yīng)具有 “不可預(yù)測性”，使得成為攻擊者目標(biāo)的網(wǎng)頁和手機(jī)應(yīng)用，變成“移動標(biāo)靶”。不僅有效對抗傳統(tǒng)技術(shù)部分解決的漏洞利用問題，也更簡便有效地解決了濫用業(yè)務(wù)邏輯的自動化威脅，乃至越來越普遍被使用，卻是檢測和防御難點(diǎn)的DDoS 和分布式漏洞掃描。“動態(tài)變幻”技術(shù)同時也顛覆了傳統(tǒng)安全技術(shù)中采用的靜態(tài)和被動(規(guī)則及事后)的模式，轉(zhuǎn)為動態(tài)和主動方式(變幻及事中)進(jìn)行保護(hù)。

瑞數(shù)機(jī)器人防火墻Botgate產(chǎn)品通過以下多重“動態(tài)”引擎技術(shù)聯(lián)合使用，實(shí)現(xiàn)其防護(hù)能力：

動態(tài)封裝。網(wǎng)頁代碼的底層動態(tài)封裝，封閉攻擊入口。每次的變換均不同，攻擊者難以逆向 。

動態(tài)驗證。對客戶端的人機(jī)行為進(jìn)行驗證，有效判斷自動化攻擊。

動態(tài)混淆。對客戶端提交的重要數(shù)據(jù)和屬性進(jìn)行混淆保護(hù)，防止中間人攻擊。

動態(tài)令牌。通過對受保護(hù)網(wǎng)頁授予一定時間內(nèi)的有效訪問，確保合法的業(yè)務(wù)邏輯。防止越權(quán)訪問、拖庫等惡意自動化攻擊。

針對銀行業(yè)面臨的主要安全風(fēng)險，瑞數(shù)產(chǎn)品可以實(shí)現(xiàn)三個層面的安全，例如屏蔽業(yè)務(wù)安全風(fēng)險：防止撞庫;防止盜用賬戶、竊取用戶信息、欺詐交易、盜取用戶存款;防止應(yīng)用層DDoS。還可以避免銀行的商譽(yù)受到影響：防止自動化提交垃圾信息或惡意內(nèi)容、防止自動化投票或評價結(jié)果操控、防止中間人攻擊(MITM或MITB)。此外還可以保障網(wǎng)站安全：防止漏洞掃描與漏洞利用、隱藏網(wǎng)站邏輯缺陷、防止各種已知和未知攻擊行為，做到先人一步，以動制動。

更值得一提的是，瑞數(shù)機(jī)器人防火墻Botgate以虛擬機(jī)及軟硬一體機(jī)的方式部署于網(wǎng)頁服務(wù)器前端，采用反向代理的工作模式。其最主要的特點(diǎn)和優(yōu)勢是無需修改應(yīng)用的代碼，運(yùn)維難度小成本低，在一定程度上替換了應(yīng)用軟件漏洞修補(bǔ)和代碼改進(jìn)的工作，更適應(yīng)“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)特點(diǎn)。

互聯(lián)網(wǎng)金融業(yè)務(wù)的風(fēng)控體系，需要從政策、監(jiān)管、信用機(jī)制、身份和交易安全等多方面整體規(guī)劃、通盤考慮。作為即將成為互聯(lián)網(wǎng)金融更強(qiáng)大的參與者和推動力的銀行業(yè)，可以結(jié)合創(chuàng)新的產(chǎn)品和技術(shù)有效彌補(bǔ)傳統(tǒng)安全策略的不足，將應(yīng)用安全技術(shù)納入業(yè)務(wù)安全模型，推動銀行業(yè)“互聯(lián)網(wǎng)+”業(yè)務(wù)的快速發(fā)展。