就在去年，還只有極少數(shù)人聽說過環(huán)球銀行金融電信協(xié)會(SWIFT)。該組織的標準化信息格式，被采納為銀行間金融轉(zhuǎn)賬的全球標準；相關(guān)軟件和消息網(wǎng)絡(luò)，驅(qū)動著今天大多數(shù)的國際銀行轉(zhuǎn)賬，每年產(chǎn)生的金融消息超50億條。然而，這并不是大多數(shù)人聽聞SWIFT的原因所在。

近些年，利用或入侵SWIFT應(yīng)用的網(wǎng)絡(luò)攻擊和欺詐頻頻見諸報端。2016年，孟加拉央行和紐約聯(lián)邦儲蓄銀行便涉入一場凈值1.01億美元的網(wǎng)絡(luò)劫案——其中大多數(shù)資金都未追回。若非其中一筆交易出現(xiàn)拼寫錯誤引發(fā)質(zhì)疑，另外8.5億美元恐怕也會被盜。隨后，對SWIFT網(wǎng)絡(luò)的攻擊此起彼伏，越南、厄瓜多爾、烏克蘭都發(fā)生了此類事件，不過大多數(shù)受影響銀行和國家都未公開事件。

攻擊策略在進化

對支付系統(tǒng)的攻擊，包括對SWIFT的攻擊，都不算新鮮。金融機構(gòu)從一開始就在與欺詐和盜竊作斗爭，攻擊者則緊跟技術(shù)發(fā)展，利用一切可以利用的漏洞。

數(shù)年前，攻擊者選中的策略，是入侵用戶電腦，然后以該用戶的名義提交虛假金融交易。這讓銀行惡意軟件和遠程訪問木馬(RAT)的流行，成為了金融機構(gòu)的主要關(guān)注點。盡管這些策略依然留存，也是對個人、公司和銀行的一個威脅，對這些威脅的認知，已經(jīng)導致了更好的防護和罪犯成功率的下降。

不過，攻擊者也是越戰(zhàn)越勇的類型，他們開始改變策略，從對用戶終端的攻擊，轉(zhuǎn)變到對驅(qū)動銀行系統(tǒng)本身的應(yīng)用和網(wǎng)絡(luò)的攻擊。除大量資金被盜外，孟加拉央行攻擊事件的重點，在于攻擊者使用的攻擊方法。除了利用從授權(quán)用戶處盜得的憑證，攻擊者還安裝了惡意軟件以在支付系統(tǒng)中形成駐留。

舉個例子，有系統(tǒng)負責所有交易的打印，那么所有交易記錄必然會有一份復印件拷貝。為規(guī)避記錄，攻擊者禁用了該過程，讓自己的虛假交易不會出現(xiàn)在打印件里。越南網(wǎng)絡(luò)劫案中，攻擊者修改了用于跟蹤SWIFT轉(zhuǎn)賬的PDF閱讀器，讓虛假轉(zhuǎn)賬不顯現(xiàn)。

除了阻止交易記錄打印，攻擊者還將惡意軟件安裝到托管著SWIFT網(wǎng)絡(luò)管理和連接軟件集 SWIFT Alliance Software 的服務(wù)器上。 該惡意軟件可以解密各種配置文件，搜索特定條款，然后繞過驗證檢查，規(guī)避交易被發(fā)現(xiàn)的風險。

很明顯，此類攻擊正演變得越來越復雜，他們正將攻擊堆棧向底層移動，從終端用戶，移動到之前尚未觸及的銀行系統(tǒng)和安全措施上。

Swift Alliance Software架構(gòu)

凝練出有效防御

針對此一情況，SWIFT發(fā)布了其《客戶安全計劃》，圍繞 Swift Alliance Software 和與SWIFT網(wǎng)絡(luò)互動的任何定制應(yīng)用，為金融機構(gòu)提供安全防護指南。

盡管該指南是邁向正確方向的第一步，實際防護SWIFT應(yīng)用堆棧卻是說起來容易做起來難，因為太多SWIFT應(yīng)用組件都是遺留實體系統(tǒng)，不支持最新的安全軟件，也不接收任何安全性更新，并且這些應(yīng)用組件還往往存在于那些難以適應(yīng)新安全協(xié)議的數(shù)據(jù)中心里。

防護銀行應(yīng)用的安全控制也有那么一些——交易監(jiān)測、用戶行為監(jiān)視、反惡意軟件、用戶安全培訓等等，但 SWIFT Alliance Software (或定制SWIFT應(yīng)用)無論安全通常難以實現(xiàn)。

直到最近，安置各種SWIFT組件的最佳實踐，都還是將它們都放到防火墻后面，但這依然阻擋不了同區(qū)域內(nèi)與其他工作負載的自由通信，而且提供不了第4層之上的可見性與控制。很明顯，對付熟知SWIFT應(yīng)用邏輯的黑客時，更精妙的方法是必需的。

有效保護SWIFT應(yīng)用堆棧的理想解決方案應(yīng)包含3個要素：

1. 微分隔——獲得對所有數(shù)據(jù)中心通信的完整可見性與控制
2. 實現(xiàn)從第7層開始的安全策略，獲得細粒度的高效策略構(gòu)建
3. 支持虛擬和物理兩種工作負載——因為很多金融機構(gòu)依然是兩套系統(tǒng)并行的

微分隔SWIFT應(yīng)用架構(gòu)的各種組件，確保了只有恰當?shù)慕K端和應(yīng)用組件可以相互通信，且只通過經(jīng)批準的應(yīng)用協(xié)議進行通信。于是，如果攻擊者想要侵入你的SWIFT應(yīng)用堆棧，他們就得利用SWIFT應(yīng)用協(xié)議中的漏洞，而且要從另一個經(jīng)授權(quán)的應(yīng)用組件發(fā)起攻擊，不能簡單地在運行SWIFT組件的服務(wù)器上通過可用端口或協(xié)議獲得立足點了。即便是技術(shù)高超的攻擊者，這也是個極難跨越的障礙。

保護支付系統(tǒng)不受詐騙或網(wǎng)絡(luò)攻擊侵擾是沒有萬靈丹的。不過，將支付系統(tǒng)組件間通信限制在“有必要才允許”的范圍內(nèi)，可以大幅減小攻擊界面，這比其他方法提供的控制嚴格得多。隨著我們繼續(xù)見證對銀行和支付應(yīng)用的攻擊，以及隨之而來的安全最佳實踐和網(wǎng)絡(luò)安全監(jiān)管的收緊，對系統(tǒng)應(yīng)用間各個方面通信的細粒度可見性與控制的需求，只會不斷上升。