某年某月某日,几名蒙面大汉冲进一家银行,一声枪声响起。其中,一名劫匪对银行柜员大喊:“把所有钱都交出来!”
银行工作人员一副生无可恋的表情:“先生,不好意思,所有的钱刚才被一个黑客转走了。”
这可以是一个故事,也可能是现实。
今年2月,第一个利用SWIFT(环球银行金融电信协会)系统进行网络金融盗窃的攻击事件被发现,攻击者成功从孟加拉国央行盗取8100万美元。今年5月,两个新的攻击事件浮出水面,最终两个事件都被证实发生在2015年底,在其中一起事件汇总,黑客设法从厄尔多尔银行成功盗窃了1200万美元,另一起事件中,黑客试图从越南先锋尹航盗窃136万美元,但最终没有成功。
被发现的这种攻击事件遵循相同的模式,黑客攻破了银行的内部网络,并搜索SWIFT系统相关信息和银行职员的操作凭证,然后试图将钱从银行的账户进行转移。
SWIFT已经意识到这个问题的严重性,并强烈建议银行升级信息系统。
SWIFT是国际银行同业间的国际合作组织,目前全球大多数国家大多数银行已使用SWIFT系统,我国有涉外业务的大型银行多数也使用SWIFT系统。
SWIFT以安全、可靠、快捷、标准化、自动化的通讯业务著称,为什么突然它就变得不安全了?
在绿盟科技Security+2016金融信息安全峰会上,雷锋网对绿盟科技金融事业部技术总监徐特就这一话题进行了专访。
徐特发现,针对银行业的APT攻击越来越常见了,而利用SWIFT攻击孟加拉国央行的案例就是一起典型的APT攻击。
所谓APT攻击,即高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。
针对孟加拉国央行的详细攻击流程如图所示:
其实SWIFT已经算是银行“内网”了。徐特发现,这对针对“内网”的攻击越来越多。
但是,这个“内网”一直是我们熟知的内网吗?
以某家银行为例,如果覆盖面积达到几百台、几千台,甚至几十万台主机,囊括全国各地网点,员工几十万人,如果都使用银行内网,这种情况下,银行的“内网”已经不算内网了,何况还有其他技术供应商可能接触到这个网络,虽然是外围权限,也让这个网络变得十分不安全。
那么,针对一家银行内网的APT攻击如何发生?徐特认为,攻击者有很多渠道可以“潜入”。
徐特举了个例子。
之前有一座城,守卫城池的方式是筑起高墙厚壁,再做得多一些的就是构建“瓮城”——有多重防线,但这种安全防守过于依赖边界,如果通过狗洞、地道等进入,很难被发现。
就像现在银行业的“安全防护”,构筑了“城墙”捍卫,一般的蠕虫、病毒、威胁等其实无法造成强大的攻击,现在遭遇的最大的威胁是“一个一个高水平的攻击者”,即安全威胁在逐渐升级,从以蠕虫病毒、拒绝服务攻击、溢出类漏洞攻击、注入等Web攻击为主的传统威胁升级到以0Day攻击、多态及变形等逃避技术、多阶段组合攻击、有组织的定向攻击为主要手段的新一代威胁。
以外围系统 、测试环境的机器作为跳板,攻击者可以用这些“主流”方式攻击——
1.发送各类钓鱼邮件,获取相关操作人员的账号和密码;
2.通过网络嗅探、漏洞扫描等截获数据包,由于有些系统的密码使用明文传输,可以直接获取帐号,如OA系统,也可以看到一家银行的组织结构,锁定目标人物,进行定向渗透;
3.撞库,通过社工库等获取关键人员的家庭住址、外网邮箱等;
4.针对业务系统的攻击,绕过登录系统,直接获取操作权限。
恶意代码自动化的行为变成人为行为,攻击变得更“聪明”后,要想构建安全,要注重“塔防”——和玩游戏打怪一样,预测不同怪的进击路线,在可能的攻击路线的关键节点布置不同的守卫和攻击工具,策略性地进行防卫和攻击。
目前很多银行都在关键点上有所部署,依然有几个严重问题:
很多安全设备并没有进行很好的使用,因为并不具备高技能人才进行操作;
对于可能的攻击路径,没有形成网络式防护;
防护难以跑过攻击,加入黑客和安全专家同时发现了漏洞,黑客的步骤是:发现目标——编写恶意代码,制作攻击工具——实施攻击,这个过程只需要几小时到几天;但安全专家需要研究漏洞原理,设计安全策略——根据盒子特性,设计升级包——分发升级包,升级盒子功能——正确应应安全策略,实施安全防护,有些漏洞的处理时间以“年”计;
日志繁杂乱,极容易误报、漏报、人为忽视。
还有一个问题是,银行业对此的策略是“防护、监测、响应”,但是,对于防护投入的比重过高,轻视了监测和响应。
这也是为什么,在2015年底,绿盟科技协助客户发现了一起针对证券业的可怕的APT攻击。
他们在多家证券基金行业客户现场发现了一个活跃的木马,这一木马已经活跃10年之久,感染规模还不小,确认感染主机数百台,行业内数据被大量窃取。
徐特建议,从单层防护到立体防护,监测和响应要更平衡,好的组织结构安全构建应同时实现保护、监测、响应、反击、协作、联网。
具体应该进行哪些部署?金融业安全是否还会面临新的威胁和挑战?雷锋网将继续跟进,进行后续报道。