专题报告 | 金融行业网络威胁研究(下)
本篇报告内容较长,将分为上、下两篇发布,本文为下篇。上篇报告查看“金融行业网络威胁研究(上)”。
目录
一、概述(上篇)
二、金融行业背景
三、金融机构情报侧的风险发现
3.1 互联网侧攻击态势分析
3.2 失陷主机统计分析
3.3 互联网暴露面及数据泄露统计分析
3.4 金融机构攻击事件剖析
3.4.1 鱼叉邮件攻击
3.4.2 内网渗透攻击
3.4.3 APT定向攻击事件
四、全球金融行业网络威胁态势(下篇)
五、金融企业网络安全实战化能力提升—典型实践
5.1 金融企业安全建设现状分析
5.1.1国家、行业监管政策日益严苛,金融行业仍是强监管重点
5.1.2攻防演练常态化,要求金融企业具备实战化对抗能力
5.1.3 应对严峻的网络安全形势,金融企业的网络安全建设和运营体系仍存缺口
5.2 金融企业实战化能力提升典型实践案例
5.2.1 情报赋能安全运营体系—某大型银行威胁情报实践
5.2.2 XDR方案提升全方位安全检测能力—某银行XDR深度应用
5.2.3 多职场办公外网统一安全管控—某证券机构威胁情报实践
5.2.4 构建基于攻击情报的自动化封禁能力—某大型金融机构情报建设实战
六、建议及总结
七、附录
金融机构面临严峻的网络钓鱼(包含鱼叉邮件钓鱼、社交平台钓鱼等)攻击威胁;
从攻击者动机来看,网络攻击事件以加密货币盗取和机构敏感数据窃取为主,这些网络罪犯的核心目的为牟取钱财;
金融机构安全威胁事件主要平台为PC终端或服务器,少部分针对移动端。攻击者投入使用的木马武器库组件更新迭代频繁;
针对移动端的攻击事件逐渐增多。
图 【19】 金融机构威胁事件分类占比
以比特币为代表的数字加密货币价格持续走高一直是导致密币盗取、暗网数据买卖、勒索软件横行的主要原因,在巨大的经济利益面前,网络犯罪份子的活动日益猖獗。其中以加密货币交易平台为代表的金融机构是此类攻击活动的主要受害者。整合部分加密货币相关安全事件如下:
时间 | 事件 |
2021年1月 | Livecoin加密货币交易所在将域名丢失给黑客后关闭 |
2021年9月 | ElonMusk加密货币充值返双倍骗局,黑客一周获利58万美元 |
2021年8月 | 骗子诱使Discord用户使用伪造的加密货币交易所,窃取敏感信息 |
2021年2月 | 加密货币交易所Cryptopia再次遭到黑客入侵 |
2021年5月 | 黑客利用PandaStealer恶意软件窃取加密货币 |
2021年5月 | 加密货币奖励平台Celsius第三方邮件系统遭到黑客入侵 |
2021年4月 | ForceDAO遭黑客入侵,价值36.7万美元的加密货币被盗 |
2021年3月 | 加密货币新骗局:利用Discord对DEX用户发起网络钓鱼攻击 |
2021年第二季度 | Cinobi银行木马针对加密货币交易所用户展开攻击。 |
2021年7月 | “币圈”最大迷惑行为:6.11亿美元加密货币在被劫持后,部分陆续返回账户 |
2021年8月 | Crackonosh恶意软件滥用Windows安全模式挖倔加密货币 |
2021年9月 | 全球最大的NFT平台OpenSea被曝存在漏洞,黑客可用来窃取加密货币 |
2021年10月 | 世界第二大加密货币交易所Coinbase遭到入侵,约6,000名客户的加密货币失窃 |
2021年8月 | 火狐插件“SafepalWallet”可用来窃取加密货币,用户需小心! |
暂无 | 加密货币骗局:围绕“薅羊毛心理”进行的恶意攻击 |
2021年9月 | 加密货币交易所SushiSwap的MISO平台遭到软件供应链攻击,864.8ETH被盗 |
暂无 | 加密货币成为金融网络犯罪的完美选择 |
2021年8月 | 塞舌尔加密货币交易所Bilaxy遭到黑客攻击后,网站暂停服务 |
2021年8月 | 加密货币交易所CreamFinance遭到黑客攻击,损失近3,400万美元 |
2021年9月 | 黑客组织针对Luno加密货币交易所开展网络钓鱼活动 |
2021年8月 | 黑客冒充OpenSea员工窃取加密货币资产和NFT |
2021年8月 | 日本加密货币交易所Liquid遭到黑客攻击,存、取款业务已暂停 |
2021年9月 | 跨链DeFi平台pNetwork遭到黑客入侵,277个比特币失窃 |
2021年10月 | 朝鲜黑客利用网络浏览技术窃取比特币 |
2021年第三季度 | 黑客入侵俄罗斯政府网站进行“比特币庞氏骗局”活动 |
2021年3月 | Livecoin加密货币交易所在将域名丢失给黑客后关闭 |
表 2 2021年密币安全事件
出于金融行业的数据敏感特性,网络曝光的数据泄露类型的重大安全事故中的受害者同样多为金融机构。泄露数据多为金融用户的个人隐私数据,此类数据在暗网非法交易中往往具有较好的快速变现特性;对受害的金融机构而言,数据泄露事件不仅会给自己带来较大的经济损失以及监管单位的责罚,而且还会让机构客户产生信任危机。整合2021年至今代表性金融机构数据泄露事件如下:
时间 | 数据泄露丑闻 |
2021年10月 | 加密货币行情网站CoinMarketCap的敏感数据疑似再次遭到大规模泄露 |
2021年10月 | 印度尼西亚银行BankJatim疑似数据发生泄露,378GB数据被售卖 |
2021年8月 | 美国太平洋城市银行疑似遭到AvosLocker勒索软件攻击,数据发生泄露 |
2021年1月 | CapitalEconomics泄露超50多万高层用户记录 |
2021年1月 | 美国Flagstar银行的客户信息遭泄露 |
2021年5月 | “欧洲版花呗”Klarna在线支付公司爆出数据泄露 |
2021年5月 | 加拿大保险公司guard.me遭到网络攻击,敏感数据泄露 |
2021年3月 | 美国汽车保险供应商Geico发生数据泄漏 |
2021年4月 | 巴西金融公司iugu数据库配置错误泄露1.7TB数据 |
2021年4月 | 印度股票交易平台Upstox数据泄露,涉及超250万用户 |
2021年4月 | 俄罗斯银行Dom.RF发生数据泄漏 |
2021年3月 | 3月下旬,疑似巴西保险公司巨头3600万客户数据遭泄露 |
2021年3月 | 印度金融科技平台MobiKwik疑似发生数据泄露,8.2TB数据在暗网售卖 |
2021年3月 | 外汇交易平台FBS服务器存在漏洞,泄露160亿条记录 |
2021年7月 | 2021年7月中旬,英国国家彩票公益基金发生数据泄露 |
2021年4月 | 美国橡树岭银行披露数据泄露 |
2021年7月 | 美国金融公司摩根士丹利遭到黑客攻击,发生数据泄漏 |
2021年6月 | 美国保险巨头AJG公布遭到勒索软件攻击,数据发生泄露 |
2021年6月 | 2021年6月9日,南非保险服务提供商QSure数据遭泄漏 |
2021年6月 | 2021年6月12日,金融软件公司Intuit的TurboTax账户被黑,致使数据泄露攻击 |
表 3 2021年全球金融机构数据泄露安全事件
在金融机构安全威胁事件中,同样值得一提的是当前较为火热的供应链攻击。针对金融机构上游基础设施及软件供应商的攻击事件已经不足为奇,今年10月份,中国人民银行在“关于规范金融业开源技术应用与发展的意见”重点提到了金融机构供应链安全问题。
图 【20】 人行关于“金融业开源技术应用与发展”发文
供应链基础设施安全问题给传统网络攻击提供了一条新通道,金融机构拥有繁杂的供应商,当前对于供应商产品的安全审查并不成熟,一旦供应商被成功入侵利用,将直接摧毁传统网络安全防御信任体系。如2021年9月份,SushiSwap社区的MISO密币交易平台遭到软件供应链攻击,攻击者劫持平台交易过程并盗取约300万美金的以太坊币。
图 【21】 SushiSwap MISO密币失窃
图 【22】 AgainstTheWest供应链攻击发帖
5.1金融企业安全建设现状分析
5.1.1国家、行业监管政策日益严苛,金融行业仍是强监管重点
近年来,围绕习近平总书记国家网络安全观,我国构建了完备的网络安全法律合规体系,并陆续颁布了相关的法规政策要求,其中《网络安全法》要求建立网络安全监测预警和信息通报制度,《关键信息基础设施保护条例》要求建立监测预警、信息通报、应急处置、网络安全信息共享机制,《网络安全等级保护条例》要求三级以上系统集中管控、集中监测,构建监测发现能力、预警通报能力、应急处置能力、态势感知能力。另外中国人民银行《科技金融(FinTech)发展规划(2019-2021年))》也强调需要建设统一的金融风险监控平台,构建风险联防联控机制,强化风险信息披露和共享的能力。由此可见国家和行业监管已将事件通报预警与情报协同共享的能力作为网络安全的建设重点和关键能力监管指标。
5.1.2攻防演练常态化,要求金融企业具备实战化对抗能力
在国家监管机构的有力推动下,HW活动趋向常态化,在规模和频次不断扩大的同时,攻防双方的技术水平和对抗能力也在博弈中不断升级,其中攻击队常用的攻击战术包括漏洞利用、社工钓鱼、0day利用、尝试旁路攻击渗透以及复合攻击,再加之防守方对攻击方的攻击特征一无所知,基于近几年攻防形式看,防守方基本处于敌在明、我在暗的被动局势。因此在网络演练中需构建实战化对抗能力,包括强化自身的“纵深防御”安全体系以提升“知己”能力,以及构建权威、准确的攻击情报自动化获取渠道以提升“知彼”能力。
5.1.3 应对严峻的网络安全形势,金融企业的网络安全建设和运营体系仍存缺口
一方面,多数金融企业处在“局部整改 ”为主的安全建设模式,致使网络安全体系不足、碎片化严重、协同能力差。虽然体系已具备较多种类的安全防护产品但各成体系,这种安全防护割裂的情况导致被攻击者抓到一些漏洞进行利用,导致攻击频频发生。另外一方面,为了响应国家号召,构建数据集中采集、分析、处置及响应流程自动化能力,金融企业纷纷构建态势感知和处置平台,寄希望通过上收全网告警数据进行威胁关联分析,提升全网威胁主动发现、分析、预警、共享等能力,但由于上收的告警有误报、量大、态感关联场景单一、需要重度依赖人工能力等众多原因,目前构建态感的多数金融客户觉得未达到预期的效果。因此大量金融客户通过引入高质量、多样化的攻击情报进行赋能,以此提升真实威胁聚焦、主动预警、全网联防的能力。
5.2金融企业实战化能力提升典型实践案例
需求 | 场景描述 |
需求1:精准告警、自动处置,提升整体安全运维效率 | 日常运维工作中面对海量告警数据无从下手,无法分辨真正威胁;缺乏自动化处置能力,无法应对新型未知威胁;虽然已建成SOC/SIEM安全运营平台,但并未达到预期的运维简便的目标。 |
需求2:精细化的失陷检测及定位、自动化攻击链路溯源 | 当前内部网络环境复杂,比起日常的实时网络攻击行为,内部资产安全状况同样重要。运维人员需要准确掌握内部资产失陷状况、自动化定位到物理机器及相应进程、并绘画出完整攻击链路。 |
需求3:异地分支机构实时网络威胁监管,告警数据统计分析 | 多数大中型企业存在多地分支机构,其中多数较小的分散在外的异地机构或网点往往缺乏网络安全防护、易沦陷成为黑客的攻击跳板进而危害总部安全,此外总部对分支机构网络状况也缺乏安全监管,无法评估完整的公司安全态势。 |
需求4:攻防演练中的基础告警过滤、攻击情报实时同步、多地多端自动化阻断 | 攻防演练如今已成常态,在大大小小的HW中,除了基础威胁的自动化过滤封禁之外,高可信情报的及时共享显得尤为重要。网络安全设备除了日常的安全检测处置之外,更需要承担HW中高频次高定向攻击活动的防守对抗角色责任。 |
表4金融行业背景需求
针对以上四种常见用户需求,我们以真实的金融行业网络安全建设落地项目为例(抽象客户实体,不含敏感信息)来介绍实际场景中的项目实践。
5.2.1 情报赋能安全运营体系—某大型银行威胁情报实践
Ⅰ、项目背景
银行关键基础设施承载着高价值业务数据和个人敏感信息,安全合规和实战化建设需走在各行业前列,面临海量告警精准研判、自动化智能处置、未知威胁发现预警等高阶安全需求,该客户将威胁情报融入到自身的安全运营体系中,并赋能给业务线,通过辅助丰富的威胁情报数据,提升高级威胁检测、事件研判分析、自动化封禁等各方面的能力。
Ⅱ、应用场景
基于威胁情报,已聚焦4种场景的落地,具体如下:
汇聚全行DNS日志,对接IOC失陷指标情报,对全行内部失陷主机进行精准识别;
情报赋能大数据处置平台,精细化封禁策略,降低误封率和投诉率;
基于外部登录IP的信誉进行审查,对于应用异常登录风险进行识别;
构建HW期间攻击情报的自动化接收渠道和联动封禁手段。
Ⅲ、落地方案
本地部署威胁情报平台(TIP),与SIEM、SOAR分别对接进行情报赋能:对SIEM中海量告警进行降噪、研判关联分析、告警优先级排列。利用SOAR在事件处置编排时,可调用TIP内多种情报数据进行输入,以支撑不同威胁分析与处置的编排剧本,对即将处置的事件进行准确性诊断,并帮助客户落地自动化阶梯封禁策略。
图 【24】 威胁情报赋能安全运营体系
Ⅳ、建成能力及价值
具备高质量IOC失陷指标情报,具备全球数十亿IP信誉情报,丰富的情报类型、情报字段,丰富的情报上下文,帮助建立更多未知威胁关联分析模型;
通过实时情报碰撞,精准发现内网被控主机等失陷威胁;
全面赋能大数据平台和SOAR,提升真实威胁的检测、分析及处置能力,实现闭环;
基于网络信息化数据进行威胁的主动挖掘,提升威胁的主动防御能力。
5.2.2 XDR 方案提升全方位安全检测能力—某银行 XDR 深度应用
Ⅰ、项目背景
该金融客户特别关注失陷主机检测及定位能力,希望通过引入XDR方案,从网络端及终端两个层面,基于高质量情报、规则、机器学习及沙箱技术提升现有安全体系威胁的检出和分析能力,并通过网端联动能力实现网端日志自动关联,还原完整的攻击链条,定位失陷主机至威胁进程。
Ⅱ、落地场景
目前已在数据中心关键区域部署了多台威胁感知平台(TDP)设备,接入对外服务域南北、外联域南北、核心业务域互访、本地终端用户访问业务区等全流量进行实时监控,检测外联、互联网接入、内网下级单位节点、内部用户等多点的攻击风险。并从海量告警中自动聚焦Webshell、外部攻击成功、针对性攻击、主机失陷等真实威胁,智能串联攻击全路径。
图【25】 智能串联攻击路径
基于 TDP 与 EDR 的联动,从主机和流量互补攻击威胁的识别线索,对于流量中初步发现的威胁,可利用终端信息进一步发现注入行为、可疑文件、进程、网络行为,实现深度自动溯源,另外对于发现的真实威胁,既可联动网络实现威胁通信阻断,也能联动终端深度定位取证查杀终端恶意文件或进程。
图 【27】 XDR多方位联动检测
Ⅲ、使用效果
全面提升了数据中心的高级威胁检测能力,包括僵木蠕、恶意代码、挖矿、C2远控、APT等多类高级威胁,方案实施两个月,失陷主机的数量从30+降至个位数;
从海量告警中聚焦真实威胁并进行完整攻击链回溯,提升了安全团队对于威胁事件分析、处置的效率;
准确的情报数据提升真实威胁的检测、分析能力,有效降低了MTTD和MTTR。
5.2.3多职场办公外网统一安全管控—某证券机构威胁情报实践
Ⅰ、项目背景
该金融客户为总部-营业部-呼叫中心的并行网络架构,且各职场均能独立访问互联网。但由于分支机构安全防护体系与安全人员能力较为薄弱,总部对于众多机构的安全管控鞭长莫及,因此造成各职场网络大规模感染钓鱼、勒索软件、木马病毒、蠕虫、挖矿木马等恶意软件,因此通过引入轻量化 SAAS解决方案,统一对分布全国的职场内外网恶意通信的检测、分析、定位和阻断。
Ⅱ、应用场景
通过将上海、北京、营业部、呼叫中心等职场的DNS流量指向微步在线云端OneDNS,利用全球最新的情报数据、智能检测引擎和机器学习模型及时检测并拦截恶意远控通信,并对正常通信进行递归解析。总部通过可视化控制台实时对各机构DNS服务进行运维监控。
图 【28】 异地多网点统一安全监管
Ⅲ、应用效果
通过将多个职场访问互联网DNS流量指向OneDNS,实现多职场威胁的集中管控;
全局和职场策略灵活组合,对于攻击和不合规上网行为进行自动化阻断;
基于VA,接入本地DNS/DHCP日志,实现检出威胁与内部终端自动关联,进行精准定位;
针对告警数据、威胁事件、告警主机数据进行统计,实现全局威胁可视;
0硬件、轻运维,快速拉齐各分支机构的安全防护能力。
5.2.4、构建基于攻击情报的自动化封禁能力—某大型金融机构情报建设实战
Ⅰ、项目背景
目前金融客户的数据中心已构建了较为完善的安全防护体系,但省分行的安全防护能力相对薄弱,省分行缺少与总行同等的安全监测能力,对于向下通报的威胁事件,省分行往往因缺少威胁自动化检测、分析、定位及处置能力均无法处理,加之缺失情报共享通道,无法进行威胁预警,极易成为攻击总部的跳板,该问题在高频攻击的 HW 中尤为突出。
Ⅱ、落地场景
基于以上状况,在总部和各省分行引入基于情报的攻击阻断设备(TDP),通过旁路部署的方式接入全流量,依托实时更新的攻击情报(包括重保期间的HW情报)以及规则提供双向流量逐包检测和IP封禁能力,提供行内各区域安全设备进行封禁的能力,形成全网点到面的安全防护能力。
图【29】 威胁情报多地多端级联协防
Ⅲ、形成能力
HW攻击IP和状态识别:在重保等特殊时期,实时拉取HW攻击情报判定HW攻击队IP,并能结合现网的攻击数据特征,判定HW攻击队的攻击状态,内容包括攻击次数、攻击主机目标、是否攻击成功,是否反连等,对于命中的HW 攻击IP查同C端所有IP,基于情报捕获其他HW攻击IP,然后联动边界进行封禁。
基于微步在线研究响应中心丰富的应急响应经验,我们梳理了部分金融机构网络建设中存在的较为明显的安全隐患问题,如下表所示:
类型 | 问题描述 | 整改建议 |
网络合规建设 | 网络资产暴露过多。 | 收敛暴露面(端口、服务、接口等),非必要环境收入内网。 |
域环境杂乱耦合。 | 域环境严格划分,隔离管理。 | |
日志存储期短、缺乏日志审计系统。 | 调整主机日志存储配置,扩大存储日志大小,延长日志存储时间;增加SIEM平台对重要集权系统的操作系统日志收集。 | |
安全检测设备覆盖不全。 | 完善整体网络安全防御系统。 | |
通信链路协议复杂、威胁感知能力差。 | 优化网络链路,提升威胁检测能力。 | |
设备或终端系统陈旧落后。 | 更换设备或升级系统版本。 | |
缺乏终端检测产品或终端检测产品未严格落地。 | 落地终端检测设备。 | |
人员安全意识 | 弱密码。 | 强制落地强密码规范,加强内部人员网络安全意识。 |
内部人员安全意识薄弱(下载盗版软件、钓鱼邮件)。 | 进行相关培训,加强网络安全意识。 | |
流程规范 | 补丁修补不及时。 | 及时升级系统补丁。 |
缺乏内部安全应急团队。 | 建立内部应急响应团队。 | |
缺乏7*24小时事件监测响应机制。 | 建立7*24小时监测响应机制。 |
表5 金融机构网络建设安全隐患梳理
从网络安全攻防的角度来看,当前任何自动或半自动化的安全防御系统最终仍需与人交互实现最后决策,攻防对抗的本质是人与人的对抗,在攻防技术手段更新迭代中攻击方能力永远处于领先状态,当前任何安全防御系统都无法完全确保目标系统的安全性。因此从长远的网络安全建设来看,除了继续扩充加强整体安全防御系统外,提升机构全员网络安全意识、规范化上网行为同样是需要长期建设的内容。
公众号内回复“金融”,可获取完整版(含IOC) PDF 版报告
- END -
微步情报局招聘通道
❖
安全分析师(主机检测方向-Java)戳我查看岗位详细内容
❖
219攻防实验室多个岗位 戳我查看岗位详细内容
内容转载与引用
1. 内容转载,请微信后台留言:转载+转载平台
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”阅读原文,可加入粉丝群