金融安全资讯精选 2018年第五期:“十三五”金融网络安全建设要点浅析,互联网金融黑中介起底,汇通天下云上微隔离实践

简介: “十三五”金融网络安全建设要点浅析,互联网金融黑中介起底,汇通天下云上微隔离实践

54ec4a3d3e7777032035de0b46e35102993813df




概要:随着金融行业“十二五”建设的完毕,中国人民银行于2017年6月发布了《中国金融业信息技术“十三五“发展规划》(以下简称“十三五”规划)。“十三五”规划与《中国金融业信息化“十二五“发展规划》(以下简称“十二五”规划)相比,我们可以看到监管机构针对网络安全领域的要求发生了显著变化。


在“十二五”规划中,我们理解监管机构主要强调了三点:一是提高金融机构业务连续性保障能力;二是提高信息安全管理水平,三是提升信息安全防护水平。而在“十三五”规划中,可以看到以下三方面变化:一是提出“坚持安全与发展并重”的原则;二是确定了包括健全和提高网络安全管理机制、新技术应用风险防控能力、安全生产和网络安全防护能力的网络安全保障体系发展目标;三是明确了提高安全生产能力、安全管理水平和全面推进落实网络安全法的重点任务。


结合“十三五”规划的要求,本文从六个方面阐述对当前及未来金融行业信息安全要点的理解。(来源:金融电子化 / 文:绿盟科技)


(1)金融机构网络安全与国家安全战略发展的一致性

(2)满足监管合规要求并不足以完全应对安全威胁

(3)“互联网+”金融发展带来持续安全挑战

(4)新技术发展及应用提出了更高的安全保障要求

(5)安全管控步入能力提升阶段

(6)传统威胁不容忽视




【金融行业安全动态】 互联网金融黑中介起底

概要:互联网金融黑中介主要对行业带来这些影响。

(1)收取客户高额的前期、中期、后期费用。前期就是指还没下款就要收费,其他以此类推,加重了借款人还款压力。

(2)探测口子规则,熟练掌握各类作弊技术。中介们的敏锐性很高,对风控规则变化极为敏感,能够迅速捕捉漏洞。甚至!很多中介就是原来的风控人员!

(3)包装用户材料,炒作信用骗取额度。前面介绍到了,其实技术还有很多,而且在不断对抗升级。

(4)坑蒙拐骗影响平台信誉。中介们巧舌如簧,下了贷款就说自己有内部关系,下不了贷款就造谣污蔑。拿到了审批后的贷款,直接吞没跑路也屡见不鲜。

(5)客户群体黄、赌、毒低质量。其实很容易想明白,什么人会需要去互联网上借几千块钱?为什么戒赌吧论坛现在几乎变成了贷款论坛?还有整形分期业务,是什么人在借款做整容?从这批客户中赚钱,火中取栗。

(6)专业化、团伙化倾向。互联网金融是把线下贷款变成了线上,原来就具有的团伙化与生俱来,在新的技术驱动下,也朝着更为专业化的方向前进。他们目前还比不上专业黑客技术,但这是和钱打交道的行业,利润高多了。所以可以想象得到,有钱的地方就有人才、技术进入。

(7)向欺诈演变。最危险的其实就是这个,假设你是中介,左手掌握着大量借款人的资料,右手掌握着各金融平台漏洞,你会怎么做?显而易见会铤而走险,走向欺诈骗款的道路。(来源:Freebuf)


【相关安全事件】PHP GD库拒绝服务漏洞安全建议


概要:2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 漏洞利用条件和方式为,通过PoC直接远程利用。 目前PoC已经公开。

漏洞影响范围: 

  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本

点评: 开发人员可以检查是否使用了受影响版本范围内的PHP版本。 目前,PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更 新。   建议在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。  

【相关安全事件】软件集成平台Jenkins大量敏感证书及日志泄露


概要:研究人员表示,没有利用任何 软件集成平台Jenkins漏洞,就在互联网上发现了暴露 2万5千个Jenkins实例 ,从这些实例中发现了不少大型公司 泄露了敏感证书和日志文件,这都可能会引发 数据泄露事件。 Jenkins是最受欢迎的开源动化服务,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。 研究人员使用Shodan搜索引擎来查找可在线访问的Jenkins服务器,他发现了约25,000个实例。其中大约一半的分析显示,10-20%的实例存在配置错误,然后研究人员手动分析每个实例,并通知受影响的供应商。 

Tunç强调,Jenkins通常需要代码存储库的凭据,并访问部署代码的环境,通常是GitHub、AWS和Azure。未能正确配置应用程序可能会使数据面临严重风险。 研究人员发现,许多配置错误的系统默认提供访客或管理员权限,而其他的一些则允许访客或管理员访问任何注册账户。 

点评:Tunç还发现一些Jenkins服务器使用了Github或Bitbucket的SAML / OAuth身份验证系统,但不幸的是,任何GitHub或Bitbucket帐户都可以登录,而不是合法的所有者。 “专家在一篇博客文章中写道。 

 
这些配置错误通常有: 

任何人都可以使用访客或管理权限在互联网上公开访问 - 访客可以拥有管理权限,这简直就是灾难 
某些Web应用程序确实是在登录提示之后,但却允许“自助注册”,进而被授予访客或管理员权限 
某些Web应用程序确实是使用Github或Bitbucket的SAML / OAuth登录验证,但被错误配置为允许 任何 Github / Bitbucket帐户登录到Jenkins,而不是锁定到 组织的用户池。Tunç报告说,他分析的这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。 
 
研究人员还发现,Google在 jenkins 上暴露了敏感的代币,该公司在通过Google 漏洞奖励计划得到通知后,迅速解决了这个问题。 专家发现的其他情况是: 
  • 伦敦政府资助的运输, 伦敦交通运输机构 ; 
  • 超市Sainsbury's和Tesco;
  • 为儿童制造玩具的公司;
  • 信用审查公司ClearScore;
  • 报纸出版社 News UK ;
  • 教育出版商 Pearson 和报纸出版商 News UK 。


【云上视角】汇通天下:如何处理年久失修的服务器,让安全可见度提升


概要:汇通天下(G7)是一家大规模的智慧物联网公司,客户数量超过4万家,连接车辆总数超过60万辆,客户类型覆盖快递、快运、城市配送、专业运输、合同物流等物流全领域。G7车队管理服务已成为中国物流运输领域上下游协作的重要工具和基础数据协议。但G7也有自己的苦恼:云端环境的安全隔离,并不像企业内网的安全隔离,那么容易落地。


G7在阿里云具有上千台云服务器,遍布在多个区域的多个VPC下,其中一个VPC的服务器数量超过600台。这600台服务器是G7的核心业务,承载的多个生产系统的运行,同时,也承载了多个子业务的数据交互。那么,业务分区分组的安全隔离,自然就无法或缺。可是,G7在部署业务分区的时候,却遇到了很多障碍,让其无法推进,甚至放弃。


由于资产运维没有跟上,很多服务器已经被改变了用途但不得而知,这就是服务器的“年久失修”,而且从“实例ID/名称”已经无法了解服务器的真实用途了。同时,服务器之间的访问关系也会因为“年久失修”,变得更加错综复杂......


基于这样的前提下,“东西向隔离”将变成了一件很危险的工作,稍有错误的策略,将造成业务的中断。所以,通常被迫的做法就是,将东西向(横向)的策略口子放得很大,以确保业务的稳定。


但是,这无形增大了整个网络的攻击面,黑客的恶意流量将更加容易触达核心资产,这样的风险同样也是难以接受的。


另外,G7的大数据业务、中间件业务,支撑着几乎所有的生产环境。大量的调用关系使得业务关系越发复杂,这造成了每当弹性迁移或业务变更的时候,尽管运维管理员一再的谨小慎微,但总是会出错。


如果所有的服务器用途、访问关系、业务流量都能在眼前实时的呈现,那梳理出有序的业务环境,就变得完全可以落地,并将成为东西向隔离的基础。这就是阿里云云盾 · 云防火墙给G7带来的最大改变。



订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

目录
相关文章
|
3天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
3天前
|
云安全 监控 安全
云计算环境下的网络安全策略与实践
在数字化时代,云计算已成为企业和个人存储、处理数据的重要方式。然而,随着云服务的普及,网络安全问题也日益凸显。本文将探讨如何在云计算环境中实施有效的网络安全措施,包括加密技术、访问控制、安全监控和应急响应计划等方面。我们将通过具体案例分析,展示如何在实际场景中应用这些策略,以保护云中的数据不受威胁。
|
15天前
|
机器学习/深度学习 人工智能 自然语言处理
深度学习中的卷积神经网络:从理论到实践
【10月更文挑战第35天】在人工智能的浪潮中,深度学习技术以其强大的数据处理能力成为科技界的宠儿。其中,卷积神经网络(CNN)作为深度学习的一个重要分支,在图像识别和视频分析等领域展现出了惊人的潜力。本文将深入浅出地介绍CNN的工作原理,并结合实际代码示例,带领读者从零开始构建一个简单的CNN模型,探索其在图像分类任务中的应用。通过本文,读者不仅能够理解CNN背后的数学原理,还能学会如何利用现代深度学习框架实现自己的CNN模型。
|
17天前
|
监控 安全 网络安全
企业网络安全:构建高效的信息安全管理体系
企业网络安全:构建高效的信息安全管理体系
50 5
|
15天前
|
数据采集 网络协议 算法
移动端弱网优化专题(十四):携程APP移动网络优化实践(弱网识别篇)
本文从方案设计、代码开发到技术落地,详尽的分享了携程在移动端弱网识别方面的实践经验,如果你也有类似需求,这篇文章会是一个不错的实操指南。
40 1
|
21天前
|
数据采集 存储 XML
Python实现网络爬虫自动化:从基础到实践
本文将介绍如何使用Python编写网络爬虫,从最基础的请求与解析,到自动化爬取并处理复杂数据。我们将通过实例展示如何抓取网页内容、解析数据、处理图片文件等常用爬虫任务。
117 1
|
25天前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
25天前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
17天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
【10月更文挑战第33天】在数字化转型的浪潮中,云计算作为支撑现代企业IT架构的核心,其安全性成为业界关注的焦点。本文从云计算服务的基本概念出发,探讨了云环境下的网络安全风险,并分析了信息安全的关键技术领域。通过对比传统网络环境与云端的差异,指出了云计算特有的安全挑战。文章进一步提出了一系列应对策略,旨在帮助企业和组织构建更为坚固的云安全防护体系。最后,通过一个简化的代码示例,演示了如何在云计算环境中实施基本的安全措施。
|
18天前
|
边缘计算 5G 数据处理
5G网络能耗管理:绿色通信的实践
【10月更文挑战第30天】
36 0
下一篇
无影云桌面