金融安全资讯精选 2017年第三期:互金第三方监管机制正在酝酿,催收平台信息泄露需警惕

简介: 人民日报:适时建立互联网金融业务第三方接管机制;网络平台与银行合作催收,欠款人联系人信息均被泄露; 微软“8月周二补丁日” 发布48个漏洞补丁;卡巴斯基:Q2勒索软件演进趋势;阿里云安全:“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告;中小企业调查:云上防勒索优势和方法论。


3d4fd1956f53474cc9939731e71719b550aad415


  

【本周头条】


人民日报:适时建立互联网金融业务第三方接管机制。点击查看原文

 


概要:文章指出,政府监管是互联网金融规范发展的根本保障,行业自律是互联网金融可持续发展的内在基础。二者犹如规范互联网金融秩序的两驾马车,只有各司其职、密切配合,方能提升整个市场的安全性和有效性,推动互联网金融行业健康有序发展。

 

点评:接管是“保底”的方案。然而,能够实现多大程度的“保底”,目前还比较难以预估。在保底方案实施之前,监管要求已经到位,信息安全的合规要求也很明确。在日渐完善的监管过程中,数据的安全交互会是刚性的要求。


【金融安全动态】

 

网络平台与银行合作催收,欠款人联系人信息均被泄露。点击查看原文

 

概要:数据显示,2016 年不良资产的市场化投放规模达 1.5 万亿左右,而目前仅网贷行业预估的不良资产规模就达到 2000 亿元。催收不是银行的强项,出于对用户数据安全的考虑,多会选择有律师资质的大公司合作,并要求公司签署保密协议,员工只能在内网查看资料,但外包公司的后期操作中,这一点并没有被坚持。一家成功拿到银行信用卡催收业务的企业负责人曾在公开场合表示,信用卡用户信息泄露在行业内司空见惯,但银行不说、外包公司不说、逾期用户更不说。

 

点评:随着消费金融的快速发展,互联网催款平台的客户还会越来越多。为了让催款更有效率,催款平台对用户数据的使用也必将更加充分。无论是银行、消费金融还是其他客户,做好自身的数据安全是放心使用第三方催收平台前提保障。用健全的机制去合法授权、监控第三方催收平台也是让自己获得竞争优势的一个基础。

 

【相关安全事件】


 微软“8月周二补丁日” 发布48个漏洞补丁。点击查看原文

 

概要:2017年8月8日,微软在“补丁日”为48个CVE漏洞发布了补丁,相对于7月发布的公告来说, 本次发布的补丁涉及到的漏洞相对较轻微。本次发布补丁的48个CVE漏洞中,总共有26个CVE被评为“关键”,21评分为“重要”和1评级为“中等”。

 

 

点评:阿里云友情提示阿里云用户关注,并根据业务情况择机更新补丁,以提高服务器安全性。建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 安装完毕后重启服务器,检查系统运行情况。 

 

注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。

 


卡巴斯基:Q2勒索软件演进趋势。点击查看原文

 

概要:卡巴斯基安全实验室于2017年8月9日发布2017年第二季度针对性攻击报告:2017年四月到六月底,在俄罗斯,英国,韩国和中国国家发生了重大的有针对性的网络安全攻击事件,表明世界各地都在发生着持续发生恶化的恶意活动,增加企业安全风险。

 

点评:有以下几个亮点提炼。

 

(1)俄罗斯的Sofacy和Turla黑客组织在使用三个Windows 0day漏洞对欧洲的政府组织发起攻击,特别是在法国全国选举之前对反对法国政党成员采取的攻击活动使用了一些实验工具;

 

(2)Gray Lambert工具包分析 - 卡巴斯基实验室分析了Lamberts集团迄今为止最先进的工具包,这是一个高度复杂和复杂的英语cyberespionage家族。确定了两个新的相关恶意软件家族;

 

(3)5月12日的WannaCry攻击和6月27日的ExPetr攻击。虽然性质和目标非常不同,但两者在“ransomware”方面令人惊讶地相似。例如,在WannaCry的情况下,其迅速的全球传播和高调使袭击者的Bitcoin赎金账户成为焦点,并使其难以兑现。这表明WannaCry攻击的真正目的是数据破坏。

 

(4)针对乌克兰,俄罗斯和欧洲其他地区的组织的ExPetr也似乎是ransomware,该事件显然是纯粹的破坏性的。ExPetr攻击背后的动机仍然是一个谜。卡巴斯基实验室的专家已经建立了一个低信度的联系威胁演员被称为黑色能源。

 

针对性攻击事件、勒索软件攻击态势将会随着漏洞严重程度和利用成本随之爆发,企业需要扎实的建立快速的情报获取机制和应急响应机制应对各种威胁变化,这将是一种长期存在的攻防态势。

 


阿里云安全:“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告。点击查看原文

 

概要:NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager应用于IT运维技术人员进行远程运维管理。近日,国内安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门,通过技术分析,该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多,存在较高的安全风险。 本文对事件安全风险,技术原理进行分析;并给出具体检测方法和我们的安全建议。



【云上视角】

 

中小企业调查:云上防勒索优势和方法论。点击查看原文

 

概要:近日CNBC新闻网站上的一篇科技分析文章指出:云服务可以提供给中小企业全栈式的安全服务,在这种场景下,云上会比他们自己IT系统更安全。文中提到,美国的200家中小企业中,只有42家(21%)对自己的IT安全部门有信心。同时指出,平均来讲,每一次勒索攻击造成的影响在71万美金左右。如果“省下”这些费用,把存储和其它系统放上云,也许云能帮助他们减少损失。文章提到,在其架构设计中,云服务商会把“系统不中断”放在非常重要的位置,因为一旦CSP系统故障,影响面会非常大。从这个角度来讲,多租户公共云服务提供商可能是世界上最安全的公司。另外,客户从跟CSP签约时,有一部分安全就由CSP去覆盖了,用户可以专心管控业务风险。

 

点评:大部分中小企业在今天的安全威胁形式下,没有能力单独抵抗复杂的攻击,这是问题的根源。在面对勒索软件时,云可以让安全行动变得更快,并专注于业务风险,而不是花费无数细碎时间,来研究威胁、排除故障、运维老化的机房。在WannaCry和Petya事件来袭的时候,内网的大面积沦陷,已经印证了这一点。



查看其它行业资讯

政府安全资讯精选 2017年第三期:数据保护,下一个里程碑

游戏安全资讯精选 2017年 第三期:游戏行业DDoS攻击上周加重,Xshell后门事件原创分析报告,微软“8月周二补丁日”全盘点


往期回顾

金融安全资讯精选 2017年第二期:金融网络安全和反欺诈方法论,金融新兴技术成熟度几何?


期待听到您的反馈


 金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。




029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈


我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群


目录
相关文章
|
小程序 机器人
|
机器学习/深度学习 安全 算法
支付宝推行15年的“敢付敢赔”,与背后的“安全技术”一同出海
支付宝建立国际安全服务平台,支持“一带一路”电子钱包发展
497 0
支付宝推行15年的“敢付敢赔”,与背后的“安全技术”一同出海
|
安全 区块链
金融安全资讯精选 2018年第十期:数据泄密丑闻后扎克伯格首次发声,详解银监会数据治理指引落地路线,用区块链来保护隐私是天方夜谭吗?
数据泄密丑闻后扎克伯格首次发声,详解银监会数据治理指引落地路线,用区块链来保护隐私是天方夜谭吗?
2588 0
|
云安全 安全 生物认证
金融安全资讯精选 2018年第九期:生物识别技术应用预测,广东网贷平台合规“排名”,JbossMiner 挖矿蠕虫分析
生物识别技术应用预测,广东网贷平台合规“排名”,JbossMiner 挖矿蠕虫分析
2501 0
|
供应链 安全
政府安全资讯精选 2018年第六期 国家互联网信息办公室公布《微博客信息服务管理规定》;中国信息安全测评中心正式发布《中国信息安全从业人员现状调研报告(2017年度)》
国家互联网信息办公室公布《微博客信息服务管理规定》;中国信息安全测评中心正式发布《中国信息安全从业人员现状调研报告(2017年度)》
2198 0
|
安全 区块链
金融安全资讯精选 2018年第二期:正确区分ICO与区块链,加快区块链金融技术化工作,Intel CEO回应“漏洞门”,Gartner视角看安全与风险管理,八招应对短信验证码攻击
正确区分ICO与区块链,加快区块链金融技术化工作,Intel CEO回应“漏洞门”,Gartner视角看安全与风险管理,八招应对短信验证码攻击
2665 0
|
安全 网络安全 网络架构
政府安全资讯精选 2017年第十九期 人大常委会副委员长对网安法执法检查进行总结;人大常委提议尽快梳理网络安全执法体系;2017年我国DDoS攻击资源分析报告
人大常委会副委员长对网安法执法检查进行总结 强调个人信息保护;人大常委提议尽快梳理网络安全执法体系 明确监管责权;2017年我国DDoS攻击资源分析报告
2216 0
|
安全 网络安全
金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
4257 0
|
安全 网络安全
金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论
2328 0
|
安全 NoSQL 大数据
金融安全资讯精选 2017年第十五期:普华永道消费者隐私信息保护调研称69%的企业无力面对网络攻击,中小银行转型系统整合中的建议
普华永道消费者隐私信息保护调研称69%的企业无力面对网络攻击,中小银行转型 系统整合是关键
2366 0