概要:随着金融行业“十二五”建设的完毕,中国人民银行于2017年6月发布了《中国金融业信息技术“十三五“发展规划》(以下简称“十三五”规划)。“十三五”规划与《中国金融业信息化“十二五“发展规划》(以下简称“十二五”规划)相比,我们可以看到监管机构针对网络安全领域的要求发生了显著变化。
在“十二五”规划中,我们理解监管机构主要强调了三点:一是提高金融机构业务连续性保障能力;二是提高信息安全管理水平,三是提升信息安全防护水平。而在“十三五”规划中,可以看到以下三方面变化:一是提出“坚持安全与发展并重”的原则;二是确定了包括健全和提高网络安全管理机制、新技术应用风险防控能力、安全生产和网络安全防护能力的网络安全保障体系发展目标;三是明确了提高安全生产能力、安全管理水平和全面推进落实网络安全法的重点任务。
结合“十三五”规划的要求,本文从六个方面阐述对当前及未来金融行业信息安全要点的理解。(来源:金融电子化 / 文:绿盟科技)
(1)金融机构网络安全与国家安全战略发展的一致性
(2)满足监管合规要求并不足以完全应对安全威胁
(3)“互联网+”金融发展带来持续安全挑战
(4)新技术发展及应用提出了更高的安全保障要求
(5)安全管控步入能力提升阶段
(6)传统威胁不容忽视
概要:互联网金融黑中介主要对行业带来这些影响。
(1)收取客户高额的前期、中期、后期费用。前期就是指还没下款就要收费,其他以此类推,加重了借款人还款压力。
(2)探测口子规则,熟练掌握各类作弊技术。中介们的敏锐性很高,对风控规则变化极为敏感,能够迅速捕捉漏洞。甚至!很多中介就是原来的风控人员!
(3)包装用户材料,炒作信用骗取额度。前面介绍到了,其实技术还有很多,而且在不断对抗升级。
(4)坑蒙拐骗影响平台信誉。中介们巧舌如簧,下了贷款就说自己有内部关系,下不了贷款就造谣污蔑。拿到了审批后的贷款,直接吞没跑路也屡见不鲜。
(5)客户群体黄、赌、毒低质量。其实很容易想明白,什么人会需要去互联网上借几千块钱?为什么戒赌吧论坛现在几乎变成了贷款论坛?还有整形分期业务,是什么人在借款做整容?从这批客户中赚钱,火中取栗。
(6)专业化、团伙化倾向。互联网金融是把线下贷款变成了线上,原来就具有的团伙化与生俱来,在新的技术驱动下,也朝着更为专业化的方向前进。他们目前还比不上专业黑客技术,但这是和钱打交道的行业,利润高多了。所以可以想象得到,有钱的地方就有人才、技术进入。
(7)向欺诈演变。最危险的其实就是这个,假设你是中介,左手掌握着大量借款人的资料,右手掌握着各金融平台漏洞,你会怎么做?显而易见会铤而走险,走向欺诈骗款的道路。(来源:Freebuf)
【相关安全事件】PHP GD库拒绝服务漏洞安全建议
概要:2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 漏洞利用条件和方式为,通过PoC直接远程利用。 目前PoC已经公开。
漏洞影响范围:
- PHP 5 < 5.6.33版本
- PHP 7.0 < 7.0.27版本
- PHP 7.1 < 7.1.13版本
- PHP 7.2 < 7.2.1版本
点评:
开发人员可以检查是否使用了受影响版本范围内的PHP版本。
目前,PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更
新。
建议在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。
【相关安全事件】软件集成平台Jenkins大量敏感证书及日志泄露
概要:研究人员表示,没有利用任何 软件集成平台Jenkins漏洞,就在互联网上发现了暴露 2万5千个Jenkins实例 ,从这些实例中发现了不少大型公司 泄露了敏感证书和日志文件,这都可能会引发 数据泄露事件。 Jenkins是最受欢迎的开源自动化服务器,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。 研究人员使用Shodan搜索引擎来查找可在线访问的Jenkins服务器,他发现了约25,000个实例。其中大约一半的分析显示,10-20%的实例存在配置错误,然后研究人员手动分析每个实例,并通知受影响的供应商。
Tunç强调,Jenkins通常需要代码存储库的凭据,并访问部署代码的环境,通常是GitHub、AWS和Azure。未能正确配置应用程序可能会使数据面临严重风险。 研究人员发现,许多配置错误的系统默认提供访客或管理员权限,而其他的一些则允许访客或管理员访问任何注册账户。
点评:Tunç还发现一些Jenkins服务器使用了Github或Bitbucket的SAML / OAuth身份验证系统,但不幸的是,任何GitHub或Bitbucket帐户都可以登录,而不是合法的所有者。 “专家在一篇博客文章中写道。
这些配置错误通常有:
任何人都可以使用访客或管理权限在互联网上公开访问 - 访客可以拥有管理权限,这简直就是灾难
某些Web应用程序确实是在登录提示之后,但却允许“自助注册”,进而被授予访客或管理员权限
某些Web应用程序确实是使用Github或Bitbucket的SAML / OAuth登录验证,但被错误配置为允许 任何 Github / Bitbucket帐户登录到Jenkins,而不是锁定到 组织的用户池。Tunç报告说,他分析的这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。
研究人员还发现,Google在 jenkins 上暴露了敏感的代币,该公司在通过Google 漏洞奖励计划得到通知后,迅速解决了这个问题。 专家发现的其他情况是:
- 伦敦政府资助的运输, 伦敦交通运输机构 ;
- 超市Sainsbury's和Tesco;
- 为儿童制造玩具的公司;
- 信用审查公司ClearScore;
- 报纸出版社 News UK ;
- 教育出版商 Pearson 和报纸出版商 News UK 。
【云上视角】汇通天下:如何处理年久失修的服务器,让安全可见度提升
概要:汇通天下(G7)是一家大规模的智慧物联网公司,客户数量超过4万家,连接车辆总数超过60万辆,客户类型覆盖快递、快运、城市配送、专业运输、合同物流等物流全领域。G7车队管理服务已成为中国物流运输领域上下游协作的重要工具和基础数据协议。但G7也有自己的苦恼:云端环境的安全隔离,并不像企业内网的安全隔离,那么容易落地。
G7在阿里云具有上千台云服务器,遍布在多个区域的多个VPC下,其中一个VPC的服务器数量超过600台。这600台服务器是G7的核心业务,承载的多个生产系统的运行,同时,也承载了多个子业务的数据交互。那么,业务分区分组的安全隔离,自然就无法或缺。可是,G7在部署业务分区的时候,却遇到了很多障碍,让其无法推进,甚至放弃。
由于资产运维没有跟上,很多服务器已经被改变了用途但不得而知,这就是服务器的“年久失修”,而且从“实例ID/名称”已经无法了解服务器的真实用途了。同时,服务器之间的访问关系也会因为“年久失修”,变得更加错综复杂......
基于这样的前提下,“东西向隔离”将变成了一件很危险的工作,稍有错误的策略,将造成业务的中断。所以,通常被迫的做法就是,将东西向(横向)的策略口子放得很大,以确保业务的稳定。
但是,这无形增大了整个网络的攻击面,黑客的恶意流量将更加容易触达核心资产,这样的风险同样也是难以接受的。
另外,G7的大数据业务、中间件业务,支撑着几乎所有的生产环境。大量的调用关系使得业务关系越发复杂,这造成了每当弹性迁移或业务变更的时候,尽管运维管理员一再的谨小慎微,但总是会出错。
如果所有的服务器用途、访问关系、业务流量都能在眼前实时的呈现,那梳理出有序的业务环境,就变得完全可以落地,并将成为东西向隔离的基础。这就是阿里云云盾 · 云防火墙给G7带来的最大改变。
