分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

2017金融科技安全分析报告

一、执行摘要

近年,依托云计算、大数据、人工智能、区块链等先进的计算机技术的发展,金融服务也趋于多样化、便利化、智能化。金融科技的出现频率正在高速增长,伴随其技术变革与创新加速,至今已经步入金融科技3.0 时代。但随着金融科技日渐成为金融产品的重要支撑手段,攻击者也在不断丰富其攻击目标和攻击手段,以图提升自身的攻击变现能力。金融科技安全从业者在传统的以脆弱点和检测点为核心的防护方案之外,更应从获利点出发,逆向分析,进而组织自身的防护体系。金融科技安全现状和安全趋势值得关注:
l 金融业务大幅云化,金融行业约60%的机构使用了各类云服务; l 金融行业机构对安全事件处置时间滞后,20%的安全事件处置时间超过一周; l 金融机构业务流程欠缺,只有32.9%采用了SDL开发; l 信息安全不可忽视,71.3%的企业计划增加安全预算投入,但只有21%的企业打算扩招安全团队。

二、金融科技

从金融科技1.0到金融科技2.0,底层技术创新促使金融服务的方式发生变革,金融产品和业务模式不断变化。金融科技涉及领域广泛,应用场景多元。大数据、人工智能、区块链和云计算作为金融科技核心技术,使金融服务更加高效、智能,已在许多场景展露头角。 图片1金融科技的应用场景.png 金融科技的应用场景 金融科技迅猛发展的同时也面临着越来越多的安全威胁,安全事件频发,对业务造成资金损失和极大的负面影响,关注金融安全将是金融科技3.0 时代的重中之重。

三、网络安全威胁介绍

众所周知,金融行业是我国网络安全重点行业之一,因其行业特殊性金融机构一直是网络犯罪的主要目标。

3.1 DDoS攻击

图片2 2016vs2017各月份攻击次数和流量.png 2016 vs 2017各月份攻击次数和流量 2017 年同2016 年相比,攻击发生次数基本保持平稳,共计发生20.7 万次。但是从攻击总流量上来看有较为明显的波动,从年初到5 月份前后,攻击总流量有非常显著的增长,而5 月份之后攻击总流量回落至较为平稳的水平。与2016 年相比,2017 攻击仍然频繁,攻击总流量大幅上升。 图片3  DDOS攻击源设备类型.png DDoS攻击源设备类型 在2017 年的DDoS 攻击中,攻击源中IoT 设备的数量已经占据相当的比例,在或大或小规模的DDoS攻击中IoT 设备都有显著的占比,已经成为DDoS 网络环境中需要重点关注的一个类别。从网络总体态势来看,物联网迅猛发展的过程中必然伴随着安全技术的滞后,可预测IoT 设备的威胁治理会进一步提上日程,而作为最易实施的攻击类型之一,IoT 遭受DDoS 攻击的数量会进一步上涨。