一文盘点金融业6大安全威胁！

2021年金融业安全威胁态势分析

一、序言

2021年全球互联 持续快速发展，在疫情背景下，人们对互联 的依赖持续加深。近年来，金融行业数字化转型如火如荼，并且随着生物识别技术、区块链等技术的发展和普及，金融行业也在加速引入最新信息化技术。

二、信息安全事件分析

（一）、勒索软件：全球企业头 威胁

自2017年WannaCry勒索病毒在全球范围爆发以来，勒索病毒加速演进，越发猖狂。据相关机构的统计，近年来遭受勒索软件威胁的个人用户数量显著下降，主要原因是黑客逐渐将目标由个人转向大型企业、政府单位、公共机构等，因此企业、政府等受到勒索软件威胁程度越来越高。2021年勒索软件已经成为全球企业的头 威胁。

2021年攻击事件中，影响最大的是5月份的美国最大成品油管道运营公司Colonial Pipeline遭遇勒索软件攻击暂停运营事件，该事件导致美国最大燃油管道被“掐断”，Colonial Pipeline公司最终在支付500万美元赎金后恢复运营。而针对金融行业的勒索软件攻击事件也层出不穷。

以下是全球范围内金融行业较知名勒索软件攻击事件：

2021年2月，支付处理商AFTS遭遇名为CubaRansomewar的黑客组织的勒索软件攻击，并导致使用AFTS作为服务商的加州车辆管理局的用户数据泄露。

2021年3月，美国保险巨头CNA遭受勒索软件攻击，赎金4000万美元。

2021年5月，美国最大成品油管道运营公司Colonial Pipeline遭受勒索软件攻击，赎金500万美元；全球最大保险公司法国安盛集团遭受勒索软件攻击，疑似泄露包括客户医疗 告、银行账户对账单、付款记录及合同等3TB数据。

2021年8月，西班牙对外银行、摩根大通银行、萨顿银行、桑坦德银行、印度国家银行等多家银行约100万张被盗信用卡在暗 销售。

2021年9月，南非收债公司Debt-INConsultants遭勒索软件攻击，致消费者和员工个人信息数据泄露。

从勒索软件攻击事件来看，近年来勒索软件攻击具有以下特点和趋势：

1. 攻击目标从个人转向企业和政府

近年来，勒索软件黑客组织意识到传统的广撒 式战术不能带来更多回 ，黑客组织开始采用复杂性和针对性更强的攻击手段，并瞄准“高端市场”，他们的攻击目标从个人用户转向了大型企业、政府单位、公共机构等。由于这些目标通常保存了大量关键业务数据，因此一旦攻击成功，将对业务以及组织声誉严重影响，以此增加受害者支付赎金的概率。

2. 攻击模式规模化和专业化

勒索软件攻击已从个人行为演变至团队产业。黑客组织内部往往分工严密，从勒索软件“武器化”，到入侵攻击，再到解密沟通，都由不同人员负责，甚至最核心的成员隐藏在幕后，把“武器”提供给外围黑客实施真正的攻击。攻击者还结合APT攻击，在发起勒索攻击之前，已经潜伏和控制目标 络相当长一段时间，直到时机成熟才发起最后攻击，让受害者损失最大化，从而勒索更多赎金。

3. 攻击手段逐渐以加密勒索转变为加密和窃取“双重勒索”方式

“双重勒索”是从2020年发展起来的一种新的勒索攻击方式，是指攻击者先窃取未加密的文件，再对文件进行加密进而威胁受害者，若受害者不支付赎金，攻击者将在暗 公开窃取的文件，受害者即使已经备份过文件，仍会因担心数据泄露而支付赎金。从2021年的攻击事件来看，大部分勒索攻击事件都伴随文件窃取或信息泄露。

从上述看出，与以往的勒索攻击相比，除了系统破坏风险外，还存在数据窃取和信息泄露风险，危害更大。数据是金融行业的重要资产，目前金融行业在数据保护方面采用多中心灾备、全流程对账等手段，对数据的生命周期提供全面的保障，在 络安全防护方面，也一般采取纵深防御、 络隔离等多种方法，最大限度防止外部和内部的攻击行为。工商银行采用 络分区+纵深防御的安全防护策略，配合一体化的安全运营中心最大限度防范攻击威胁，保障企业和客户数据安全。针对目前勒索软件攻击的特点和趋势，金融行业应持续加强数据和 络安全防护，防范于未然。

（二）、关键信息基础设施：攻击热点

还是以2021年5月份的美国最大成品油管道运营公司Colonial Pipeline遭遇攻击为例， 在被攻击时间段内，Colonial Pipeline被迫关闭整个管道系统。该管道十分重要，承担了美国东岸45%的燃料供给，迫使美国宣布17个州和华盛顿特区进入紧急状态。该事件也暴露了美国关键信息基础设施 络安全防护的脆弱性。

从上述事件可以看出，关键信息基础设施 络安全防护的重要性。我国《 络安全法》对关键信息基础设施提供者和 络运营者的义务和责任都作了规定，而《关键信息基础设施安全保护条例》对关键信息基础设施安全保护进行了具体细化的规定，并且等保2.0也对关键信息基础设施作了特别要求。

金融行业特别是国有大行的部分系统作为关键信息基础设施，承载个人与对公的账户和账户处理等功能，涉及民生保障和国家稳定。在 络安全和数据防护方面，金融行业一般采用纵深防御、 络隔离、多中心灾备、全流程对账等多种手段和方法，保障系统和数据的安全，即使不法分子攻击突破到 络内部，仍可最大限度保障关键业务的运行和数据安全，类似美国Colonial Pipeline公司那样关键业务被中断的可能性较低，但仍不可掉以轻心，应该持续加强关键信息基础设施 络安全防护，做好全面的安全防护和灾备。

金融行业涉及关键信息基础设施的系统关系国计民生，工商银行作为国内乃至世界头部银行，采用“两地三中心”的架构，并配合多种冗余和灾备手段，最大限度保障系统安全和业务平稳运行。

（三）、数据安全和个人信息：黑产愈演愈烈

2021年爆发了多起信息泄露或数据破坏事件。

2021年1月，10000名墨西哥和美国运通卡用户的数据在暗 发布，可免费下载；印度支付处理公司Juspay超过1亿用户的借记卡、信用卡信息遭窃取；新西兰储备银行存储在第三方托管提供商的数据遭攻击，商业和个人数据遭泄露。

2021年2月，美国风险投资公司红衫资本因遭受 络钓鱼攻击，一些个人信息和财务信息疑似被窃取。

2021年3月，印度移动支付服务商MobiKwik超350万客户端信息遭泄露。

2021年4月，印度股票市场经纪人公司Upstox数据泄露，约250万用户数据从第三方仓库系统泄露。

2021年6月，美国金融软件公司Intuit部分用户的个人和财务数据遭泄露。

2021年7月，美国投资银行剧透摩根士丹利因第三方Accellion FTA服务器攻击导致数据泄露。

2021年8月，摩根大通银行因 站和应用程序存在技术漏洞，导致包括姓名、账 、 表、交易清单在内的客户信息泄露。

2021年11月，美国股票交易平台Robinhood遭遇黑客攻击，约500万客户信息遭泄露。

2021年12月，加密货币交易平台Bitmart遭受黑客攻击，近2亿美元资产遭泄露。

从上述事件来看，造成信息泄露的主要原因除了勒索攻击外，还存在传统技术漏洞，此外，伪造APP、第三方漏洞、“内鬼”等也是导致信息泄露的原因之一。

在个人信息和数据保护方面，我国于2021年1月1日正式实施《民法典》，其中第一千零三十五条明确规定，处理个人信息应征得该自然人或者其监护人同意。之后，《中华人民共和国数据安全法》于2021年9月1日正式实施，《中华人民共和国个人信息保护法》于2021年11月1日正式实施。从法律层面明确了保护个人信息和数据的合法性和重要性，凸显了国家对个人信息的尊重，对个人信息和数据的保护要求也日益严格。

此外2021年2月，工信部起草《移动互联 应用程序个人信息保护管理暂行规定》，明确了知情同意和最小必要两项个人信息保护基本原则。

金融行业保存了大量客户数据，对于这些数据，使用了多种安全措施保障数据安全，但是在一些源码数据等方面的防护仍待加强，近年来也发生过国内银行数据泄露并在暗 倒卖的问题，建议加强监控和防护,同时还应警惕数据的内部泄露等问题，做好内控合规监控。

（四）、供应链攻击：威胁日增

2020年影响最广、最复杂的黑客攻击事件可谓SolarWinds供应链攻击事件,该事件在2021年仍有很大影响。2020年1月，美国法院行政办公室因SolarWinds后门被入侵，迫使美国法院系统禁止在敏感案件中以电子方式提交法律文件；黑客通过SolarWinds后门入侵包括微软、思科、FireEye 和 SolarWinds在内的多个公司，并将多个公司的源代码在一个名为 “SolarLeaks” 的 站上公开售卖。

2021年在开源 区和应用平台等领域也存在供应链攻击事件。2月份，Perl.com 官 被劫持用以分发恶意软件。3月份，PHP主Git服务器被非法访问并上传两个恶意提交植入后门。同期，苹果公司的Xcode也被爆出存在供应链攻击漏洞，攻击者将恶意代码植入开源插件中，恶意代码会在开发人员启动Xcode时从服务器下载定制后门程序。11月份，华为应用程序库AppGallery被爆存在多个木马程序伪装成190个不同的APP以收集用户信息，影响超过900万台安卓设备。

供应链攻击是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。简单归纳起来，供应链攻击主要有5种方法：

利用供应商的产品进行注入（如SolarWinds事件）

利用第三方应用程序（如邮件/浏览器漏洞）

利用开放源代码库中包含的漏洞（如PHP事件）

依赖关系混淆

恶意接管（担任 区项目维护者，注入恶意代码）

供应链攻击具有危害大、攻击隐蔽、难以发现等特点。传统安全防护体系一般针对边界进行防御，对供应链则默认可信，一般不做过多恶意代码检查。如果供应链被植入木马，则直接绕过边界防护到达内 甚至核心 络。在SolarWinds供应链攻击事件中，攻击者在2019年4月至2020年2月的不同版本的SolarWinds管理软件中植入恶意后门程序，并利用SolarWinds的数字证书绕过验证，伪装成合法协议与攻击者通信，从而绕过微软等大公司以及美国多个政府部门的安全防护体系。

金融行业的业务系统往往涉及很多上下游应用，也使用大量外购、免费和开源软件，这些场景一般缺少对应的安全检查，存在供应链攻击的风险，建议加强外围资源的检测和防护，谨防恶意代码，以防止不法分子通过这些外围资源实施供应链攻击。

（五）、区块链挖矿：依旧猖獗

2020年以比特币为首的区块链数字货币一路高涨，到2021年4月份涨到最高59000多美元，在巨大利益面前，挖矿黑产也日益繁盛。黑客利用服务器或PC漏洞，甚至利用长期控制的僵尸 络，将挖矿软件植入服务器或PC中，挖矿软件经过免杀处理后，很难被用户和杀毒软件发现，挖矿软件在后台长期消耗设备CPU或显卡资源，影响设备的正常使用。例如，2021年4月Palo Alto Network的安全研究员Aviv Sasson发现了30个被植入挖矿木马的Docker镜像，这些镜像总计被下载了2000万次，据估算攻击者以此获利超过 20 万美元。

我国对待比特币挖矿和交易一直持否定态度。在2021年5月21日国务院金融稳定发展委员会（以下简称金融委）召开第五十一次会议中，明确打击比特币挖矿和交易行为，坚决防范个体风险向 会领域传递。

金融行业有大量面向互联 的出口和服务器，若这些出口存在安全漏洞，很容易被不法分子植入挖矿软件，谋取不当利益。此外，由于服务器一般是Linux服务器，一般未部署杀毒软件等安全防御软件，加之挖矿软件具有隐蔽性，因此一旦被植入，很难被发现，因此应警惕服务器被不法分子植入挖矿软件的风险，做好日常巡查和监控，部署必要的安全软件，做好全面的安全防护。另外，从上述案例中存在通过开源docker镜像植入挖矿木马的情况，因此还需要警惕此类供应链攻击挖矿的风险，从源头保证服务器安全。

（六）、CaaS：新攻击模式

犯罪软件即服务（CaaS）是近年出现的新的攻击模式，是指在 络犯罪生态系统中技术人员向其他 络犯罪分子提供产品和服务。这种模式为不法分子的攻击行为提供了便利，即使在没有高级 络技术的情况下，也能实施复杂攻击行为，极大降低攻击门槛，并且由于攻击工具和攻击服务通常共享多个攻击者，增加了溯源难度。当CaaS应用于勒索软件攻击时，称为勒索软件即服务（RaaS）。由于RaaS使用简单、成本低廉，增加了勒索软件攻击的效率，是近年来勒索软件攻击数量快速上升的原因之一。但是目前业界暂时没有明确的解决方案来防御或减少CaaS模式带来的风险，初步看来，可以采取整体性安全防护方案，时刻关注安全舆情，尽早发现新的威胁攻击，减少危害。

CaaS的出现使攻击的成本极大降低，也降低了不法分子的攻击门槛，必将带来更多攻击行为，并且也加大了防御、反制和攻击溯源的难度。在金融电子化的今天， 络安全和对 络攻击的防范已然成为金融行业的要务。针对CaaS可能带来的问题各种问题，金融行业应在加强安全监控防护的同时，加强舆情监测，关注业界安全态势发展，并可借鉴业界最新防御思想，全方位提高防护水平。

三、总结

从2021年信息安全事件情况来看，信息安全问题依然比较严峻。2021年信息安全态势主要有以下特点：

1. 攻击手法依然以传统漏洞攻击为主。

从2021年的攻击事件来看，无论是勒索软件攻击还是植入挖矿木马，黑客依然是利用传统攻击手法（例如利用软件漏洞或 会工程等）对应用或系统的边界进行突破，再在此基础上做进一步的利用。

2. 攻击目标以政府、组织和大型公司为主。

从2021年的攻击事件来看，大部分攻击事件的受害者为政府、组织机构和大型公司，并且攻击者大都为具有一定规模的团队，有些黑客组织甚至是“国家队”，分工协作，攻击性较强。

3. 攻击成本进一步降低。

黑客攻击采用服务化方式，将攻击工具打包销售，或将攻击服务包装为服务销售，使不懂黑客技术的普通用户也能发起黑客攻击，极大降低了攻击门槛和攻击成本。

4. 我国信息安全监管进一步完善。

上半年我国从法律层面对个人信息保护做出明确要求，进一步完善我国个人信息保护，此外明确禁止比特币挖矿和交易行为。

针对2021年安全态势，金融行业应在现有安全体系架构基础上，做好全面的安全防护和灾备。此外在加强安全监控防护的同时，加强舆情监测，关注业界安全态势发展。具体可有如下几点应对措施：

1. 全面完善安全架构体系，做好纵深防护。

从上述特点可看出，黑客攻击的手段并没有根本上的变化，做好传统的安全防护体系可最大限度防范于未然。具体包括自顶向下的安全架构，全面覆盖的物理安全、 络安全、区域边界安全、计算环境安全、应用安全等基础安全技术体系，合理的 络区域划分和 络分层、分区域安全防护，以及一体化的安全监控和运营中心等。

2. 完善应急响应和灾备机制。

金融行业作为关系国计民生的重要行业，成为大型黑客组织和“国家队”的重要攻击目标，这些组织攻击隐蔽，技术较强，破坏性较大，防御和预警都较困难。因此金融行业应在传统安全防御体系基础上，完善应急响应机制和灾备机制，即使在遭受攻击后也能最大限度减少损失。

3. 加强安全舆情监测，关注安全态势发展。

随着攻击服务化思路的转变，黑客攻击成本将越来越低，攻击频率也会逐步上升。对于这种新的攻击思路，不确定因素很多，因此金融行业应做好安全舆情监控，时刻关注安全态势发展，及时转变防护思路，调整防御策略。

4. 严格遵守国家法律法规。

2021年国家出台了多个与 络安全相关法律法规。金融行业既有承担国家关键信息基础设施的重任，也有保护客户个人信息安全的义务，因此务必严格遵守国家法律法规，推进行业稳健发展。

【轻金融好文】