从00后攻击金融行业看移动攻防对抗第三阶段
星期三, 三月 11, 2020
在过去的几年中,伴随移动互联网的发展,移动应用作为越来越多企业最重要的业务渠道之一,发挥着越来越重要的作用。移动应用的业务丰富性、便捷性不断提升,移动安全防护也成为企业安全防护中重要的一个环节。然而最近一个公开案例,又再一次让我们把目光转向了移动安全。
2019年10月,只有初中文化的00后田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元。判决文书表示,田某在2019年1月5日至1月15日期间,通过软件抓包、PS身份证等非法手段,在某银行手机银行App内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户,非法销售获利。2018年5月也曾有类似案例发生,当时黑客发现某银行App软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,藉此获得质押贷款,累计非法获利2800余万元。
笔者就这两次攻击事件采访了梆梆安全移动安全攻防实验室高级研究员谭阳,谭阳表示,这两起案件里的黑客行动从本质上来讲其核心指向的攻击就是:非授权恶意渗透测试+前端数据造假。
金融行业作为目前对于安全要求极高的行业之一,一直以来走在攻防对抗的前线。从移动安全防护本身来讲,金融行业在移动安全防护中已经采取了众多安全手段,如安全加固、渗透测试、安全键盘等,甚至更多的企业建立了完善的业务风控或反欺诈保护机制。在攻防对抗不断提升的大背景下,这类事件的发生,所有人都想问一个问题:作为安全防护等级要求已经很高的金融行业,为什么还会出现这类事件?除了金融行业是攻击者关注的重点行业外,其最重要的一个方面是移动安全攻防对抗进入了新阶段:动态安全对抗阶段。
谭阳介绍说,当前移动安全攻防主要经历了三个阶段:静态保护阶段、业务安全阶段以及当前最新的动态安全对抗阶段。
在过去的很长一段时间,移动安全的攻防对抗,仍然停留在静态保护和破解之间的对抗,来来回回交手数次,攻击者门槛和成本逐渐提升。防御者一般会:
业务安全阶段最典型的特征就是通过制定专家规则或者利用机器学习技术,分析各类交易行为数据,试图找出各种违反规则或者异常交易行为,防御者一般会:
通过第一阶段和第二阶段的保护,绝大部分移动应用的安全防护达到了一个新的高度,攻击者的攻击门槛和攻击成本也在显著提升。然而攻防对抗总是在不断的提升,攻击者正在另辟蹊径,寻求产出投入比更好的攻击路径。移动安全攻防对抗也随之逐步进入第三阶段。
在动态安全防护阶段中,攻击者的典型特征表现为:
谭阳提出,在这个攻防对抗的提升过程中,防守方目前处于弱势,主要表现在几个方面:
在这个大背景下,中国人民银行在2019年发布的《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》银发【2019】237号文中,已经再一次明确要求:各金融机构要建立健全客户端软件风险监测管理机制,充分利用客户端软件风险监测平台,识别和处置客户端软件潜在的安全漏洞、权限滥用、信息泄露等风险隐患,对发现的漏洞和潜在的风险及时采取补救措施。237号文的发布,是金融行业移动安全走向第三阶段的重要标志。谭阳认为,在第三个阶段的动态安全防护的对抗过程中,以下几方面的能力获取对于防守方而言显得尤为重要:
攻防对抗不断提升是整个安全发展的必然趋势,唯有安全厂商与客户一起同步能力提升,才能有效应对新形势下的安全挑战。
梆梆安全正在以当今网络重心移动互联网为源点,逐渐将安全防护能力向传统互联网以及未来物联网延伸,并参考共享经济模式创新性提出“共享安全”理念,围绕业务安全、数据安全帮助用户制定网络安全建设规划,构筑覆盖全网络环境的新型信息安全整体纵深防御系统。