金融业成APT攻击重灾区

近日,爆出棱镜门事件的主角斯诺登已经在俄罗斯得以与父亲团聚,但是闹得沸沸扬扬的棱镜事件还并没有落下帷幕,由此引发的公众对高级持续性威胁(APT)的关注也在继续。其实,棱镜门只是将APT攻击更加为大众所熟知,而从2010年的震网蠕虫开始,层出不穷的APT攻击事件早已对全球各国的信息安全体系造成了巨大的威胁。

 高级持续性威胁(APT)最显著的特征就是有计划、有组织、有目标、受利益驱动,因此,与交易、金钱直接相关的金融行业,成为了黑客攻击“首选”,沦为APT攻击重灾区。
在APT攻击过程中,其背后的操作者为达目的可以采取各种方法,利用任何资源,它的攻击周期可以设定得很长,并在被攻击组织中长期潜伏。高级持续性威胁也很少仅利用单个病毒或单个恶意代码、漏洞,它通常会综合利用所有的资源,自制适合于攻击目标的工具,计划整个攻击路线,构成一个完整的闭环。由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。无论是2012年美国银行遭遇DDoS攻击,还是2013年韩国银行的信息系统遭到入侵和破坏,针对金融系统的APT攻击呈现出愈演愈烈的趋势,下面我们就来盘点一下近年来针对国内外针对金融行业的APT攻击事件。

让我们首先看看,APT近两年侵袭中国金融业的案例。

发生时间 事件简述

2012-7 “中国银联”网站是最新出现的钓鱼网站,一旦客户“上钩”误入“钓鱼”网站输入自己的网银账户和密码,黑客就立刻将账户资金悉数盗走。

2012-8 出现“网银超级木马”病毒新型变种,主要针对主流第三方支付平台,这是一种典型的钓鱼欺诈病毒。该病毒会监听用户的支付操作行为来获取用户的银行卡号及密码,短时间将用户银行卡内资金洗劫一空。

2012-12 “支付大盗”的新型网购木马利用竞价排名伪装为“阿里旺旺官网”,诱骗网友下载运行木马,再暗中劫持受害者网上支付资金,把付款对象篡改为黑客账户。

2013-7 迅雷会员支付页面出现故障,价值180元的迅雷白金会员年费只需1分钱即可购买,该故障造成迅雷损失高达100多万。

2013-7 数起针对国内金融行业的APT攻击事件被曝光,该事件被命名为“证券幽灵”。这一攻击变化多端,会导致用户重要信息数据泄露。

针对全球金融业,APT攻击的行动近两年也是层出不穷。

2011年,暗鼠行动( Operation Shady RAT)从2006年启动,渗透并攻击了全球多达72个公司和组织的网络,金融公司是其攻击的对象之一。

2012年9月,黑客网络团体Anonymous对包括美国第一大商业银行Bank of America、Wells Fargo、the Citigroup和HSBC在内的拒绝受理维基解密业务的银行网站进行大规模的DDoS 攻击,导致在线银行业务操作经受了严重的干扰。

2013年3月20日,新韩银行、农协银行等金融机构的计算机网络同时遭受恶意代码侵入,导致内网电脑黑屏、信息系统瘫痪,服务几近中断。这起事件,对韩国的金融、新闻等命脉行业造成巨大影响,韩国军方甚至将情报作战防卫级别上调一级。

2013年,某大型企业部署的APT防御设备捕捉到了利用金融作为主题,针对美国花旗银行邮件账户源的攻击邮件,附带DOC的攻击文档,并在该企业内网邮件大量传播。

由于APT攻击的隐蔽和不大规模爆发的特征,传统的杀毒软件很难提前防御,而等到攻击爆发再来亡羊补牢,信息资产的损失则已经难以挽回。因此,提前洞察和拦截APT攻击,是避免损失的最佳方案。同时,单一技术方向的产品针对APT攻击无法形成有效的防护效果,而将多种防御手段通过一定的策略联动结合,才能够对APT攻击形成完备而立体的防御能力。金山安全作为云安全与SAAS服务提供商,已经携手国内客户成功拦截多次APT攻击,其专门针对APT实时防御的金山私有云安全系统能够对APT和高级威胁攻击进行检测、鉴定、防护、溯源,是一套可定制化的,结合了动静态鉴定分析和流量检测等功能的APT防护解决方案。该方案具有三大特征:

多维度的威胁感知体系。私有云安全系统的核心思想是把白检测的概念和动静态鉴定概念相结合,配合流量检测能力,其效果是最大程度上孤立“灰”。同时在在设备管理和数据分析平台这一层面进行汇聚,通过数据之间的相互参照和挖掘,达到发现新的威胁(尤其是APT攻击)的目的。

国产自主化高安全硬件平台。私有云安全系统同国内高度自主化的硬件平台进行了紧密结合,该硬件平台从系统级板卡、高速互联系统、BIOS等均为自主开发、设计,符合国家自主可控的产业政策导向。在软硬件结合开发的过程中,金山根据丰富的安全经验,对平台的各个安全环节做了全面的加固。

针对金融行业的全面防护能力。针对金融行业典型网络架构,金山私有云安全系统会在核心交换区和银行网银区对网络异常流量进行检测,在第三方应用平台接口通过动静态鉴定模块对文档进行溢出漏洞检测和程序可疑行为分析,在工作区(核心区、业务区和办公区)和终端区部署私有云安全防御客户端。同时,这三种模块在金融系统整体流程中将形成联动互补的立体防御体系,并结合数据挖掘技术,形成针对APT攻击的发现、防御和溯源的整体解决方案。