攻击者在想什么?
班晓芳:一般来说,网银攻击者在攻击之前会考虑哪些因素?
江常青:风险管理方法告诉我们,无论是攻击方还是防护方都会按照成本收益的原则决定如何攻击、如何防守。具体来说,攻击者实施攻击其预期收益包括三种:直接收益、心理收益和边际收益。攻击者攻破网银系统,在网银系统上获得银行数据信息,在现实中取现或兜售银行客户信息换取价值,这是直接收益。当攻击者攻破某国内大型银行的网银系统时,攻击者会获得肯定其个人技术能力或团队整体攻击能力的心理收益。大多数情况,攻击者可能不能直接攻破网银系统,但也可能会获得相关信息,利用这些信息也可能达到更多、更大的破坏目的。例如网银区域中机器A、B,攻击者想攻击A,但是A防护很好难以攻击,攻击者可能会攻击B,以达到通过B对A窃听,并且通过B可进入其他重要业务系统,这是边际收益。
班晓芳:针对网上银行,攻击者如何计算攻击收益呢?
江常青:在攻击者发起攻击之前,是很难准确计算自己的预期收益的。其实是否发起攻击,攻击者权衡的是预期收益与成本进行比较,即使防护体系能让攻击者预期收益远小于成本,但是攻击者错误估算了预期收益,也是可能发起攻击的。从这个意义上说,银行
所对外公开传递的信息应该不要造成让攻击者高估网银系统的价值,而要使攻击者因为预期收益不高但成本较高而望而却步。
班晓芳:攻击成本具体包括哪些方面,攻击者如何计算攻击成本?
江常青:我国网上银行在人民银行、金融监管部门和自身风险需求的要求下,系统安全防护体系逐步完善,使得黑客的攻击成
40 /中国信息安全/2011.08
C N I T S E C
文/本刊特约记者 班晓芳
从攻防角度看网银
—访中国信息安全测评中心江常青副主任
2011.08/中国信息安全/
41
焦 点
Focus
王莽钱币
本越来越高。攻击成本高,攻击行为就越来越走向商业化,使得网银攻击行为由个人行为趋
向于有组织的团伙作案行为,促成了网银黑客产业链的形成。不论是个人还是团伙,在策划一起成功的网银攻击事件时,都会考虑以下成本:漏洞目标信息搜集成本、漏洞发现成本、漏洞利用实现的成本、银行数据信息转化实际收益的损耗成本以及新漏洞/利用技术被泄漏的风险成本等。
先说说漏洞目标信息搜集成本,这是在网银预期收益基本确定的指导原则下开展的对目标系统的信息搜集。攻击者根据网银系统的技术架构、安全功能、安全策略等信息综合确定漏洞分析对象。漏洞分析对象可能包括服务器端的应用程序、客户端登录控件、签名控件、证书驱动程序等等。确定漏洞分析对象是非常关键的,是后续攻击能够成功的前提条件。由于我国网银系统安全防
护措施的复杂性,攻击者需要投入大量的时间和广泛的资料收集,漏洞信息搜集成本与前几年相比较高。
中国人民银行安全控件下载安装
其次,漏洞发现成本。挖掘适合攻击场景的漏洞是需要成本的,包括时间、技术投入、人力成本、工具成本等。我国网银在金融监管部门和金融企业自身风险控制的驱动下,网上银行安全防护得到极大提升,与前几年相比,很少出现
如SQL注入、跨站攻击等免费工具就能到的常见漏洞。目前大多数网银漏洞需要有专业技术人员、花费大量的时间并借助专业工具才能发现未公开漏洞,与其他行业信息系统安全漏洞相比,网银漏洞发现成本较高。
第三是漏洞利用实现的成本。漏洞从发现到被应用于某个攻击场景中,攻击者需要花费攻击利用实现的研究成本。如果漏洞不通用,则需要攻击者编制特定漏洞利用方法,同时由于现在IT系统从操作系统就开始提供安全防护措施,例如VISTA/WIN7提供了GS、DEP、ASLR各种保护技术,一个漏洞成功利用需要对抗各种保护措施,还需要编写之后能对抗各种杀毒软件检测以及完成信息资产窃取功能的木马、病毒,大多数情况下,攻击者如果要达到随意转帐的攻击目标,可能需要利用多个漏洞。为到能配合攻击的其他漏洞信息,攻击者需要启动另外的漏洞挖掘工作。在网银系统安全防护较好的情况下,漏
洞利用实现的成本要远大于漏洞发现的成本。现阶段我国网银经过几年互联网黑客的“考验”,易用型漏洞已不多,使得攻击与防护的对抗越来越强,漏洞可利用性的降低增加了漏洞利用实现的成本、新的利用技术投入、人力成本、时间成本等。
第四,获取的银行数据转化实际收益的损耗成本。攻击者将银行数据安全地转换成实际收益是需要成本的。当银行在反、反欺诈等风险控制措施的不断完善下,攻击者的转化成本增加,例如雇佣不明真相的人员去变现而引起的雇佣费、信息费,如果人员对我国网银攻击成功,则会涉及到国家外汇管理的规定而必须在境内成功完成资金转移的成本。
第五,新漏洞/利用技术被泄露的风险成本。攻击的成本有些是固定成本,如漏洞发现的成本和漏洞利用实现的成本,如果能针对更多的目标,收益扩大,自然成本就被摊薄。这就是为什么用户数量越大、交易越活跃的网银系统更容易遭受攻击的原因之一,即使其在安全技术防护和内控管理上比小网银做得更好,但基于收益成本的考虑攻击者还会选取大网银作为攻击对象。同时,由于网银系统安全防护手段加强,新漏洞/利用技术越来越成为稀缺资源,大范围的使用,C N I T S E C
编者按:网上银行交易规模增长迅猛,但网上银行表面风光的背后,却也面临严峻的挑战,安全已经成为网上银行发展必须着力解决的大问题。特别在我国非金融第三方支付公司网上支付严重依赖网上银行的环境下,网上银行安全更加引起社会关注。作为长期工作在信息安全测评领域的资深专家,中国信息安全测评中心江常青副主任从攻防角度对网银安全保障工作提出了一些建议。
安全
会让银行及时发现并迅速修补而失去价值,这就决定了攻击者在这方面的成本被提高了,因此攻击者
不会一味追求扩大攻击目标获取收益而导致新漏洞/利用技术迅速失效。
最后,攻击被发现的风险成本。攻击被发现的风险成本主要是法律风险。
攻击银行系统,在国内法律中有明确的法律犯罪条文;但攻击个人用户,国内法律则定罪比较松。在我们的调研中发现,针对网络服务器端的攻击事件比较少,但针对网银客户端的攻击事件比较多,也和攻击者衡量相应的法律风险成本有关。
在收益中,攻击者对收益的预期是和其掌握的信息相关的,边际收益是和具体的环境相关,一个没有什么价值的主机如果处于一个有重要价值的网络中,其边际资产价值也会得以提高,这就是有些攻击行为是通过互联网控制网银办公管理终端进而尝试突破其核心业务系统,这是往往容易被忽略的问题。所以具体的成本和收益难以精确估计,只能是个变动的范围。
一个网银系统是否实际上安全,从成本观看,应该是攻击者的预期收益
以及实际收益都远小于攻击的平摊成本。从理论上,网银安全只能是无限趋近,但不可能完全到达。越趋近,银行方防护的成本也越高。
班晓芳:从攻防的成本和收益角度看,您认为网银安全的理想状态是什么样的?
江常青:从某种程度上说,所谓安全,就是攻击者所付出的成本远大于其预期收益。银行方权衡自身的成本和收益,当成本大于收益,银行也不会修补漏洞,提高安全性。因此安全就是成本与收益的博弈,是攻击方和防守方风险管理能力的博弈。从上述分析我们可得出,任何系统都分为两种安全状态:已经被攻破和即将被攻破。因此我们不能说发生安全事件的网银系统就不安全,而未出过安全事件的网银系统就是安全的,其差别是攻击者在权衡成本和收益后选择谁家网银作为攻击对象且何时开始攻击。
网银系统有漏洞吗?
班晓芳:您认为,当前网银系统有漏洞吗?
江常青:任何一个系统都存在漏洞,这是客观事实,因此我们常说“没有绝对安全”,网上银行系统也不例外——没有绝对安全的网银系统。漏洞是在系统具体实现和具体使用中产生的缺陷,当缺陷能够被利用,并威胁到系统安全就成为漏洞。漏洞可能最初就存在于系统当中,但一个漏洞并不是自己出现的,必须要有人发现。在实际使用中,用户可能会发现系统中存在缺陷,而入侵者会有意利用其中的某些缺陷并使其成为威胁系统安全的手段,这时人们会认识到这个缺陷是一个系统安全漏洞。系统攻击者往往是安全漏洞的发现者和使用者,要对于网上银行系统进行攻击,如果不能发现和使用网银系统安全漏洞是不可能成功的。
此外,漏洞是与时间紧密相关的。网银系统从上线运行第一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,早先被发现的漏洞也会不断被银行修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞也会长期存在。
班晓芳:在您看来,网银系统的漏洞体现在哪些方面?
江常青:如果我们把网上银行系统划分为服务端、客户端和通信通道三个部分,目前各银行在服务端开展大量安全防护工作:部署防护设备,应用系统自身进行安全加固,银行内部加强安全管理措施,但在安全功能、安全策略,特别是安全实现上还有一定差距。各家网银的安全功能和安全策略可以依据央行《网上银行安全通用规范(试行)》等相关标准规范实施,但在网银安全实现上可能会因为各家建设团队的安全开发经验、安全风险意识、人员投入、资金投入等原因造成较大差距,导致网银系统服务端出现安全漏洞和隐患。
网银最容易发生问题的环节是客户端。客户端用户体庞大,安全意识参差不齐,很容易被网银攻击者植入木马,而银行虽然有责任保护客户端安全,但是其无法监控、纠正用户安全使用电脑的习惯。因此,当前网银的攻防双方主要
42 /中国信息安全/2011.08
C N I T S E C
2011.08/中国信息安全/ 43
焦 点
Focus
南北朝钱币
围绕客户端战场进行拼杀,黑客不断研究攻击网银客户端的新技术、编制利用漏洞的新木马新病毒,银行端不断创新客户端安全防护机制。国内网银客户端越来越庞大,集中了越来越多的功能,虽然不断的在使用各种新的安全技术,但是由于国内网银往往采用第三方采购组件组合的模式,采购的产品安全性参差不齐。同时在国内,无论是银行开发队伍还是第三方厂商开发队伍,基本都还没有采取良好的安全开发过程,因此即使使用了再多安全技术,产品自身安全还是值得担忧。
网银系统除了技术层面的漏洞,更多是来自业务操作层和流程风险漏洞。业务操作层典型漏洞是网上银行业务柜面操作人员办理USB-Key密码解锁和挂失业务时易出现的漏洞,网银柜台开户漏洞等。流程风险漏洞主要体现在网银技术防护系统被攻破后如何监控、如何响应的漏洞。当前大部分银行的反欺诈体系还不健全,网银事件及时响应能力较低。当网银安全事件向团体作案、跨境作案方向演变时,
犯罪团伙从通过钓鱼网站
盗取客户账号、密码,转账,分账到各地多个账户,取现,基本上几分钟,最多十几分钟内就可完成,而银行方从监控到欺诈到及时处理,由于需要联合电信运营商、执法单位等外部多个部门共同处置而造成的时间延误。
银行如何应对针对网银的攻击?
班晓芳:在此消彼长的攻防对抗中,银行怎样才能立于不败之地?
江常青:安全就是攻防双方持续的较量。攻击者在暗处,防守者在明处,攻防双方似乎总是“道高一尺,魔高一丈”,攻防双方的攻击手
段和漏洞发现都具有动态性。作为防守方银行应加强漏洞分析和风险评估工作,做到“知己知彼”,才能实现“百战不殆”。建议采取以下措施:
安全风险评估:继中国银监会2006年发布《电子银行安全评估指引》之后,央行于今年又出台了《网上银行安全通用规范(试行)》,《规范》将作为网上银行系统安全建设、内部信息安全检查和合规性审计的依据。各银行应定期依据两个标准开展网上银行安全评估工作,从技术、管理、业务等方面全面梳理查网银安全漏洞和隐患。
专项漏洞分析:网银的安全问题越来越集中在网银客户端,应能够采取静态分析、动态调式、源代码审计、FUZZ测试等技术开展
网银客户端专项检测。通过专业的安全测试与分析,及时发现自身产品中的安全漏洞,加以修复,降低安全风险。
加强供应链安全控制:各家网银大多由众多IT厂商提供的产品组件组合而来。厂商组件的安全问题可能会引起多家金融机构的安全
问题形成扩大效应。而且由于IT厂商缺乏安全意识与能力、很难在安全漏洞曝光并被攻击着利用后给予及时的响应和处置。因此加强对IT厂商产品的安全控制则非常重要。应该通过安全能力考查,安全响应承诺,产品交付的安全验收,来逐步提高厂商的安全意识与能力,最终保证信息技术产品供应链的安全。
外部攻击监测与评估:由于网银系统运行于不可信的互联网环境中,应时刻掌握针对网银系统的外部威胁攻击态势,银行方应开展针对网银的钓鱼网站、网银木马、网银病毒等外部攻击源、新型攻击技术的监测与评估工作。
C N I T S E C
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论