admin 管理员组文章数量: 1086019
2024年3月21日发(作者:androidsdk没有tools路径)
攻击者在想什么?
班晓芳:一般来说,网银
攻击者在攻击之前会考虑哪些
因素?
江常青:
风险管理方法告
诉我们,无论是攻击方还是防
护方都会按照成本收益的原则
决定如何攻击、如何防守。具
体来说,攻击者实施攻击其预
期收益包括三种:直接收益、
心理收益和边际收益。攻击者
攻破网银系统,在网银系统上
获得银行数据信息,在现实中
取现或兜售银行客户信息换取
价值,这是直接收益。当攻击
者攻破某国内大型银行的网银
系统时,攻击者会获得肯定其
个人技术能力或团队整体攻击
能力的心理收益。大多数情
况,攻击者可能不能直接攻破
网银系统,但也可能会获得相
关信息,利用这些信息也可能
达到更多、更大的破坏目的。
例如网银区域中机器A、B,攻
击者想攻击A,但是A防护很好
难以攻击,攻击者可能会攻击
B,以达到通过B对A窃听,并
且通过B可进入其他重要业务系
统,这是边际收益。
C
N
I
T
S
E
C
从攻防角度看网银
—访中国信息安全测评中心江常青副主任
文/本刊特约记者 班晓芳
班晓芳:针对网上银行,
攻击者如何计算攻击收益呢?
江常青:
在攻击者发起攻
击之前,是很难准确计算自己
的预期收益的。其实是否发起
攻击,攻击者权衡的是预期收
益与成本进行比较,即使防护
体系能让攻击者预期收益远小
于成本,但是攻击者错误估算
了预期收益,也是可能发起攻
击的。从这个意义上说,银行
所对外公开传递的信息应该不要造成让攻击者高估网银系统的价
值,而要使攻击者因为预期收益不高但成本较高而望而却步。
班晓芳:攻击成本具体包括哪些方面,攻击者如何计算攻
击成本?
江常青:
我国网上银行在人民银行、金融监管部门和自身风
险需求的要求下,系统安全防护体系逐步完善,使得黑客的攻击成
40
/中国信息安全/
2011.08
焦 点
Focus
本越来越高。攻击成本
高,攻击行为就越来越
走向商业化,使得网银
攻击行为由个人行为趋
如SQL注入、跨站攻击等免费工具就能找到的常
见漏洞。目前大多数网银漏洞需要有专业技术人
员、花费大量的时间并借助专业工具才能发现未
公开漏洞,与其他行业信息系统安全漏洞相比,
网银漏洞发现成本较高。
第三是漏洞利用实现的成本。漏洞从发现
到被应用于某个攻击场景中,攻击者需要花费攻
击利用实现的研究成本。如果漏洞不通用,则需
要攻击者编制特定漏洞利用方法,同时由于现在
IT系统从操作系统就开始提供安全防护措施,
例如VISTA/WIN7提供了GS、DEP、ASLR各种
保护技术,一个漏洞成功利用需要对抗各种保护
措施,还需要编写之后能对抗各种杀毒软件检测
以及完成信息资产窃取功能的木马、病毒,大多
数情况下,攻击者如果要达到随意转帐的攻击目
标,可能需要利用多个漏洞。为找到能配合攻击
的其他漏洞信息,攻击者需要启动另外的漏洞挖
洞利用实现的成本要远大于漏洞发现的成本。现
阶段我国网银经过几年互联网黑客的“考验”,
易用型漏洞已不多,使得攻击与防护的对抗越来
越强,漏洞可利用性的降低增加了漏洞利用实现
的成本、新的利用技术投入、人力成本、时间成
本等。
第四,获取的银行数据转化实际收益的损
耗成本。攻击者将银行数据安全地转换成实际收
益是需要成本的。当银行在反洗钱、反欺诈等风
险控制措施的不断完善下,攻击者的转化成本增
加,例如雇佣不明真相的人员去变现而引起的雇
佣费、信息费,如果境外人员对我国网银攻击成
功,则会涉及到国家外汇管理的规定而必须在境
内成功洗钱完成资金转移的成本。
第五,新漏洞/利用技术被泄露的风险成
本。攻击的成本有些是固定成本,如漏洞发现的
成本和漏洞利用实现的成本,如果能针对更多的
目标,收益扩大,自然成本就被摊薄。这就是为
什么用户数量越大、交易越活跃的网银系统更容
易遭受攻击的原因之一,即使其在安全技术防护
和内控管理上比小网银做得更好,但基于收益成
本的考虑攻击者还会选取大网银作为攻击对象。
同时,由于网银系统安全防护手段加强,新漏洞/
利用技术越来越成为稀缺资源,大范围的使用,
掘工作。在网银系统安全防护较好的情况下,漏
编者按:网上银
行交易规模增长迅
猛,但网上银行表面
风光的背后,却也面
临严峻的挑战,安全
已经成为网上银行发
展必须着力解决的大
问题。特别在我国非
金融第三方支付公司
网上支付严重依赖网
上银行的环境下,网
上银行安全更加引
起社会关注。作为长
期工作在信息安全测
评领域的资深专家,
中国信息安全测评中
心江常青副主任从攻
防角度对网银安全保
障工作提出了一些建
议。
向于有组织的团伙作案
行为,促成了网银黑客
产业链的形成。不论是
个人还是团伙,在策划
一起成功的网银攻击事
件时,都会考虑以下成
本:漏洞目标信息搜集
成本、漏洞发现成本、
漏洞利用实现的成本、
银行数据信息转化实际
收益的损耗成本以及新
漏洞/利用技术被泄漏的
风险成本等。
先说说漏洞目标信
息搜集成本,这是在网
银预期收益基本确定的
指导原则下开展的对目
标系统的信息搜集。攻
击者根据网银系统的技
术架构、安全功能、安
全策略等信息综合确定
漏洞分析对象。漏洞分
析对象可能包括服务器
端的应用程序、客户端
登录控件、签名控件、
证书驱动程序等等。确
定漏洞分析对象是非常
关键的,是后续攻击能
够成功的前提条件。由
于我国网银系统安全防
安全
护措施的复杂性,攻击者需要投入大量的时间和
广泛的资料收集,漏洞信息搜集成本与前几年相
比较高。
其次,漏洞发现成本。挖掘适合攻击场景
的漏洞是需要成本的,包括时间、技术投入、人
力成本、工具成本等。我国网银在金融监管部门
和金融企业自身风险控制的驱动下,网上银行安
全防护得到极大提升,与前几年相比,很少出现
2011.08
/中国信息安全/
王莽钱币
41
C
N
I
T
S
E
C
会让银行及时发现并迅速修补而失去价值,这就
决定了攻击者在这方面的成本被提高了,因此攻
击者不会一味追求扩大攻击目标获取收益而导致
新漏洞/利用技术迅速失效。
最后,攻击被发现的风险成本。攻击被发现
的风险成本主要是法律风险。
攻击银行系统,在国内法律中有明确的法律
犯罪条文;但攻击个人用户,国内法律则定罪比
较松。在我们的调研中发现,针对网络服务器端
的攻击事件比较少,但针对网银客户端的攻击事
件比较多,也和攻击者衡量相应的法律风险成本
有关。
在收益中,攻击者对收益的预期是和其掌握
的信息相关的,边际收益是和具体的环境相关,
一个没有什么价值的主机如果处于一个有重要价
值的网络中,其边际资产价值也会得以提高,这
就是有些攻击行为是通过互联网控制网银办公管
理终端进而尝试突破其核心业务系统,这是往往
容易被忽略的问题。所以具体的成本和收益难以
精确估计,只能是个变动的范围。
一个网银系统是否实际上安全,从成本观
看,应该是攻击者的预期收益
以及实际收益都远小于攻击的平摊成本。从
理论上,网银安全只能是无限趋近,但不可能完
全到达。越趋近,银行方防护的成本也越高。
江常青:
任何一个系统都存在漏洞,这是
客观事实,因此我们常说“没有绝对安全”,网
上银行系统也不例外——没有绝对安全的网银系
统。漏洞是在系统具体实现和具体使用中产生的
缺陷,当缺陷能够被利用,并威胁到系统安全就
成为漏洞。漏洞可能最初就存在于系统当中,但
一个漏洞并不是自己出现的,必须要有人发现。
在实际使用中,用户可能会发现系统中存在缺
陷,而入侵者会有意利用其中的某些缺陷并使其
成为威胁系统安全的手段,这时人们会认识到这
个缺陷是一个系统安全漏洞。系统攻击者往往是
安全漏洞的发现者和使用者,要对于网上银行系
统进行攻击,如果不能发现和使用网银系统安全
漏洞是不可能成功的。
此外,漏洞是与时间紧密相关的。网银系
统从上线运行第一天起,随着用户的深入使用,
系统中存在的漏洞会被不断暴露出来,早先被发
现的漏洞也会不断被银行修补,或在以后发布的
新版系统中得以纠正。而在新版系统纠正了旧版
本中具有漏洞的同时,也会引入一些新的漏洞和
错误。因而随着时间的推移,旧的漏洞会不断消
失,新的漏洞会不断出现。漏洞也会长期存在。
C
N
I
T
S
E
C
班晓芳:在您看来,网银系统的漏洞体现
在哪些方面?
江常青:
如果我们把网上银行系统划分为
服务端、客户端和通信通道三个部分,目前各银
行在服务端开展大量安全防护工作:部署防护设
备,应用系统自身进行安全加固,银行内部加强
安全管理措施,但在安全功能、安全策略,特别
是安全实现上还有一定差距。各家网银的安全功
能和安全策略可以依据央行《网上银行安全通用
规范(试行)》等相关标准规范实施,但在网银
安全实现上可能会因为各家建设团队的安全开发
经验、安全风险意识、人员投入、资金投入等原
因造成较大差距,导致网银系统服务端出现安全
漏洞和隐患。
网银最容易发生问题的环节是客户端。客
户端用户群体庞大,安全意识参差不齐,很容易
被网银攻击者植入木马,而银行虽然有责任保护
客户端安全,但是其无法监控、纠正用户安全使
用电脑的习惯。因此,当前网银的攻防双方主要
班晓芳:从攻防的成本和收益角度看,您
认为网银安全的理想状态是什么样的?
江常青:
从某种程度上说,所谓安全,就是
攻击者所付出的成本远大于其预期收益。银行方
权衡自身的成本和收益,当成本大于收益,银行
也不会修补漏洞,提高安全性。因此安全就是成
本与收益的博弈,是攻击方和防守方风险管理能
力的博弈。从上述分析我们可得出,任何系统都
分为两种安全状态:已经被攻破和即将被攻破。
因此我们不能说发生安全事件的网银系统就不安
全,而未出过安全事件的网银系统就是安全的,
其差别是攻击者在权衡成本和收益后选择谁家网
银作为攻击对象且何时开始攻击。
网银系统有漏洞吗?
班晓芳:您认为,当前网银系统有漏洞吗?
42
/中国信息安全/
2011.08
焦 点
Focus
围绕客户端战场进行拼杀,黑客不断研究攻击网
银客户端的新技术、编制利用漏洞的新木马新病
毒,银行端不断创新客户端安全防护机制。国内
网银客户端越来越庞大,集中了越来越多的功
能,虽然不断的在使用各种新的安全技术,但是
由于国内网银往往采用第三方采购组件组合的模
式,采购的产品安全性参差不齐。同时在国内,
无论是银行开发队伍还是第三方厂商开发队伍,
基本都还没有采取良好的安全开发过程,因此即
使使用了再多安全技术,产品自身安全还是值得
担忧。
网银系统除了技术层面的漏洞,更多是来自
业务操作层和流程风险
漏洞。业务操作层典型
漏洞是网上银行业务柜
面操作人员办理USB-
Key密码解锁和挂失业
务时易出现的漏洞,网
银柜台开户漏洞等。流
程风险漏洞主要体现在
网银技术防护系统被攻
破后如何监控、如何响
应的漏洞。当前大部分
银行的反欺诈体系还不
健全,网银事件及时响
应能力较低。当网银安
全事件向团体作案、跨
境作案方向演变时,犯
罪团伙从通过钓鱼网站
盗取客户账号、密码,转账,分账到各地多个账
户,取现,基本上几分钟,最多十几分钟内就可
完成,而银行方从监控到欺诈到及时处理,由于
需要联合电信运营商、执法单位等外部多个部门
共同处置而造成的时间延误。
段和漏洞发现都具有动态性。作为防守方银行应
加强漏洞分析和风险评估工作,做到“知己知
彼”,才能实现“百战不殆”。建议采取以下措
施:
安全风险评估:继中国银监会2006年发布
《电子银行安全评估指引》之后,央行于今年又
出台了《网上银行安全通用规范(试行)》,
《规范》将作为网上银行系统安全建设、内部信
息安全检查和合规性审计的依据。各银行应定期
依据两个标准开展网上银行安全评估工作,从技
术、管理、业务等方面全面梳理查找网银安全漏
洞和隐患。
专项漏洞分析:网
银的安全问题越来越集
中在网银客户端,应能
够采取静态分析、动态
调式、源代码审计、
网银客户端专项检测。
通过专业的安全测试与
分析,及时发现自身产
品中的安全漏洞,加以
修复,降低安全风险。
加强供应链安全
控制:各家网银大多由
众多IT厂商提供的产品
组件组合而来。厂商组
件的安全问题可能会引
起多家金融机构的安全
问题形成扩大效应。而且由于IT厂商缺乏安全意
识与能力、很难在安全漏洞曝光并被攻击着利用
后给予及时的响应和处置。因此加强对IT厂商产
品的安全控制则非常重要。应该通过安全能力考
查,安全响应承诺,产品交付的安全验收,来逐
步提高厂商的安全意识与能力,最终保证信息技
术产品供应链的安全。
外部攻击监测与评估:由于网银系统运行
于不可信的互联网环境中,应时刻掌握针对网银
系统的外部威胁攻击态势,银行方应开展针对网
银的钓鱼网站、网银木马、网银病毒等外部攻击
源、新型攻击技术的监测与评估工作。
FUZZ测试等技术开展
银行如何应对针对网银的攻击?
班晓芳:在此消彼长的攻防对抗中,银行
怎样才能立于不败之地?
江常青:
安全就是攻防双方持续的较量。
攻击者在暗处,防守者在明处,攻防双方似乎总
是“道高一尺,魔高一丈”,攻防双方的攻击手
2011.08
/中国信息安全/
南北朝钱币
43
C
N
I
T
S
E
C
版权声明:本文标题:从攻防角度看网银安全——访中国信息安全测评中心江常青副主任_ 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/p/1711027056a584751.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论