知道创宇云安全2.0 | 互联网金融行业阳光发展还需要一个安全解决方案
一刻也不能松懈!黑客、羊毛党、刷客和骗贷者,都紧盯互联网金融这个多金的领域。
自2014年以来,互联网金融连续5年被写入政府工作报告中,从最初的“野蛮”发展回归理性,再到目前的合规合法。不难看出,互金行业的发展受到政府甚至整个社会的重点关注。
在行业逐渐走向合规的过程中,数据安全、业务安全成为了行业发展所关注的重点之一。其多金的属性和背后庞大的、有价值的社会信息都让其常年被列入黑客圈头号目标名单。
1月,国家互联网金融安全技术专家委员会发布了《“全国互联网金融阳光计划”第二十七周-互联网金融网站漏洞分析报告》,(以下简称《报告》)指出:“目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。“
一般来说,互金行业会遇到以下几个方面的网络安全问题:
DDoS攻击
DDoS攻击几乎成为笼罩在每个行业的阴霾,互金行业更无法幸免。当下国内外大批传统金融机构正在遭受DDoS攻击的困扰,包括荷兰央行、希腊央行、马尔代夫央行等众多国外银行官网都被DDoS攻击导致瘫痪,此外,互联网金融行业正在承受较传统金融更大的DDoS攻击困扰,其中,第三方支付是非常典型的领域,一番支付接口遭受DDoS攻击,业务连续性受影响,造成的是直接的且无法挽回的经济损失和客户流失。
数据泄露
常见的黑客攻击会利用互金平台业务逻辑漏洞对账户、交易和支付三个体系集中攻破。影响全球金融业的“SWIFT惊天银行大劫案”、震惊全国的银行行长出售征信查询账号导致大量个人信息泄漏的“5·26侵犯公民个人信息案”等,每一次攻击都是一场浩劫。《报告》中针对1500多家互联网金融平台网站的监测分析数据发现,高中危漏洞占比超过50%。其中,跨站脚本漏洞在每年的OWASP TOP10中一直名列前茅,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。一般而言,利用跨站脚本攻击,攻击者可窃取会话COOKIE从而窃取网站用户的密码等隐私数据。其次是SQL注入漏洞,攻击者可在易受攻击的系统上执行任意SQL语句,损害数据库的完整性和暴露敏感信息。
欺诈作弊
在信贷审核环节,借贷用户通过虚假信息、冒用身份、机构代办等方法恶意骗取贷款;一些恶意用户利用各个平台进行多头借贷,更有欺诈团伙组团骗贷,给互金平台造成逾期率不断攀升,增加平台资金流失的风险。
一些比较成熟的互金企业已经逐渐建立了自己的安全防御机制,在攻击难度和成本增加的情况下,黑客往往会将目标瞄准那些成长型互联网金融公司。由于缺乏安全资源:安全部门、投入预算等,这类企业被黑客“拿下”的概率很高。每个企业的业务架构不尽相同,如何清晰地了解自身安全建设水平,采取有针对性的安全方案,保障金融平台安全、移动安全成为每个处于成长期的互金企业需要思考的问题。只有建立起安全防御,才能为企业在互联网的风暴中的健康发展争取优势。
而这一点,也正是知道创宇所关注的。如何利用10多年来的黑客攻防经验和数据、能力的积累来帮助包括互联网金融在内的网络攻击“重灾“行业建立起完善的安全壁垒?基于用户需求和场景去优化产品,以及结合本身的安全能力为行业定制个性化安全技术解决方案。
在历经数次版本优化和安全迭代之后,知道创宇云安全团队推出了全新的互联网金融安全解决方案,并在云安全2.0升级战略发布会上同步上线。意在帮助企业抵御多种恶意攻击。此外,通过大数据日志联动分析,实时情报监控,降低金融欺诈风险,提高互联网金融行业安全信誉。
互联网金融整体安全架构图
聚焦行业所遇到的安全问题:1、帮助企业全面防御所有类型的DDoS威胁,保障交易正常进行,高可用,高可信和高可靠;2、抵御黑客攻击导致的数据泄露,预防撞库盗号,暴力破解,保障P2P交易平台及支付服务安全;3、检测篡改金额等业务逻辑漏洞,通过进行真实业务流程测试,发现业务逻辑风险和漏洞,避免授权绕过、篡改金额、请求重放等漏洞,降低危害业务安全风险;4、识别恶意注册等黑产行为,准确识别羊毛号和批量小号,避免恶意分子通过注册机、虚假手机号等方式批量注册、抢红包套利、欺诈平台借款。保障金融平台安全、移动安全,解决业务安全问题。
