某年某月某日，幾名蒙面大漢沖進(jìn)一家銀行，一聲槍聲響起。其中，一名劫匪對銀行柜員大喊：“把所有錢都交出來！”

銀行工作人員一副生無可戀的表情：“先生，不好意思，所有的錢剛才被一個(gè)黑客轉(zhuǎn)走了?！?/span>

這可以是一個(gè)故事，也可能是現(xiàn)實(shí)。

今年2月，第一個(gè)利用SWIFT（環(huán)球銀行金融電信協(xié)會）系統(tǒng)進(jìn)行網(wǎng)絡(luò)金融盜竊的攻擊事件被發(fā)現(xiàn)，攻擊者成功從孟加拉國央行盜取8100萬美元。今年5月，兩個(gè)新的攻擊事件浮出水面，最終兩個(gè)事件都被證實(shí)發(fā)生在2015年底，在其中一起事件匯總，黑客設(shè)法從厄爾多爾銀行成功盜竊了1200萬美元，另一起事件中，黑客試圖從越南先鋒尹航盜竊136萬美元，但最終沒有成功。

被發(fā)現(xiàn)的這種攻擊事件遵循相同的模式，黑客攻破了銀行的內(nèi)部網(wǎng)絡(luò)，并搜索SWIFT系統(tǒng)相關(guān)信息和銀行職員的操作憑證，然后試圖將錢從銀行的賬戶進(jìn)行轉(zhuǎn)移。

SWIFT已經(jīng)意識到這個(gè)問題的嚴(yán)重性，并強(qiáng)烈建議銀行升級信息系統(tǒng)。

SWIFT是國際銀行同業(yè)間的國際合作組織，目前全球大多數(shù)國家大多數(shù)銀行已使用SWIFT系統(tǒng)，我國有涉外業(yè)務(wù)的大型銀行多數(shù)也使用SWIFT系統(tǒng)。

SWIFT以安全、可靠、快捷、標(biāo)準(zhǔn)化、自動(dòng)化的通訊業(yè)務(wù)著稱，為什么突然它就變得不安全了？

在綠盟科技Security+2016金融信息安全峰會上，雷鋒網(wǎng)對綠盟科技金融事業(yè)部技術(shù)總監(jiān)徐特就這一話題進(jìn)行了專訪。

徐特發(fā)現(xiàn)，針對銀行業(yè)的APT攻擊越來越常見了，而利用SWIFT攻擊孟加拉國央行的案例就是一起典型的APT攻擊。

所謂APT攻擊，即高級持續(xù)性威脅，利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，APT在發(fā)動(dòng)攻擊之前需要對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。

針對孟加拉國央行的詳細(xì)攻擊流程如圖所示：

其實(shí)SWIFT已經(jīng)算是銀行“內(nèi)網(wǎng)”了。徐特發(fā)現(xiàn)，這對針對“內(nèi)網(wǎng)”的攻擊越來越多。

但是，這個(gè)“內(nèi)網(wǎng)”一直是我們熟知的內(nèi)網(wǎng)嗎？

以某家銀行為例，如果覆蓋面積達(dá)到幾百臺、幾千臺，甚至幾十萬臺主機(jī)，囊括全國各地網(wǎng)點(diǎn)，員工幾十萬人，如果都使用銀行內(nèi)網(wǎng)，這種情況下，銀行的“內(nèi)網(wǎng)”已經(jīng)不算內(nèi)網(wǎng)了，何況還有其他技術(shù)供應(yīng)商可能接觸到這個(gè)網(wǎng)絡(luò)，雖然是外圍權(quán)限，也讓這個(gè)網(wǎng)絡(luò)變得十分不安全。

那么，針對一家銀行內(nèi)網(wǎng)的APT攻擊如何發(fā)生？徐特認(rèn)為，攻擊者有很多渠道可以“潛入”。

徐特舉了個(gè)例子。

之前有一座城，守衛(wèi)城池的方式是筑起高墻厚壁，再做得多一些的就是構(gòu)建“甕城”——有多重防線，但這種安全防守過于依賴邊界，如果通過狗洞、地道等進(jìn)入，很難被發(fā)現(xiàn)。

就像現(xiàn)在銀行業(yè)的“安全防護(hù)”，構(gòu)筑了“城墻”捍衛(wèi)，一般的蠕蟲、病毒、威脅等其實(shí)無法造成強(qiáng)大的攻擊，現(xiàn)在遭遇的最大的威脅是“一個(gè)一個(gè)高水平的攻擊者”，即安全威脅在逐漸升級，從以蠕蟲病毒、拒絕服務(wù)攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統(tǒng)威脅升級到以0Day攻擊、多態(tài)及變形等逃避技術(shù)、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅。

以外圍系統(tǒng) 、測試環(huán)境的機(jī)器作為跳板，攻擊者可以用這些“主流”方式攻擊——

1.發(fā)送各類釣魚郵件，獲取相關(guān)操作人員的賬號和密碼；

2.通過網(wǎng)絡(luò)嗅探、漏洞掃描等截獲數(shù)據(jù)包，由于有些系統(tǒng)的密碼使用明文傳輸，可以直接獲取帳號，如OA系統(tǒng)，也可以看到一家銀行的組織結(jié)構(gòu)，鎖定目標(biāo)人物，進(jìn)行定向滲透；

3.撞庫，通過社工庫等獲取關(guān)鍵人員的家庭住址、外網(wǎng)郵箱等；

4.針對業(yè)務(wù)系統(tǒng)的攻擊，繞過登錄系統(tǒng)，直接獲取操作權(quán)限。

惡意代碼自動(dòng)化的行為變成人為行為，攻擊變得更“聰明”后，要想構(gòu)建安全，要注重“塔防”——和玩游戲打怪一樣，預(yù)測不同怪的進(jìn)擊路線，在可能的攻擊路線的關(guān)鍵節(jié)點(diǎn)布置不同的守衛(wèi)和攻擊工具，策略性地進(jìn)行防衛(wèi)和攻擊。

目前很多銀行都在關(guān)鍵點(diǎn)上有所部署，依然有幾個(gè)嚴(yán)重問題：

• 很多安全設(shè)備并沒有進(jìn)行很好的使用，因?yàn)椴⒉痪邆涓呒寄苋瞬胚M(jìn)行操作；

• 對于可能的攻擊路徑，沒有形成網(wǎng)絡(luò)式防護(hù)；

• 防護(hù)難以跑過攻擊，加入黑客和安全專家同時(shí)發(fā)現(xiàn)了漏洞，黑客的步驟是：發(fā)現(xiàn)目標(biāo)——編寫惡意代碼，制作攻擊工具——實(shí)施攻擊，這個(gè)過程只需要幾小時(shí)到幾天；但安全專家需要研究漏洞原理，設(shè)計(jì)安全策略——根據(jù)盒子特性，設(shè)計(jì)升級包——分發(fā)升級包，升級盒子功能——正確應(yīng)應(yīng)安全策略，實(shí)施安全防護(hù)，有些漏洞的處理時(shí)間以“年”計(jì)；

• 日志繁雜亂，極容易誤報(bào)、漏報(bào)、人為忽視。

還有一個(gè)問題是，銀行業(yè)對此的策略是“防護(hù)、監(jiān)測、響應(yīng)”，但是，對于防護(hù)投入的比重過高，輕視了監(jiān)測和響應(yīng)。

這也是為什么，在2015年底，綠盟科技協(xié)助客戶發(fā)現(xiàn)了一起針對證券業(yè)的可怕的APT攻擊。

他們在多家證券基金行業(yè)客戶現(xiàn)場發(fā)現(xiàn)了一個(gè)活躍的木馬，這一木馬已經(jīng)活躍10年之久，感染規(guī)模還不小，確認(rèn)感染主機(jī)數(shù)百臺，行業(yè)內(nèi)數(shù)據(jù)被大量竊取。

徐特建議，從單層防護(hù)到立體防護(hù)，監(jiān)測和響應(yīng)要更平衡，好的組織結(jié)構(gòu)安全構(gòu)建應(yīng)同時(shí)實(shí)現(xiàn)保護(hù)、監(jiān)測、響應(yīng)、反擊、協(xié)作、聯(lián)網(wǎng)。

具體應(yīng)該進(jìn)行哪些部署？金融業(yè)安全是否還會面臨新的威脅和挑戰(zhàn)？雷鋒網(wǎng)將繼續(xù)跟進(jìn)，進(jìn)行后續(xù)報(bào)道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。