導航指引

首頁>>市場動向

滬港通令券商成為攻擊目標 提升交易系統安全性急不容緩

發佈時間1/28/2015  作者:Cisco   來源:Cisco


「滬港通」正式啟動,不少券商均投放更多資源,將現有交易平台系統升級,包括結算、客戶管理及帳目系統,以及手機應用程式等。但金融交易系統時常都成為不法分子攻擊的目標,在進行系統開發時,究竟怎樣才可以保障業務和客戶在系統上的安全?

入侵事件簿

金融機構被攻擊並非新事,2013年5月拉斯海瑪國家銀行 (National Bank of Ras Al-Khaimah) 及阿曼馬斯開特銀行 (Bank Muscat) 就被竊取簽帳卡用戶資料。2014年4月日本16家網路銀行 13,000個帳號和密碼被盜,在三菱東京UFJ、郵政銀行和樂天銀行有戶口的受害者的存款被盜。香港方面,香港電腦保安事故協調中心 (HKCERT) 資料顯示在2014年頭 9 個月,共錄得超過 2,500 宗保安事故報告,比去年同期大增 1.5 倍,其中殭屍網路 (Botnet) 及釣魚 (Phishing) 攻擊事故佔當中的 74%。

金融平台受到「青睞」

金融交易平台保存著龐大的客戶數據和資金交易額,而這些數據實際上就意味著金錢,對黑客是巨大的誘餌。部分交易平台安全性能薄弱,黑客可輕而易舉突破防障,侵入系統取敏感資訊,或直接攻擊進行勒索。以中國的 P2P 網貸平台為例,常見的四種攻擊手法是透過殭屍網路進行 DDoS 攻擊、CC攻擊、TCP 全連接攻擊和 Web 伺服器多連接攻擊。

DDoS 攻擊

DDoS 攻擊又稱為分佈式拒絕服務 (Distributed Denial of Service),通過使網路超出正常負載,來干擾甚至阻斷正常通訊,並向伺服器提交大量請求使其超出負荷。常見的DDoS 攻擊有SYN、UDP 和 ICMP flood 幾種。採用的是半連接攻擊方式,令伺服器誤於以為有大量未建立好的連線,從而消耗伺服器資源。

CC攻擊

CC (Challenge Collapsar) 攻擊是一個應用層的DDoS,發生在 TCP 的三次握手完成後,所發送的 IP 位址都是真實的,但應用層的 DDoS 比網路層的 DDoS 更可怕,幾乎所有的商業防 DDoS 設備,只在對抗網路層 DDoS 時發揮效果,對應用層 DDoS 攻擊卻缺乏有效手段。目前常見 SYN 與 CC攻擊相結合,不僅消耗頻寬,也拖垮伺服器,令攻擊的複雜性更加難以檢測、確定和防禦。

TCP全連接攻擊

TCP全連接攻擊和SYN攻擊不同,攻擊採用完整、合法的連線請求,因此防火牆一般都無法過濾掉這種攻擊。這種攻擊在現在的 DDoS 中很常見,有 UDP 、 SYN,甚至 TCP 攻擊,都是針對伺服器的常見流量攻擊。

Web 伺服器多連接攻擊

Web 伺服器多連接攻擊,通過被殭屍網路控制的大量電腦,同時連線到網站令其癱瘓,這種攻擊和正常存取網站時一樣,只是瞬間訪問量增加幾十倍或幾百倍。防火牆可以通過限制每個連接過來的 IP 位址連接數來防護,但這樣正常用戶稍微多打開幾次網站也會被封。黑客於金融網站的攻擊,也許是在明修棧道暗度陳倉,一邊攻擊網站,一面尋找網站系統漏洞進行滲透、注入和竊取敏感資料。對網站而言,金錢損失反而是其次,一旦用戶、交易資料洩露,便影響網站信用,這才是最大的損失。

手機程式的安全性

金融機構推出越來越多流動Apps,但如果 Apps 在與後台的資料傳輸過程中未施以合適的傳輸層保護,便容易被揭露或攔截使用,或者被中間人以攻擊手法(MITM)介入交易過程,造成交易資料的外洩、變造和濫用。部分Apps 在與後台溝通時,會將身份鑑別與授權內容綑綁流動裝置的UDID或IMEI,當裝置遺失時便會有風險。如果流動裝置本身透過NFC或其他無線感應方式之交易,就有可能被空中攔截,因為沒有 Session 管制,使攔截資料可以再次被使用。

釣魚手段

Apps用戶端可以輸入資料,如同以往網頁應用程式,一樣會存在釣魚和惡意程式(Malware) 的安全疑慮。另外也可能由QR 碼、NFC、藍芽等傳入有攻擊意圖的資訊包 (Payload) 或檔案。在掃瞄 QR碼、NFC、藍芽時,透過交換讀取資訊進入裝置,亦可能從不受信任的來源帶入不安全的資訊,而導致入侵或資料外洩。例如 SMS 的金融詐騙短訊,其URL 會被引導去安裝惡意APK檔。

思科3招提高交易系統安全性:

  1. 進行網路架構檢視、網路活動檢視、網路設備、伺服器及終端機等設備檢測。
  2. 針對上述之各安全攻擊手法場景進行模擬的應變演練。
  3. 思科擁有資訊安全團隊、並一直培育技術人員,及對外判項目廠商作定期安全性評估。

思科遠程辦公室方案

由思科的Guard和Detector組成的DDoS攻擊防禦方案,可有效地減輕或消除目前流行的各種DDoS 攻擊。只要通過對資料比對,便可找出正常流量模式、行為與協議執行情況,發現並阻止惡意流量,而不影響合法的網站用戶。Guard和Detector 防護器作為一個資源共享的設備,可以根據需要動態地,保護網路中的網絡設備資源和伺服器,誰被攻擊就去保護誰,既可保護客戶的伺服器,又可保護客戶的連線頻寬服務保持流暢。

 

【返回】【返回頂部】