以金融为例漫谈APT防御.pdf

以金融为例，漫谈APT防御 曹岳 国家信息技术安全研究中心 主要内容 一、金融安全态势 二、从几个实例看 三、APT攻防之道 整体安全态势 • 从银行抽查情况来看：安全性整体较好 • 工、农、中、建等24家银行同比安全性较好 • 认证体系基本完善，技术应用世界领先 • 系统防护体系趋于成熟，防护能力较高 • 风险控制体系逐渐形成，安全防护纬度多 • 政策监管在加强，管理层安全意识强 整体安全态势 • 从高强度渗透测试来看：大规模网络攻击风险 • 远程漏洞监测，20% 以上的银行高危 • 逻辑错误、权限绕过、信息泄漏等业务系统高危漏洞时有发生 • 从国家信息安全战略来看：挑战严峻 • 国产率较低，自主可控压力较大 • 系统复杂、防护滞后、安全动态变化、科技风险集中 • 黑色产业趋利化、集团化、跨境化 • 相关法律法规、信用体系仍待完善 电子银行漏洞监测 • 安全态势监测对象： 中心抽样检测的对象覆盖全部的七 大类银行，包含全部的国有大行、股份 制商业银行，部分的城市商业银行、农 村商业银行、农村合作银行、三类新型 农村金融机构及外资银行。 各区域被检测银行数量与银行总数 比例大致为1:2 （不完全）。 电子银行漏洞监测 漏洞分类及受影响银行数量统计 80 70 67 64 60 50 40 40 26 30 22 16 20 11 8 4 2 3 7 10 1 1 0 • 2014年4月至5月，国内银行网站安全状况整体评价等级为中。主要数据 如下： – 本次共检测154家银行的官方网站，发现35家存在高危漏洞，占总数的 23% ；35家存在中危漏洞，占比23% 。 – 2014年4 月至5月存在高危和中危漏洞的银行数量占监测总数比为45% ，比 2014年1月至3月环比上升19%。 – 漏洞攻击手段呈现多样化特点，包括但不限于终端、支付接口、会员系统、邮 箱系统、网银伴侣甚至微信公众号银行官方网站、自助等都易成为攻击对象。