2017 年网络安全形势预测：金融领域攻击者利用区块链技术中的漏洞发起攻击 - Palo Alto Networks

2017年2月1日星期三

本文为连载中的有关 2017 年网络安全形势的系列博文之一，旨在对“可能性极高的事件”（几乎必定会发生的预测结果）以及“可能性极小的事件”（发生可能性不高的预测结果）进行研究。

今年，金融服务行业出现了一些值得注意的网络安全事件，包括数家 SWIFT（环球同业银行金融电讯协会）成员银行的盗窃事件，以及亚洲地区出现恶意软件感染 ATM 事件。展望 2017 年，我预测在金融服务行业将呈现出以下网络安全趋势。

可能性极高的事件

公共云日益普及 – 金融服务业是公共云计算面前的最后一片全新领域。多年来，由于信息安全问题人们一直认为公共云不会在金融服务行业普及，而如今该行业已开始逐渐采用公共云。Amazon Web Services (AWS) 和 Microsoft Azure 已宣布多家金融机构客户选择使用其公共云服务。在 2016 年，许多组织开始着手于概念验证的执行、测试和评估，同时密切关注着相应的网络安全实践。在 2017 年，这其中将有大量的机构最终选择采用公共云执行工作负载计算。最初，可能采取的方式包括通过应用程序处理较不敏感的数据。虽然金融服务行业中仍存在一定阻力，但其必将日趋减少。公共云计算能提供敏捷性、可扩展性和成本效益性，其吸引力是无法抵抗的，尤其是安全性可以构建到解决方案中，而无需进行额外的接合。

多重身份验证的普遍使用 (MFA) – 正如我们最近在数起发生于多家 SWIFT 成员银行的欺诈性交易中看到，合法的登录和密码凭据通过某种方式被盗取并用于启动资金转账。这种基本的身份验证技术易于受到侵害并允许账户劫持 (ATO) 攻击。金融机构将最终予以重视，并采用更稳健的 MFA 技术 – 至少在内部用于关键应用程序和敏感数据，当然还包括特权账户，如根账户和管理员账户。虽然并非所有的 MFA 技术均以同样方式创建，但任何形式的该技术都能够创造一个网络攻击者无法轻松逾越的新屏障。MFA 技术基于提供凭证，应至少包含以下两种凭证：
- 用户已知的凭证（例如登录名/密码、PIN 码）
- 用户拥有的凭证（例如一次性密码令牌、手机）
- 用户的生物特征（例如指纹、视网膜扫描）

可能性极小的事件

零信任网络的广泛实施 - Forrester Research 于 2009 年首次引入零信任 (ZT) 模型，但截至 2016 年年底，该模型仍未得到广泛实行。从概念上而言，将流量限制为仅限网络各部分之间的已知、合法流量，其所带来的信息安全价值是无可辩驳的。任何恶意活动都将受到最近的分段网关的约束。然而，零信任模型中还存在以下难题：难以完全识别合法的流量模式（包括初始和永久）；需要跨多个领域（例如 IT、安全、业务）的必要合作；潜在的业务中断，特别是在棕地环境中。尽管如此，金融机构仍会逐渐接受将零信任用于其网络中，并且 2017 年将会见证一些重大进展。要实施零信任，首先要从网络分段开始，限制从各个环境的较敏感部分中流入和流出的流量。采取这些措施将能够在遭到侵害后限制暴露水平和横向移动。归根结底，问题在于金融机构在自己的网络内实施零信任的力度有多强。

区块链带来了新的攻击载体 - 区块链技术在金融行业内继续受到广泛关注。与比特币相比，区块链更为强大，后者作为一种分布式账簿技术正被考虑用于支付处理、贸易结算、虚拟钱包等。除初创企业以外，传统金融机构也在作出积极努力，务求掌握这一技术及其对组织可能带来的影响。区块链的好处包括更大的便利性，以及由于免去了中介机构的参与而能够减少跨境支付、证券交易和结算的成本。其他好处还包括为合规官、审计师和监管机构提供更好的透明度和审计跟踪。虽然出发点是好的，且区块链技术已采用密码学和不变性的内在机制，但这一技术在金融行业的早期采用者们仍会导致产生新的攻击载体。恶意执行方将发现区块链技术实施在未成熟阶段中的漏洞，并在 2017 年通过利用这些漏洞对金融交易的安全性和机密性造成破坏。对区块链安全性的担忧也引出了下一项预测。

通过合作竞争带来更好的结果 – 金融科技初创企业继续对金融机构发起挑战，抢占客户钱包份额。金融科技初创企业能够为银行业和投资群体带来低成本和创新方法。然而，他们往往缺乏品牌知名度，难以获得大型客户群体，也缺少监管事务方面的经验。从另一方面而言，传统金融机构固然具备这些素质，但往往缺乏创新方面的敏捷性和能力。传统金融机构正尝试利用云计算来清除一些阻力，有些机构甚至推出了自己的（自主）金融科技系统。也有一些传统金融机构开始与金融科技公司合作，通过技术联姻的方式整合两个子领域的核心竞争力。在 2017 年，想要在可扩展性、企业架构、网络安全等方面创造企业级的创新解决方案，这种方法很可能是最佳途径。最终，这一方法能为我们带来更低成本的金融产品或服务以及更好的客户体验，同时还完全符合安全性、稳健性和法规遵循性要求。

你对金融服务行业的网络安全形势作何预测？请在评论中分享你的想法，同时敬请关注本系列的下一篇博客文章，我们将在此分享对欧洲、中东和非洲的网络安全形势预测。