两个月前,由央行牵头组建的中国互联网金融协会挂牌。
被称为“史上最严”的入会门槛上,其中一项规定是,入会公司必须达到相应的技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。
这说明,互金安全已被提到了一个战略高度。让人担忧的是,安全现状并不让人乐观。
互金行业发展急速,安全却没有跟上速度。安全人员在互金公司地位较低,公司安全投入少,或直接没有。
几年来,互金成为黑客们最喜欢宰割的羔羊,大量用户数据外泄,流入黑市中,甚至形成千亿级别市场。
1互金重灾区
在2015年初,一则新闻引爆了互金圈。
18岁黑客叶某利用自编的黑客软件,通过互联网批量提取客户银行卡信息,并通过网上中介转卖,一些不法分子再利用这些银行卡信息,在网上大肆盗刷或转账,涉案金额高达14.98亿多元。
案件绝非个案。
2013年,网贷平台的兴起,标志着互联网金融的全面觉醒。互金公司聚集了大量用户的金融信息、流动资金,就像一块金光闪闪的肥肉,成了黑客重点攻击的目标。
比较具有代表的事件是,2013年8月,翼龙贷遭受到黑客攻击,据知情人士透露,当时发起攻击者提前联系到相关负责人员,索要10万元的安全费用。
据可查询的报道,2013年,国内就有近70家网贷平台,因为黑客事件宣布关门。
2014年,情况越发严峻。
7、8月份,一百多家P2P公司遭到黑客攻击,损失惨重,光是深圳、浙江两地就有20多家跑路。
2014年春节前夕,拍拍贷、好贷网、火币网等多家P2P网贷平台遭黑客攻击,平台页面无法打开,致使投资人无法登录平台投资和提现。
平台负责人随后收到黑客几千元至几万元不等的敲诈信息,80%的P2P平台都会答应其要求,破财消灾。
特别有意思的是,2014年1月9日新闻发布会当天,P2P平台大佬人人贷刚刚对外发布获得1.3亿美元的投资,时隔不到两个小时,其官方微博就发布了被黑客攻击的告示。
黑产猖獗可见一斑。
仅在2015年一年,中国网民因信息泄露问题,导致的损失是805亿人民币——这只是对外公开的可查数据。
2黑产链条
四叶草安全的CEO马坤称,中国大概80%甚至90%以上的企业是没有做过安全的。
互金领域的安全现状,则更为糟糕。青藤云安全的CEO张福与互金公司持续两年的合作中,发现这个行业的安全不乐观。
张福在接受一本财经专访时称,一家P2P排行榜上前十名的公司,声称安全“八道防护”,确保用户信息安全。
可实际情况是,公司只有5名安全人员,至于安全工具和软件,居然只有一个价值几万的抗D防火墙(抗击DDoS攻击的防火墙,算是最最基础的防黑措施)。
简单换算一下,5个安全人员的月成本大概为10万,加上抗D防火墙和其他一些安全开支,一年大概花在安全的成本,仅有150万左右。
这还是一家排名靠前的公司。
另外一家纳斯达克上市公司背景的P2P,在国内名气很高,张福发现该公司居然任何安全措施都没有,处于“裸奔”状态。
这意味着,只要黑客试图入侵,“搞一次成一次”。
事实上,见诸报端的黑客攻击事件,只是冰山一角。大部分的攻击事件,都是隐秘进行,不着痕迹。
即使用户信息和数据,已在黑产链条中被洗劫多次,互金公司也浑然不觉。
黑产的庞大、严密,已远超大家想象。据不完全统计,目前地下黑产已有一千亿的市场。而从互金公司盗取的数据,是质量最为优质、性价比最高的。
数据包括了卡号、密码、名字、身份证,也包括了互金公司的登陆账号。黑客从互金公司盗取的用户数据,一般会进行3轮“清洗”。
第一轮,黑客会尝试直接用账户信息登录、转账。
如果第一轮不太成功,黑客会尝试诈骗,给用户定向发送信息和邮件,让他们往一个指定账户充值或提现。
等到洗劫一空后,他们还会将信息卖给互金的“竞品”或“对手公司”,一条信息的价格大概是几块钱。
通常,一帮黑客的进攻行为,都是有组织,有预谋的。最为常见的,就是对手公司派过来的。
曾经有一个互金公司遭遇到这么一个事件:每个在他的平台上注册的用户,都会在半个小时后接到对手公司的电话,让他们注册对手公司的账户,返现或利息都比前一家公司高出很多。
这是商场竞争中常见的手段。
除此之外,将对手平台的用户数据,盗取后公开,这样的打击也是致命的。有利益的地方,就会有斗争和罪恶。
3安全现状
实际上,互金公司现有的安全现状,就连入门级别都算不上。这也难怪黑客趋之若鹜。
做到及格的程度,起码需要一家互金公司一年300万,持续5年投入。
比较一下传统的金融机构的现状,一般一年的安全投入是600万到3000万,还不算人力成本。
比如说招商银行和华兴证券,其每年的安全投入都是千万级别。然而互金圈目前的现状是,年投入过百万,已算相当好的了。
实际上,在国家屡次强调安全,互金协会甚至作为硬性门槛之后,互金圈对安全已开始重视起来。
但问题是,即便重视,这些互金的老大们,却完全不知道如何布局安全。
他们似乎陷入了一个怪圈,以为有了安全团队,就不会出问题,导致安全团队压力很大。
实际上,安全人员在公司地位不高,可调动资源有限,就连申请个安全投入的预算,都举步维艰。平时啥都干不了,只能做最底层的活,找找漏洞,或者,出事之后救火。
救得下来也就算了,救不下来,还得担责。在不受重视和超强压力下,互金圈的安全人员,普遍活得挺憋屈,态度变得倦怠,行业现状更是雪上加霜。
安全狗的CEO陈奋称,一味的补漏洞,根本不够高明。
“我觉得,漏洞是整个安全领域的冰山一角,却只是其中很小的一个方面”,陈奋说,对于企业安全来说,除了漏洞外,还包括配置上的风险,能源组织架构上的风险,资产的安全管理等多方面,是一个完整的体系化。
另外,互金公司负责人对安全投入的认识不够,他们衡量不了,应该投入多少。
“并不是投入越多就越好”,张福针对这种现状,提出了一个解决方案。
任何一家公司,都要定制最匹配的安全策略和规则。第一步,就是找到自己的核心资产。
对于互金公司来说,最核心的,无非是“资产”和“用户数据”。那么,将有限的资源投入到核心资产的保护上,才是最有效的途径。
张福举了一个例子,比如为了保护一个贵重的物品,主人买了最牛逼的防盗门和锁,也不一定拦住小偷——因为他们也可能爬窗,或从其他门进来。
那最保险的方式,就是找两个保安,24小时轮流看守这个宝物。
“从核心资产,再往外衍生”,张福说,这就是安全的第一步,自内而外的搭建适合自己的安全体系。
因为互金公司发展急速,因此,随时根据系统的迭代升级,因此,四叶草安全CEO马坤提出:“唯快不破,迅速找到突破点在哪。”
马坤曾经尝试,在10万台主机里面,用两天时间查出问题所在,企业100号人都上了,也搞定。所以,安全产品需要流程化、产品化,才能迅速发现问题,以不变应万变。
除了形式上的具体方案,最为本质的,还是行业安全觉悟的提高。
这种情况,极验验证的CEO吴渊也感同身受。
很多黑客会采取机器或小工具批量注册,极验验证的方式,就是通过拖动滑条进行验证,相当于安全的第一道闸门,将人和机器区别了开来。
互金的公司,也是吴渊的重点客户,他也觉得,这个行业的安全问题极为严峻。“行业发展太快,安全措施还没有跟上”。
“其实解决这个问题,最根本的,是对安全的教育”,吴渊称,尽管这很重要,但要完全解决,却并不容易,因为安全的产品分为不同的领域,每个功能完全不同,需要把教育和产品打个组合拳,并不容易。
“安全很大一部分的问题是在于人的问题”,安全狗的CEO陈奋说认为,解决人的意识问题,是核心。
行业共识是,未来安全行业将全面爆发,但产生量变的引爆点,却与市场教育息息相关。
欢迎关注金融科技第一深度新媒体“一本财经”↓↓↓
