就在去年,還只有極少數人聽說過環球銀行金融電信協會(swift)。該組織的標準化資訊格式,被採納為銀行間金融轉賬的全球標準;相關軟體和訊息網路,驅動著今天大多數的國際銀行轉賬,每年產生的金融訊息超50億條。然而,這並不是大多數人聽聞swift的原因所在。
近些年,利用或入侵swift應用的網路攻擊和欺詐頻頻見諸報端。2023年,孟加拉央行和紐約聯邦儲蓄銀行便涉入一場淨值1.01億美元的網路劫案——其中大多數資金都未追回。若非其中一筆交易出現拼寫錯誤引發質疑,另外8.5億美元恐怕也會被盜。隨後,對swift網路的攻擊此起彼伏,越南、厄瓜多尔、烏克蘭都發生了此類事件,不過大多數受影響銀行和國家都未公開事件。
攻擊策略在進化
對支付系統的攻擊,包括對swift的攻擊,都不算新鮮。金融機構從一開始就在與欺詐和盜竊作鬥爭,攻擊者則緊跟技術發展,利用一切可以利用的漏洞。
數年前,攻擊者選中的策略,是入侵使用者電腦,然後以該使用者的名義提交虛假金融交易。這讓銀行惡意軟體和遠端訪問木馬(rat)的流行,成為了金融機構的主要關注點。儘管這些策略依然留存,也是對個人、公司和銀行的乙個威脅,對這些威脅的認知,已經導致了更好的防護和罪犯成功率的下降。
不過,攻擊者也是越戰越勇的型別,他們開始改變策略,從對使用者終端的攻擊,轉變到對驅動銀行系統本身的應用和網路的攻擊。除大量資金被盜外,孟加拉央行攻擊事件的重點,在於攻擊者使用的攻擊方法。除了利用從授權使用者處盜得的憑證,攻擊者還安裝了惡意軟體以在支付系統中形成駐留。
舉個例子,有系統負責所有交易的列印,那麼所有交易記錄必然會有乙份影印件拷貝。為規避記錄,攻擊者禁用了該過程,讓自己的虛假交易不會出現在列印件裡。越南網路劫案中,攻擊者修改了用於跟蹤swift轉賬的pdf閱讀器,讓虛假轉賬不顯現。
除了阻止交易記錄列印,攻擊者還將惡意軟體安裝到託管著swift網路管理和連線軟體集 swift alliance software 的伺服器上。 該惡意軟體可以解密各種配置檔案,搜尋特定條款,然後繞過驗證檢查,規避交易被發現的風險。
很明顯,此類攻擊正演變得越來越複雜,他們正將攻擊堆疊向底層移動,從終端使用者,移動到之前尚未觸及的銀行系統和安全措施上。
swift alliance software架構
凝練出有效防禦
針對此一情況,swift發布了其《客戶安全計畫》,圍繞 swift alliance software 和與swift網路互動的任何定製應用,為金融機構提供安全防護指南。
儘管該指南是邁向正確方向的第一步,實際防護swift應用堆疊卻是說起來容易做起來難,因為太多swift應用元件都是遺留實體系統,不支援最新的安全軟體,也不接收任何安全性更新,並且這些應用元件還往往存在於那些難以適應新安全協議的資料中心裡。
防護銀行應用的安全控制也有那麼一些——交易監測、使用者行為監視、反惡意軟體、使用者安全培訓等等,但 swift alliance software (或定製swift應用)無論安全通常難以實現。
直到最近,安置各種swift元件的最佳實踐,都還是將它們都放到防火牆後面,但這依然阻擋不了同區域內與其他工作負載的自由通訊,而且提供不了第4層之上的可見性與控制。很明顯,對付熟知swift應用邏輯的黑客時,更精妙的方法是必需的。
有效保護swift應用堆疊的理想解決方案應包含3個要素:
微分隔——獲得對所有資料中心通訊的完整可見性與控制
實現從第7層開始的安全策略,獲得細粒度的高效策略構建
支援虛擬和物理兩種工作負載——因為很多金融機構依然是兩套系統並行的
微分隔swift應用架構的各種元件,確保了只有恰當的終端和應用元件可以相互通訊,且只通過經批准的應用協議進行通訊。於是,如果攻擊者想要侵入你的swift應用堆疊,他們就得利用swift應用協議中的漏洞,而且要從另乙個經授權的應用元件發起攻擊,不能簡單地在執行swift元件的伺服器上通過可用埠或協議獲得立足點了。即便是技術高超的攻擊者,這也是個極難跨越的障礙。
保護支付系統不受詐騙或網路攻擊侵擾是沒有萬靈丹的。不過,將支付系統元件間通訊限制在「有必要才允許」的範圍內,可以大幅減小攻擊介面,這比其他方法提供的控制嚴格得多。隨著我們繼續見證對銀行和支付應用的攻擊,以及隨之而來的安全最佳實踐和網路安全監管的收緊,對系統應用間各個方面通訊的細粒度可見性與控制的需求,只會不斷上公升。
紅帽新目標 50億美元俱樂部
以linux的誕生為標誌,開源軟體進入我們的視野已經超過25年了。20多年來,開源軟體由小及大,到今天成為一股潮流。除了linux之外,開源領域還出現了像openstack hadoop spark docker mesos kubernetes等明星開源專案,帶動了開源社群的欣欣向榮。顯然,開源軟...
價值50億的10句話
這雖然是成功學的培訓內容,但也同樣適合我們學習linux運維,請大家閱讀學習,並挑出3句你最欣賞的話,閱讀後寫讀後感不低於100字。1 今天,我開始新的生活!呵呵,太陽每天都是新的!當每天早上天一亮,我們起床的時候,拉開窗簾,太陽照進我們的屋子,給我們溫暖,給我們光明,這是多麼的美好啊!過去了的已經...
Facebook可能繳納高達50億美元稅單
北京時間 7 月 29 日早間訊息,facebook 在周四發布的公告中表示,該公司可能需繳納美國國稅局 irs 發出的 30 億至 50 億美元稅單,從而對該公司產生 實質性 影響。公告稱,美國國稅局正在調查 facebook 2008 至 2013 年的繳稅狀況。該公司透露,他們 7 月 27 ...