|
今天參加了網(wǎng)貸之家舉辦的互聯(lián)網(wǎng)金融行業(yè)的峰會(huì)��,也聽了很多行業(yè)領(lǐng)軍企業(yè)���、監(jiān)管機(jī)構(gòu)、金融業(yè)學(xué)者���、互聯(lián)網(wǎng)金融后起之秀等一系列的內(nèi)容分享����,其中大部分的內(nèi)容都圍繞互聯(lián)網(wǎng)金融監(jiān)管��、業(yè)務(wù)發(fā)展�、信息安全風(fēng)險(xiǎn)與防范措施進(jìn)行了一系列的分享交流。 301在本次會(huì)議上也學(xué)習(xí)到了不少跟互聯(lián)網(wǎng)金融行業(yè)業(yè)務(wù)方面的內(nèi)容�����。另外�,恰好昨天跟一個(gè)知名白帽子黑客(某P2P平臺(tái)CTO)也深度交流了一下有關(guān)這個(gè)行業(yè)業(yè)務(wù)風(fēng)險(xiǎn)的安全問題�����,結(jié)合今天301聽講的這場峰會(huì)�,對(duì)于我個(gè)人而言也更清晰了解了這整個(gè)互聯(lián)網(wǎng)金融行業(yè)整體情況�����。
今天聽了不少專家分享的內(nèi)容�����,大部分互聯(lián)網(wǎng)金融企業(yè)的負(fù)責(zé)人而言��,在信息安全領(lǐng)域理解上還是停留在『數(shù)據(jù)傳輸加密���、個(gè)人征信、業(yè)務(wù)流程控制�����、IT基礎(chǔ)設(shè)施補(bǔ)丁更新等等』��,這也是301一直堅(jiān)持不敢往P2P平臺(tái)投錢的原因�,確實(shí)大部分企業(yè)只是想著怎么去防止正常用戶來薅羊毛(套現(xiàn))這個(gè)階段,在信息安全領(lǐng)域考慮再多一些——買臺(tái)防火墻����。。哎�����,太慘、真慘����。在301看來,互聯(lián)網(wǎng)金融的安全風(fēng)險(xiǎn)從三個(gè)維度來考慮:
第一�、企業(yè)自身外部安全威脅; 1)企業(yè)業(yè)務(wù)發(fā)展過程沒有考慮安全問題�����。 互聯(lián)網(wǎng)金融企業(yè)在業(yè)務(wù)初期�����,包括企業(yè)自身平臺(tái)�、產(chǎn)品在不斷迭代過程產(chǎn)生的安全問題,常見的web安全漏洞�、邏輯設(shè)計(jì)缺陷、賬戶體系認(rèn)證過程中的缺失等等問題����。P2P金融業(yè)務(wù)在301看來���,跟電商等領(lǐng)域?qū)Ρ?��,相?duì)比較簡單(國內(nèi)大型P2P平臺(tái)���,例如陸金所等平臺(tái)不在討論范圍內(nèi)),除了賬戶注冊(cè)認(rèn)證��、交易操作類基本沒有過多交互的功能點(diǎn)�����。當(dāng)然除了某些P2P平臺(tái)安全意識(shí)極差會(huì)把運(yùn)營后臺(tái)放到互聯(lián)網(wǎng)上被人X掉���,這樣的企業(yè)也需要反思了�。 2)業(yè)務(wù)安全之薅羊毛 我相信絕大多數(shù)互聯(lián)網(wǎng)金融企業(yè)都會(huì)遇到薅羊毛的情況�����,這類情況主要集中兩類情況:自然用戶��、僵尸用戶�����。 自然用戶:大部分『自然用戶』注冊(cè)P2P平臺(tái)的目的就是為了互聯(lián)網(wǎng)金融平臺(tái)為了早期(活動(dòng))業(yè)務(wù)推廣時(shí),給予的新用戶獎(jiǎng)勵(lì)�����。而對(duì)于企業(yè)而言���,希望 僵尸用戶:基于用戶的業(yè)務(wù)操作行為特征進(jìn)行封殺���,例如:某P2P平臺(tái)新用戶邀請(qǐng)注冊(cè)返利,基于用戶特征進(jìn)行封殺��。詳情如下: 羊毛黨防范措施: 1.在活動(dòng)規(guī)則上增加羊毛黨套現(xiàn)成本��。 例如:注冊(cè)返現(xiàn)分多次進(jìn)行返利���、設(shè)置提現(xiàn)時(shí)效���、投資后返現(xiàn)、身份證信息��、手機(jī)號(hào)碼�����、銀行卡綁定等限制�,增加羊毛黨門檻。如果活動(dòng)考慮到這種程度還有羊毛黨來犯�,這類『羊毛黨』其實(shí)基本也算是平臺(tái)的真實(shí)用戶了,投資應(yīng)該喜歡看這類數(shù)據(jù)�����。 『偷笑...』 2.對(duì)用戶的登陸ip進(jìn)行識(shí)別�����。 國內(nèi)外有大量的免費(fèi)ip代理資源信息公布�,企業(yè)可以爬去相關(guān)平臺(tái)公布的進(jìn)行進(jìn)行驗(yàn)證,加入黑名單�;對(duì)單個(gè)ip注冊(cè)行為進(jìn)行分析判斷、考慮封殺���。 3.設(shè)備指紋信息判斷�; 對(duì)于手機(jī)模擬器�����、虛擬機(jī)的指紋信息判斷,單個(gè)設(shè)備不允許注冊(cè)多個(gè)賬號(hào)�����。 4.業(yè)務(wù)+機(jī)器識(shí)別���; 用戶操作的異常操作行為分析��,例如:用戶操作習(xí)慣���、移動(dòng)坐標(biāo)、注冊(cè)地址與操作地址距離的判斷���。 5.對(duì)羊毛黨平臺(tái)的監(jiān)控 國內(nèi)有不少羊毛黨平臺(tái)(微信/QQ等方式)���,保持對(duì)羊毛黨平臺(tái)信息發(fā)布的實(shí)時(shí)監(jiān)控,減少企業(yè)資金損失���。�。 3)數(shù)據(jù)安全�����。 『詳見下一篇內(nèi)容—數(shù)據(jù)安全對(duì)互聯(lián)網(wǎng)金融企業(yè)的重要性』明天補(bǔ)充。 4)DDOS等攻擊�����; 對(duì)于DDOS這類攻擊基本無解��,除了增加帶寬成本����、考慮使用CDN�,包括現(xiàn)在市場上主流的防護(hù)措施,例如:百度云加速�����、加速樂��、阿里云云盾�����、騰訊云大禹等等�,其實(shí)沒有太大的辦法,因?yàn)橐?,在黑市?0元-200塊錢就能找人打癱企業(yè)的平臺(tái)。 :( 針對(duì)CC攻擊,可以通過攻擊方式進(jìn)行分析��,通過行為特征考慮一些防護(hù)策略���,例如:通過惡意行為的畫像對(duì)ip進(jìn)行封殺�,只能抵擋一部分攻擊�����,這方面的防護(hù)措施對(duì)互聯(lián)網(wǎng)金融平臺(tái)要求��、成本較高�����。
第二��、企業(yè)自身內(nèi)部安全威脅�; 企業(yè)自身內(nèi)部威脅大部分集中在企業(yè)內(nèi)部員工。 1)從管理角度�����,無論企業(yè)規(guī)模較小的情況下��,技術(shù)人員基本掌握企業(yè)的信息資產(chǎn),沒有做太多的權(quán)限管理�,無論是企業(yè)客戶數(shù)據(jù)、還是從產(chǎn)品代碼層面的角度���,企業(yè)基本處于失控狀態(tài)�����。 2)從技術(shù)角度來看,企業(yè)內(nèi)部人員 3)從業(yè)務(wù)人員角度�,互聯(lián)網(wǎng)金融人員流動(dòng)性相對(duì)較大,業(yè)務(wù)地推人員掌握著企業(yè)的大量客戶數(shù)據(jù)��,人員離職意味著相關(guān)數(shù)據(jù)『失控』�。 3)業(yè)務(wù)流程角度,互聯(lián)網(wǎng)金融平臺(tái)一直采取同卡同出的機(jī)制來保障�����,用戶即便是密碼泄露的情況下����,也能保障用戶的資金安全性的問題;另外�,還有很多企業(yè)為了考慮用戶資金安全性的問題���,在用戶進(jìn)行業(yè)務(wù)交易(大額)會(huì)采取人工審核的方式來處理業(yè)務(wù)訂單?��!?01看過太多的互聯(lián)網(wǎng)金融平臺(tái)的運(yùn)營后臺(tái)被人X掉��,可以實(shí)現(xiàn)越權(quán)審核的情況��?�!?/span>
第三����、第三方安全威脅����; 1)第三方支付平臺(tái)的安全性; 在301了解到���,國內(nèi)互聯(lián)網(wǎng)金融平臺(tái)絕大部分平臺(tái)都會(huì)把資金托管到第三方支付平臺(tái)���,而目前國內(nèi)P2P企業(yè)在風(fēng)控上做的措施,據(jù)301從業(yè)內(nèi)人士了解到�����,P2P企業(yè)只是對(duì)企業(yè)用戶買賣、提現(xiàn)的金額進(jìn)行對(duì)賬�����,保證平臺(tái)資金交易一致性���,而第三方支付平臺(tái)不會(huì)告知企業(yè)每筆資金的流出的細(xì)節(jié)��,而這塊可能存在的風(fēng)險(xiǎn)點(diǎn)的幾率就非常高了�����。『其實(shí)301很好奇�,為什么第三方支付平臺(tái)不提供資金對(duì)賬的業(yè)務(wù),只有少數(shù)支付平臺(tái)會(huì)提供這類業(yè)務(wù)���。301覺得這類的情況��,水應(yīng)該非常深���,如果有人能告知就好了��。(偷偷告知�,O(∩_∩)O哈哈~)』 昨天跟某P2P CTO(白帽子)溝通���,這個(gè)白帽子也發(fā)現(xiàn)過國內(nèi)一些第三方支付平臺(tái)在跟某些P2P平臺(tái)業(yè)務(wù)對(duì)接的過程中產(chǎn)生的重大安全問題�����,比如:私密key泄露可導(dǎo)致刷RMB的情況�����,直接就繞過了『金融行業(yè)的同卡同出的機(jī)制』����。這樣的案例不僅僅是個(gè)案����,如果有機(jī)會(huì)301可以找這方面的大牛來分享下。:) 2)代碼托管平臺(tái)�; 很多開發(fā)者養(yǎng)成不好的習(xí)慣,會(huì)把自己的代碼托管到github等第三方平臺(tái)上�����,而這類的安全風(fēng)險(xiǎn)在整個(gè)互聯(lián)網(wǎng)企業(yè)均有發(fā)生。:) 3)第三方短信平臺(tái)���;
手機(jī)短信是所有企業(yè)都會(huì)考慮到的業(yè)務(wù)功能�����,但是大部分企業(yè)在手機(jī)短信這塊考慮的非常少����,在301了解到國內(nèi)絕大部分的互聯(lián)網(wǎng)金融平臺(tái)使用的都是第三方的短信平臺(tái)����,而這塊的安全性是所有P2P企業(yè)需要重視的。為什么要重視呢�����? 301舉例��,短信平臺(tái)承載著用戶核心的數(shù)據(jù)�,例如:很多企業(yè)注冊(cè)都是使用短信注冊(cè)���,密碼找回流程�����、甚至默認(rèn)密碼����、驗(yàn)證碼等信息都會(huì)同步到短信平臺(tái)后臺(tái),這類出問題�,所有用戶的短信密碼、驗(yàn)證碼內(nèi)容�、手機(jī)號(hào)碼等敏感信息都會(huì)同步到后臺(tái),一旦被人(youshang)攻破�����,問題有多么嚴(yán)重���,大家可以腦補(bǔ)畫面��。:) 從301得知��,國內(nèi)也有發(fā)生過���,友商XXXX的事件絕對(duì)不是個(gè)案。 4)第三方云服務(wù)平臺(tái)(IDC); 在301觀察到�,很多P2P平臺(tái)為了減少IT基礎(chǔ)設(shè)施建設(shè)的成本,就將平臺(tái)遷移到了云平臺(tái)上��,雖然減少了IT運(yùn)營的成本��,但是對(duì)于企業(yè)而言���,選擇一家靠譜的服務(wù)平臺(tái)是P2P企業(yè)需要謹(jǐn)慎考慮的����,建議考慮使用大型云平臺(tái)或者售后服務(wù)較好的平臺(tái)��,大平臺(tái)有保障���,售后服務(wù)好的平臺(tái)起碼在你出問題的同時(shí)���,真把你當(dāng)客戶看。對(duì)于那種收錢不管事的云平臺(tái)�����,本次不在301討論范疇內(nèi)�。 另外,在301了解到很多企業(yè)內(nèi)部員工經(jīng)常會(huì)把企業(yè)的重要數(shù)據(jù)往一些公共云服務(wù)平臺(tái)(例如:百度云等平臺(tái))仍�����,這類情況����,在國內(nèi)不在少數(shù),甚至在301看過國內(nèi)排名非?���?壳暗腜2P平臺(tái)都發(fā)生過類似的重大事件。:) 5)第三方軟件平臺(tái)���; 大部分互聯(lián)網(wǎng)金融企業(yè)在業(yè)務(wù)規(guī)模不斷壯大的過程中�����,也會(huì)使用大量的第三方系統(tǒng)�,例如:CRM�、在線客服平臺(tái)等等,而這類產(chǎn)品承載的企業(yè)核心的資產(chǎn)數(shù)據(jù)�,企業(yè)在選擇這類產(chǎn)品的同時(shí),切記考量其安全性�����。 企業(yè)在選擇第三方軟件平臺(tái)的同時(shí),一定要將安全性作為核心條件來進(jìn)行考量���。 6)不成熟的第三方統(tǒng)一解決方案(中小P2P創(chuàng)業(yè)平臺(tái)) 互聯(lián)網(wǎng)金融行業(yè)這幾年發(fā)展迅猛���,301雖然不是這個(gè)行業(yè)領(lǐng)域的從業(yè)者,但是通過身邊接觸的人員��、業(yè)務(wù)上�,基本發(fā)現(xiàn)各個(gè)行業(yè)背景的各種角色的人都在做P2P平臺(tái),P2P平臺(tái)監(jiān)管不嚴(yán)導(dǎo)致創(chuàng)建P2P平臺(tái)的成本極低�,很多中小P2P平臺(tái)會(huì)直接購買P2P解決方案(幾萬塊錢、甚至有數(shù)千塊錢買盜版)找個(gè)UI做二次開發(fā)就可以上線拿融資了�,而這類的情況不在少數(shù),而301看到的情況是�����,國內(nèi)大部分P2P統(tǒng)一解決方案在安全性上投入的非常低�,甚至國內(nèi)還有一些P2P打著安全的品牌來推廣自家的產(chǎn)品,不知道這樣的企業(yè)自信心從哪來��。而對(duì)于中小企業(yè)在選擇這樣的平臺(tái)一定要謹(jǐn)慎����,能自己開發(fā),盡量自己開發(fā)�,相對(duì)安全可控。對(duì)于企業(yè)而言��,你真不知道自己花了數(shù)萬�����、數(shù)十萬買的代碼程序�����,可能就是一幫年薪不過十萬元�,甚至實(shí)習(xí)生開發(fā)的。
最后:互聯(lián)網(wǎng)金融行業(yè)的思考
1)從企業(yè)角度上看�����,互聯(lián)網(wǎng)金融領(lǐng)域����,信息安全不僅限在于數(shù)據(jù)傳輸、加密�����、存儲(chǔ)等基本原則上,在使用第三方服務(wù)�、產(chǎn)品的同時(shí)要在安全方面提出質(zhì)疑。
2)從監(jiān)管(監(jiān)督)角度�����,規(guī)范互聯(lián)互聯(lián)網(wǎng)金融行業(yè)次序�,需要有人持續(xù)來監(jiān)督這個(gè)行業(yè)的持續(xù)發(fā)展情況,避免惡意競爭和攻擊(競品之間的攻擊情況太多)�,當(dāng)互聯(lián)網(wǎng)金融安全跟企業(yè)經(jīng)營掛鉤時(shí),企業(yè)在對(duì)安全的態(tài)度我相信能夠得到極大的改善����。
3)從互聯(lián)網(wǎng)金融行業(yè)角度看,整個(gè)互聯(lián)網(wǎng)金融生態(tài)要良性發(fā)展�����,行業(yè)需要抱著開放的態(tài)度進(jìn)行學(xué)習(xí)��,例如:其實(shí)很多大型的P2P平臺(tái)都會(huì)積累大量的惡意數(shù)據(jù)�,而國內(nèi)封閉的思想和觀點(diǎn)導(dǎo)致這個(gè)行業(yè)信息不對(duì)稱,
4)從用戶的角度看�����,企業(yè)在選擇一家靠譜可持續(xù)的服務(wù)商的同時(shí),講安全納入重要的考量標(biāo)準(zhǔn)時(shí)��,整個(gè)互聯(lián)網(wǎng)生態(tài)自然會(huì)重視安全�����,而安全能夠持續(xù)性的發(fā)展����,需要整個(gè)互聯(lián)網(wǎng)的用戶來監(jiān)督���,這樣企業(yè)自然會(huì)在安全性買單�����。
PS:時(shí)間有限�����,今天寫的內(nèi)容有限�����,有機(jī)會(huì)在詳細(xì)補(bǔ)充下�。
本文為原創(chuàng)內(nèi)容,轉(zhuǎn)載��、溝通請(qǐng)聯(lián)系博主(微信):2036234
|
