银行业网络安全的黑暗森林法则:2023年Q1外部攻击面分析系列报告
随着企业数字化转型进入深水区,企业的“云足迹”和资产暴露正以前所未有的速度扩张,攻击面也在同步扩大,CrowdStrike Falcon Surface数据显示,企业云环境中暴露的资产中有30%存在严重漏洞。
随着企业攻击面和泄露数据规模的不断扩大,数字世界的黑暗森林法则开始展现统治力,近年来越来越多的勒索软件、APT攻击、针对性网络钓鱼攻击不约而同地开始减少漏洞利用、转而在暗网采购企业泄露数据和凭证,以“合法”身份绕过传统安全控制,从“正门”入侵企业网络。
企业数据安全管理是一场不对称战争。对手的攻击技术和策略日趋复杂,而防御者的凭据泄露、资产暴露和外部攻击面快速增加;与此同时,很多企业的数据安全管理依旧是“亡羊补牢”甚至“画地为牢”式的被动安全,无法跳出第一人称战术视角看到更大的战场地图。
在情报能力决定战场态势的今天,暴露资产的能见度,决定了企业数据安全管理能力的上限,而暴露资产的攻击面(漏洞)占比,则决定着企业数字风险保护和员工安全意识水平的下限。
2023年,企业提高数据安全管理上限的最佳办法之一就是“打开攻击者视角”,将面向公众的暴露资产/泛攻击面纳入攻击面管理和数字风险保护。
为了帮助广大行业用户“打开攻击者视角”,提升暴露资产能见度和数字风险保护能力,GoUpSec联合零零信安调研并发布“外部攻击面分析系列行业报告”,以“纯黑盒、零输入”的方式展现不同行业或地区的暴露面和泛攻击面。本期报告将聚焦网络攻击的重点目标——银行业。
本期报告说明
- 本报告随机选取国内TOP50银行中的10个作为分析对象;
- 分析时间节点为2023年4月3日;
- 所有数据均采集自互联网公开数据且仅以总部数据为主,仅进行数据分析未尝试任何攻击手段。
重点提示
“泛数字资产暴露面”本身并不是风险,但它的数量与风险数量往往成正比,企业的互联网暴露面同时也是攻击者关注的外部攻击面。要达到同等安全水平,暴露的泛数字资产越多,投入的防御成本越高。
1. 概述
针对选取的研究对象规模和外部暴露的泛数字资产进行横向对比如下:
不同规模和不同业务偏向的组织机构,其暴露的泛数字资产数量也会有所不同,理论上规模越大、业务越复杂的组织机构其泛数字资产暴露数量越多,以下是样例数据分析对比:
观察:
如上所示可以分析出
1. 随着组织规模的减小,泛数字资产暴露总数量呈现下降趋势,但规模与下降并非同比例,例如丁A和丁B规模大约为甲A和甲B的20%,戊A和戊B规模大约是甲A和甲B的10%,但总数量约为甲A的50%,与甲B相差无几;
2. 同规模的组织,因为业务内容和IT发展不同,泛资产暴露总数量有明显的差别,例如甲A与甲B、乙A与乙B的市值范围相近,但总数量相差可达1倍左右。
由于组织间规模差距较大,以上图示和分析仅能从整体进行分析。以下图示将对比使用“每千亿市值”对应的外部泛数字资产暴露数量进行对比:
观察:
如上所示可以分析出
1. 总体趋势来看,规模和业务越小的组织中,在同等规模和业务下暴露的泛数字资产数量越多,但暴露总数量和规模并非同比例关系;
2. 相同规模和业务体量的组织,由于业务内容和IT发展不同,区别较大,例如丁A与丁B、戊A与戊B,为相同业务规模,但每组暴露的总数量相差在1倍左右;
3. 所以此处的差距更多的体现在IT建设和发展的区别,而非规模和业务体量。
泛数字资产包含的内容有信息系统、域名、云端应用、影子资产、APP、公众号、小程序、暴露在互联网的文档和代码、邮箱暴露、API、供应链信息、M&A信息、暗网情报、企业VIP信息、SGK数据等等。
暴露在互联网的组织的泛数字资产未必一定有漏洞和风险,但它们的暴露即提供给攻击者一个攻击入口或可能性。成熟的攻击者或政治/商业黑客组织会通过但不限于信息系统的漏洞进行攻击,他们更多的可能会采取综合攻击手段。例如使用邮箱进行钓鱼,寻找和攻击影子资产,在组织暴露的文档和代码中查找配置文件、密码、通讯录、网络拓扑图等,使用SGK的数据登陆企业OA和VPN,对供应链发起攻击,对M&A或企业VIP发起攻击等手段。
暴露在互联网上的泛数字资产越多,消耗的防御资源越多,单一故障点越多。所以对组织在互联网上的泛数字资产暴露面进行监测和收敛,无疑是主动防御、减少外部攻击面最高效和最立竿见影的手段之一。
2. 信息系统
针对选取的研究对象暴露的信息系统进行横向对比如下:
信息系统是指可以通过网络空间测绘技术获取到,并通过一系列关联和识别映射到本组织的应用系统、网站、IP和开放服务等,为了减少信息系统暴露面和影子资产的数量,应尽量在保证业务正常运行的情况下减少组织开放在互联网上的信息系统。
CDN是指在互联网可访问的信息系统中,哪些使用了CDN技术。一般来说,只有使用了CDN技术的系统可以使用云防御技术(包括云WAF、云抗D、隐藏源站等),所以通常来说CDN使用率越高防御效果越好。
域名是指本组织在ICP备案的主域名和其下的子域名。为了降低管理成本和被抢注和被攻击者利用,应在满足正常业务的情况下减少域名备案和使用数量。
登录页是指在信息系统中,具备登陆、管理和深度交互的页面,该类页面通常是攻击者在实施对信息系统攻击时的第一目标,应在满足正常业务的情况下减少该类页面,对必须开放的务必深度关注其安全性。
最多组件是指本组织开放的信息系统中,利用率最高的组件及其数量,应时刻关注本组织使用的各类IT组件、开源组件、应用系统组件等,尤其是在其出现可利用漏洞时应及时查找影响范围,并进行升级或其他防御措施,避免IT组件的漏洞被攻击者利用。
观察:
如上所示可以分析出
1. 信息系统总体暴露数量,和组织规模及业务体量关系不大,与业务内容和IT发展状态关系密切;
2. 同一业务体量下的组织,其信息系统暴露数量可达数倍差距,而随着业务体量下降,信息系统暴露数量没有明显趋势性变化;
3. CDN和云防护的使用率良莠不齐,建议主要业务系统使用云防护手段进行保护;
4. 域名数量和登录页数量占比仍然较大,建议在保证业务合理性下尽量降低其数量。
3. 移动端应用
针对选取的研究对象暴露的移动端应用(APP、公众号、小程序)进行横向对比如下:
移动端应用是近几年来攻击者进行攻击的重点目标之一,国内的移动端应用包含安卓和IOS平台的APP(APK)、微信和支付宝平台的小程序、微信公众号(服务号、订阅号、企业号)等。
APP中,IOS平台的安全性较高,安卓(APK)平台的安全性较低。APP面临的问题主要包含验证、越权、注入、逻辑漏洞等,此外在安卓平台上还可能会出现脱壳和由于在不同分发平台上维护而导致的低版本未下架引发的安全风险等。
微信和支付宝平台的小程序中,可能存在越权、逻辑漏洞等。由于小程序在开发成本、运维便捷性、兼容性等方面的独特优势,导致组织内可能有诸多部门在维护自研小程序,其容易成为安全监控的死角。
微信公众号主要分为弱交互和强交互两种。在弱交互的公众号中容易产生的风险是攻击者可能利用公众号运维人员进行钓鱼攻击。在强交互的公众号中,攻击者除了利用钓鱼攻击以外,还能利用公众号的交互功能进行越权和逻辑漏洞等攻击。
观察:
如上所示可以分析出
1. 随着组织规模和业务的下降,移动端应用的数量整体为减少的趋势;
2. 各组织之间移动端应用的不同主要原因仍然和IT建设的阶段和业务内容的差别有关;
3. 在移动端应用中,公众号的数量整体大于APP和小程序的数量,这可能与公众号担当的责任、内容以及低开发和运营成本有关;
4. APP和小程序对比,在组织规模和业务量越大的企业中,APP占比越高,越小的企业中,小程序占比越高。而小程序的安全性目前尚未得到足够的重视,攻击者由此进行突破的可能性需要关注。
4. 邮箱安全
针对选取的不同研究对象暴露的内部员工的邮箱地址,以及地址是否在其他数据泄露事件中有隐私数据泄露的情况进行横向对比如下:
邮箱是当前攻击者针对组织进行外围突破最主要的攻击手段之一,也是社会工程学领域最成熟的技术之一。
原因主要有三个:
其一是邮箱是企业中最广泛的应用,上至企业高层领导,下至基层业务员工,都会广泛使用邮箱进行工作事务处理;
其二是邮箱使用者众多,安全意识参差不齐,即使对邮箱的攻击成功率是小概率事件,也能取得良好的效果;
其三是通过邮箱可以直接获取到一定价值的企业数据,并可以以其作为跳板攻击到企业内网环境中。
组织中应尽量减少邮箱地址的暴露,除了必要的公共邮箱地址,例如:客服邮箱、招聘邮箱、业务联络邮箱之外,员工邮箱地址应全部避免暴露在互联网上,而必须暴露在互联网上的邮箱地址也应保证应是公共邮箱地址,并由安全部门人员检查和持续重点监控其安全性,对于公共邮箱的操作者应该进行必要的安全使用教育。
企业邮箱中可能有一部分存在邮箱使用者的个人隐私泄露,这很有可能是企业员工使用企业邮箱在社交、购物、社区、娱乐等平台上进行了注册,后因注册平台出现了客户数据泄露而导致的。这类泄露极有可能包含邮箱地址、个人姓名、手机号、身份证号、密码、家庭住址等诸多个人隐私数据的泄露。该类数据往往会被商业黑客组织进行聚合后形成攻击数据库“SKG”,攻击者在利用SGK进行查询后有可能可以直接获得企业员工的VPN、OA系统、CRM系统、邮箱等密码,进行直接攻击,或者利用获取的数据进行社会工程学攻击。
观察:
如上所示可以分析出
1. 由于组织规模和邮箱总体使用人数是该数据的基数,所以随着组织规模和业务的下降,邮箱地址暴露的整体数量呈下降趋势;
2. 同一行业中,邮箱地址的暴露更多反映的是企业IT制度和安全制度的完善程度,因为必要的互联网邮箱地址暴露应该使用指定的统一公共邮箱,而非企业员工邮箱;
3. 有隐私数据泄露的邮箱地址数量,反映的是企业安全制度的完善程度和企业员工的安全意识的整体水平,因为几乎所有存在隐私数据泄露的邮箱地址,都是源于企业员工使用自己的企业邮箱注册了互联网社交、购物、社区、娱乐等平台而导致的,所以这个数量和比例越低,往往体现在该企业的安全制度越完善、员工的安全意识水平越高;
4. 银行业的整体安全制度比较完善,员工的安全意识水平较高,但是在抽样调查中,仍然有近一半的企业10%以上的邮箱存在个人隐私数据泄露,甚至有的企业存在个人隐私数据泄露的数量达到50%以上;
5. 银行业保管了大量客户的个人隐私数据和财产数据,如果其企业自身员工的个人隐私数据泄露数量过多,其内部安全制度和员工安全素质应加强和提高。
5. 代码和文档
针对选取的不同研究对象暴露在互联网上的文档和代码的数量进行横向对比。此处特别说明,统计的内容未进行风险判断,其中既包含组织主动公开在互联网的文档和代码,也包含第三方引用或针对目标编写的文档和代码,或包含真实具有风险属性的文档和代码:
对组织中包含风险内容的文档和代码的寻找和识别,是当前攻击者针对组织进行外围突破、数据库及灾备设备攻击、内网漫游等主要的攻击手段之一。
在代码仓库中可能存在组织内部开发人员因工作失误或权限设置错误或安全意识不足而上传的代码、配置文件信息、说明文档、网络拓扑信息等等,也可能存在供应商或其他第三方人员编写的本单位相关或敏感信息等。
在文档存储空间中,可能存在本单位的通讯录、敏感资料、配置文件、网络拓扑图等等数据。
在Github以及各种代码仓库,或各种网盘、文库中,因为内部或外部人员的各种原因,都可能存储有包含本组织的内部软件、相关重要信息和数据。这些文档和代码散布在互联网的各种角落,攻击者往往利用自身的情报能力,将它们进行收集和整理,从中寻找关键软件代码、配置文件、各种形式的密钥、密码、缺省路径等重要的攻击资料,并利用它们配合其他技术手段进行攻击。
例如:攻击者可能利用开发人员无意上传到Github中的一个配置文件,寻找到某个数据库的访问地址和缺省的用户名和口令等;也可能利用CSDN中某个文件中包含的Access-Key获得某个专有云的访问权限等。
因此对暴露在互联网上的本组织的代码和文档应全量采集,然后进行分类,例如:属性、文件后缀、内容类别、是否配置文件、是否包含密码等。再根据分类进行排查,最终判断出暴露在互联网上的代码和文档中是否包含本组织的敏感和风险信息。
观察:
如上所示可以分析出
1. 随着组织规模和业务的下降,互联网中暴露的本组织的文档和代码,整体数量呈下降趋势;
2. 组织和业务规模相似的企业,其暴露在互联网中的文档和代码数量也比较相近(相比于其他暴露的泛数字资产而言)。
对于文档和代码在互联网的暴露,单凭借数量无法判断其风险程度,该部分内容还应结合实际暴露的内容,辅助以规则匹配、人工智能或专家研判等手段,才能准确判断出哪些暴露内容可能包含风险,以及风险等级等。
6. 总结
根据对不同规模的银行在互联网中泛数字资产暴露面的采集、观察与分析,得到如下结果:
- 银行业暴露在互联网的泛资产总数量和企业规模、业务量、业务具体内容和形态有关联,规模和业务量越大、越复杂的企业数量越多;
- 但在实际分析中发现,信息系统、移动端应用和邮箱暴露等方面,与企业规模和业务量的影响并不大,而与各企业自身IT建设程度、安全制度完善度和员工安全意识密切相关;
- 银行总部互联网暴露的信息系统中位数大约在2000-3000,移动端应用中位数大约在20-40,邮箱地址暴露中位数大约在400-800;
- 代码和文档暴露数量受企业规模和业务量影响较大,而这个数量本身基数较大,导致泛数字资产暴露总数受其影响较大,但其中的风险内容尚需要自动化手段、半自动化或人工手段进行判别;
- 特邀分析员认为:银行业中,规模和业务越大的企业,最容易被攻击者成功入侵的外部攻击点在于钓鱼攻击以及延伸的其他社会工程学攻击;规模和业务偏小的企业,各方面可能被攻击者成功入侵的攻击点相对比较平均,其中钓鱼攻击以及延伸的其他社会工程学攻击和基于移动端应用(主要是APP和小程序)的攻击可能比较容易成功;在本次随机采样中,仅发现极少数可被直接或间接利用的代码和文档存在风险点,整体来说银行业在互联网上暴露的文档和代码方面控制良好;
- 特邀分析员建议:收敛企业员工邮箱地址在互联网的暴露,需要暴露邮箱地址的地方建议使用公共邮箱,需要进行身份登陆的内外部系统建议全部使用双因素认证,提高员工安全意识(尤其是不得使用企业邮箱注册购物、社交、娱乐等平台),关注员工个人隐私安全(在条件允许的情况下关注SGK对于内部员工数据的暴露)等;对于中小银行,在关注以上可能的风险的同时,对于移动端应用(尤其是小程序)的安全性需要加强关注度。
技术支撑单位
北京零零信安科技有限公司成立于2020年,是国内首家专注于外部攻击面管理(EASM)的网络安全公司。基于大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念,为客户提供基于攻击者视角的外部攻击面监测产品扩展威胁情报(XTI)数据服务。零零信安以领先的产品力,被Gartner《Hype Cycle for Security in China, 2022》、IDC《IDC Innovators:中国攻击面管理(ASM)技术》、赛迪《中国攻击面管理白皮书》、数说安全《2022年中国网络安全十大创新方向》等国内外权威机构评为“攻击面管理(ASM)技术”代表厂商。