应对安全威胁狂潮：金融服务业的攻击趋势

由Akamai发布了《应对安全威胁狂潮：金融服务业的攻击趋势》这篇报告。以下是对该报告的部分摘录，完整内容请获取原文查看。金融服务业不仅是全球经济的基石，也是经济增长和发展的命脉。金融服务涵盖众 多不同的行业，例如商业银行、支付服务提供商、资产管理公司、投资银行和保险 企业，整个业态不断发展演变。

1.金融服务业仍是第 3 层和第 4 层 DDoS 攻击的最大目标

第 3 层和第 4 层分布式拒绝服务 (DDoS) 攻击以网络层和传输层为目标，这使得网 络基础架构不堪重负并耗尽服务器资源和带宽。这种类型的攻击会发送海量流量， 用以侵占网络容量，导致合法用户的性能下降。在所有行业中，金融服务业是 第 3 层和第 4 层 DDoS 攻击的主要目标。这一趋势由几个相互关联的因素 所驱动，形成了非常适合攻击者利用的大量漏洞和机会。

地缘政治紧张局势是导致金融机构遭受的 DDoS 攻击数量上升的重要因素之一。 旷日持久的俄乌战争和巴以冲突就与亲俄罗斯和亲巴勒斯坦的黑客行动的显著增长 相互吻合。这些冲突对 DDoS 攻击的激增起了推波助澜的作用，尤其是针对与乌克 兰有关联的欧洲银行的攻击。这些攻击的政治动机导致威胁形势愈发纷繁复杂。

金融机构由于涉及到高风险，尤其容易吸引 DDoS 攻击者。一旦攻击者成功造成业 务中断，就会导致严重的财务影响、重大声誉损害以及用户丧失对全球金融体系的 信任。由于可能造成广泛而深远的影响，金融服务业就成了那些寻求尽量造成巨大 破坏或发表政治声明的犯罪分子的首要目标。 技术进步使得 DDoS 攻击者的攻击能力和规模都得到了大幅提升，攻击者现在可以 部署虚拟机 (VM) 僵尸网络，利用大量 VM 和物联网 (IoT) 设备上的计算资源来更有 效地开展攻击。此方法利用云服务的分布式特性，增加了抵御和跟踪攻击的难度。 攻击者可以利用这些设备所具备的高带宽和大量计算资源，这样就能够通过各种策 略，发起适应力强、强度高且经济高效的 DDoS 攻击。

金融服务业中的攻击面扩大，也是导致 DDoS 攻击数量增加的因素之一。数字服务 和 API 使用的增长，使得攻击者可以找到更多的攻击点。这一转变增加了金融系统 的复杂性，并引入了很多潜在的漏洞，让攻击者有机可乘。未明确记录的影子 API 尤其需要引起重视，因为信息安全团队不知道这些 API 的存在，通常也就未能进行 保护。攻击者可以利用这些 API 泄露数据、绕过身份验证控制措施或执行破坏性 行动。 监管压力也在无意中增长了金融机构面对 DDoS 攻击的漏洞。欧盟颁布了《第二号 支付服务指令》(PSD2) 等法规，要求银行通过 API 向第三方提供商（例如金融科技 公司）开放其系统。根据这一要求，虽然银行能够通过与金融科技平台、移动应用 程序和其他平台相集成，来满足客户不断增长的期望，但也会增加安全风险以及扩 大攻击面。而这些实体中另外使用的 API 又会造成更多可能被攻击者利用的潜在失 陷点。 总而言之，这些因素导致了金融服务业一直是第 3 层和第 4 层 DDoS 攻击的首要目 标。地缘政治动机、高价值目标、技术进步、不断扩大的数字产品应用和监管压力 等多种因素结合起来，形成了一种针对金融机构的 DDoS 攻击不仅更加频繁，破坏 性也可能会远超从前的环境。由于行业不断发展，在面对这些日益先进的持久威胁 时，防御措施也必须随之发展。

2.第 3 层和第 4 层 DDoS 攻击事件数量：起伏不定

尽管金融服务业遭遇了极为频繁的第 3 层和第 4 层 DDoS 攻击事件，但这些攻击 的频率在全年中会出现波动。

在 2023 年 3 月/4 月、2023 年 8 月/9 月以及 2024 年 4 月/5 月期间，针对金融 服务业的第 3 层和第 4 层 DDoS 攻击可能是由多种特定因素造成的。 每年开春的 3 月到 4 月，标志着美国所得税申报季的到来，对于 DDoS 攻击者来 说，这是一个很有吸引力的时机。从 4 月 16 日开始，国家和区域性银行中帐户 滥用情况出现了明显上升，这与许多银行开始报告第一季度收入的时间相吻合。 在此期间，身份和访问管理 (IAM) 及网络提供商（如 Okta 和 Cisco 等）也报告 称，针对线上服务的撞库攻击不仅有所增加，而且增幅巨大。

特别是在 2023 年 4 月，服务定位协议 (SLP) 高严重性漏洞 (CVE-2023-29552) 的 发现很有可能造成了攻击活动的猛增。该漏洞可以放大网络层和应用层的 DDoS 攻 击，据报道，影响了全球 2,000 多家企业和互联网上的 54,000 多个 SLP 实例。攻 击者可以利用此漏洞，使用被入侵的实例来发起大规模的 DDoS 放大攻击。此漏洞 的放大系数高达 2,200 倍，是有记录以来最严重的放大攻击之一。 回顾 2023 年 8 月/9 月这个时段，我们发现了一起重大事件。2023 年 9 月 5 日， Akamai 观察到并挫败了针对美国金融机构的有记录以来最大规模的 DDoS 攻击。 此次攻击结合了 ACK、PUSH、RESET 和 SYN 泛洪攻击技术，峰值强度达到每秒 633.7 Gb (Gbps) 和每秒 5,510 万个数据包 (Mpps)。尽管攻击强度非常高，但持续 时间很短，不到两分钟。

3.第 3 层和第 4 层 DDoS 攻击强度：事件数与 Gbps

要想全面掌握 DDoS 攻击对金融服务业造成的威胁，了解其纯粹的复杂性和规模就显得极为重 要。这些攻击并非简单的孤立事件，每次攻击通常都会涉及到多次大数据量的尝试，意图以每秒 数个 Gb 的数据量及数百万个数据包来淹没网络。这些攻击不论是复杂程度、强度还是时间长度 都在增长，攻击者会使用更多的不同技术，这进一步加剧了金融机构面临的风险。

此外，在将金融服务业中第 3 层和第 4 层 DDoS 攻击事件的数量图表与相应的 DDoS Gbps 数据量 进行对比时，您会注意到一个显著的差异（图 4）。Gbps 图表中显示的急剧增长在攻击事件数量 图表中并未体现出来。这种差异强调了一个重要概念：有的月份虽然攻击事件的数量相对较少， 但以 Gbps 计量的话，DDoS 流量却可能依然很高。

此观察结果突显了一个问题：仅仅依靠攻击事件的频率进行衡量，会严重低估威胁的真正严重 程度。务必要同时考虑每次攻击中流量的数据量和强度。少量高强度的 DDoS 攻击所造成的损 害可能会远高于大量小规模的攻击事件，因此必须对每个威胁进行全面评估。

4.倾向于单一化：金融服务业中的单媒介第 3 层和第 4 层 DDoS 攻击

网络犯罪分子在尝试破坏系统或者获取未经授权的访问时，通常采用的策略是针对 应用层或网络层的多媒介攻击。但是，在主要以金融服务业为目标的攻击者中， 对于第 3 层和第 4 层 DDoS 攻击，似乎会更频繁地使用单媒介攻击。

针对第 3 层和第 4 层的单媒介 DDoS 攻击所需资源更少，而且单媒介攻击本身非常 高效，尤其是当金融服务机构采用了强大的防御措施来抵御更复杂的攻击时。与多 媒介攻击相比，单媒介攻击执行起来更简单，需要的配合也更少。在第 3 层和 第 4 层中，金融机构也可能存在一些明确的已知漏洞，单媒介攻击可以有效地利 用这些漏洞，又避免了安全措施检测到利用其他攻击媒介的风险。 这种针对金融服务业的单媒介攻击偏好，对网络安全团队带来了独特的挑战。虽然 您仍然必须高度重视复杂的多媒介攻击，但确保任何防御措施都能够承受第 3 层 和第 4 层的针对性单媒介攻击也至关重要。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）