前言
2016年裏全球發生(shēng)了許多安全事件,包括希拉裏郵件門事件、NSA再陷洩密風波, SWIFT系列攻擊事件,台灣第一(yī)銀行ATM欺詐取現事件等。通過事件的披露并結合信息安全專家的分(fēn)析,我(wǒ)們看到在這些安全事件再次印證人的因素永遠是信息安全控制中(zhōng)最爲脆弱的環節。對于過去(qù)的時間而言,我(wǒ)們熟悉的APT攻擊、網絡釣魚、勒索軟件、惡意軟件均是從個人環節進行入手。因此當金融機構的CSO、CTO、CIO在讨論目前最新的一(yī)些信息安全解決方案時,千萬不能忽略來自内部人員(yuán)的信息安全威脅。
員(yuán)工(gōng)個人信息安全的問題涉及到個人和企業兩方面。從企業角度來看,造成該問題的原因不局限于企業未形成安全意識文化、安全意識教育培訓不到位、人員(yuán)工(gōng)作和安全意識未緊密結合這三個主要原因,缺乏有效減少針對員(yuán)工(gōng)個人攻擊面的技術手段和措施也是另一(yī)個關鍵的原因。這諸多的技術手段中(zhōng)筆者認爲尤其需要關注漏洞補丁管理、郵件網關防護以及終端安全防護三個關鍵和基礎的技術防護手段。
漏洞補丁管理
漏洞補丁管理向來都是信息安全防護的一(yī)個重點和難點。近觀這幾年來,我(wǒ)們可以看到一(yī)低兩高的現象,即來自操作系統的漏洞數量呈現持續降低的趨勢,而應用軟件和高危零日漏洞數量不斷增加。以零日漏洞爲例,2015年發布的零日漏洞爲54個(2014年僅爲24個),是2006年統計以來最高的一(yī)年[1]。在2015年的統計中(zhōng),利用最多的三個漏洞(CVE-2015-0313、CVE-2015-5119和CVE-2015-5112)均來自Adobe公司的安裝于終端上的Adobe Flash應用軟件。
根據統計,黑客團體(tǐ)針對這類零日漏洞的開(kāi)發和利用速度極快。以2015年6月23日發布同樣是Adobe Flash應用軟件的CVE-2015-3113爲例,黑客團體(tǐ)在一(yī)周内就在Magnitude、Angler、Nuclear、RIG、Neutrino漏洞利用平台上集成了該漏洞,其中(zhōng)最快的爲Magnitude,4天後就進行了發布。因此可以看到,如果缺乏應對有效的漏洞管理,那麽即便内部人員(yuán)有良好意識,仍有可能被零日漏洞所擊中(zhōng)。另據2017年1月16日Shavlik公司發布的調查報告中(zhōng)顯示59%的受調查者表示,除了OS操作系統的補丁修補外(wài),Java仍然是最難管理的應用。接下(xià)來是Adobe Flash播放(fàng)器軟件-38%, Google Chrome – 21%, Firefox – 18% 以及Apple iTunes – 10%。此外(wài)有超過三分(fēn)之二的受調查者表示每月用于補丁和漏洞管理的時間少于8個小(xiǎo)時[2]。由此我(wǒ)們看到,盡管絕大(dà)多數用戶都意識到漏洞管理的重要性,但在實踐過程中(zhōng),投入的精力和資(zī)源并沒有相應的對等。此外(wài),用戶往往更多依賴于廠家或服務商(shāng)來告知(zhī)漏洞的修補。而在用戶真正動手實施修補的時候,以下(xià)幾個因素又(yòu)往往影響到修補工(gōng)作的時間進度和完成度。
正是由于以上諸多因素的存在,使得用戶IT業務環境中(zhōng)的漏洞修補時間與漏洞發布時間總是存在一(yī)定的時間差。一(yī)些機構中(zhōng)發現的漏洞甚至有多年前的漏洞。例如美國SecurityScorecard機構在2016年對全美7111金融機構的分(fēn)析評估中(zhōng)就發現大(dà)約980家左右的機構依然存在編号爲CVE 2014- 3566的漏洞[3]。
網絡釣魚與勒索軟件
郵件是一(yī)個對個人和機構信息安全影響巨大(dà)的應用。個人往往容易收到各類垃圾郵件和精心僞裝的網絡釣魚郵件,這些垃圾郵件和釣魚郵件中(zhōng)往往包含包括病毒、木馬程序、惡意鏈接和勒索軟件在類的各式惡意代碼。當前的釣魚郵件通常采取點擊誘騙、提供登錄入口、内嵌附件、持續性欺騙以及高度定制化的方式來誘騙郵件接收者。而郵件接收者出于好奇、害怕和緊急這三個最主要的人爲感情因素而遭遇欺詐[4]。根據統計,在互聯網中(zhōng)每125封郵件中(zhōng)就有1封郵件含有惡意軟件。在2016年中(zhōng),垃圾郵件及内含惡意軟件的垃圾郵件數量都有上升[5]。在針對金融機構發起的攻擊中(zhōng),利用釣魚郵件進行魚叉式攻擊并滲透進入内部網絡是一(yī)種首選方式之一(yī)。攻擊者滲透進入到銀行内部網絡後可以進行控制系統權限、攔截和修改數據,發送惡意指令、進行數據竊取等計算機犯罪活動。2015年卡巴斯基實驗室就公布了一(yī)起通過釣魚郵件成功入侵俄羅斯某銀行而竊取ATM現金的攻擊事件[6]。
此外(wài),利用含有勒索程序的郵件進行勒索也是這幾年日漸增加的一(yī)種攻擊方式。根據統計,2015年中(zhōng)針對個人消費(fèi)者的勒索攻擊占到總攻擊的57%,針對機構的攻擊爲43%。根據cisco公司研究報告顯示,先進的漏洞利用平台仍然依賴于Adobe Flash軟件漏洞,這些漏洞幫助勒索軟件更爲容易獲得成功并使其成爲一(yī)個突出的威脅[7]。另外(wài),正是由于部分(fēn)個人和機構向勒索者的妥協,使得勒索軟件的數量劇增。Symantec公司在2014年新增發現77個家族,但在2015年則新增發現了100個家族。當前勒索軟件呈現高度組織化和自助服務化的趨勢。例如,一(yī)些勒索軟件不僅僅通過頁面提示受害者支付轉賬金額或比特币,它們在頁面上還提供了其後台呼叫中(zhōng)心的服務電(diàn)話(huà)号碼提供提供5*8小(xiǎo)時的電(diàn)話(huà)服務指導你如何支付贖金以及如何在支付贖金後進行技術解鎖操作,犯罪組織的專業性由此可見。在2015年中(zhōng),地下(xià)黑産已經将勒索軟件已發展成爲一(yī)種勒索軟件即服務的模式(Ransomware-as-a-Service, RaaS)
圖 2: RaaS的用戶定制截圖[8]
此外(wài)勒索軟件一(yī)直在進行精心的僞裝并誘騙用戶點擊郵件附件或郵件鏈接。下(xià)圖是cisco公司在2016年監測在垃圾郵件中(zhōng)最常見的社會工(gōng)程欺詐主題/内容
圖 3: 2016年垃圾郵件中(zhōng)最常見社會工(gōng)程欺詐主題/内容[5]
總體(tǐ)而言,個人用戶的警惕性不高,勒索軟件的精心僞裝和誘惑,對高危漏洞/零日漏洞的利用以及缺乏郵件檢測過濾防護系統是勒索軟件獲得成功的主要因素。對于金融行業而言,勒索軟件将是2017年一(yī)個需要注意的方向。美國聯邦金融機構檢查委員(yuán)會(FFIEC)和金融服務業協調委員(yuán)會(FSSCC)在2015年晚些時候向美國金融服務行業就勒索軟件單獨發布了特别警告。而根據美國SANS機構的2016年底的一(yī)份針對金融行業機構的調查報告顯示55%的機構認爲勒索軟件超越網絡釣魚(50%)成爲首選的安全威脅之一(yī),32%的機構反映他們損失了10萬美元至50萬美元不等的損失[9]。
終端安全防護
終端安全防護是另一(yī)個重要的安全防護措施。我(wǒ)們稍微可以值得慶幸的是安裝于個人終端的殺毒軟件比例是比較高的,根據瑞星公司《2016年中(zhōng)國信息安全報告》顯示發現國内企業部署終端安全防護産品占比81.79%,位列第一(yī)位。但該數據依然提示我(wǒ)們,仍有近五分(fēn)之一(yī)的企業仍未考慮部署終端安全防護産品。
人員(yuán)流動
除了以上技術層面的考慮外(wài),行業的人員(yuán)流動也是需要金融機構管理層考慮的安全問題之一(yī)。根據前程無憂在《2016離(lí)職與調薪報告》一(yī)文中(zhōng)的數據,在2015年裏金融機構有18.1%的人員(yuán)流動率。而在《2017離(lí)職與調薪調研報告》一(yī)文中(zhōng)的數據顯示在2016年裏金融機構有17.3%的人員(yuán)流動率。由于人員(yuán)的流動頻(pín)度,将導緻一(yī)些企業不情願展開(kāi)和進行更多人員(yuán)内訓工(gōng)作。具體(tǐ)體(tǐ)現在企業可能更爲注重人員(yuán)的在崗技能培訓,而降低信息安全意識方面培訓的資(zī)源投入。此外(wài)由于不同機構之間在信息安全策略和信息安全管控能力之間的不同,一(yī)個從信息安全管理較爲滞後的機構來的新員(yuán)工(gōng)在新工(gōng)作崗位中(zhōng)可能較難以适從新機構的信息安全策略,也更容易成爲社會工(gōng)程學攻擊的受害者。随着互聯網融資(zī)、互聯網金融服務等“互聯網金融”業務形态的快速發展,互聯網金融人才缺口在加大(dà)的同時将吸引更多的人才投身金融行業。根據CFCA、羅蘭貝格管理咨詢公司、LinkedIn公司聯合出版的《2016年中(zhōng)國金融行業人才發展報告》的數據指出2015年中(zhōng)國金融行業的從業人員(yuán)爲558萬,較之2014年的501萬增長了57萬,增長率爲11.37%,這其中(zhōng)又(yòu)以私募基金的人才增長爲最高,2014-2015年增幅達到了205%。因此,金融行業尤其是基金和互聯網金融行業更需要在大(dà)量吸收引進人才,擴展業務的同時,加強對人員(yuán)的信息安全意識培訓,降低金融安全風險。
結束語
目前,信息安全的熱點很多,信息安全領域也提出了很多的新解決思路和解決方案。作爲金融機構的運營和管理者而言,在關注前沿技術和解決方案的同時仍需回顧和加強在員(yuán)工(gōng)安全方面的安全管理和安全技術措施。在管理層面,筆者認爲機構仍提供和保障必要的資(zī)源用于開(kāi)展體(tǐ)系化、層次化、持續化和專業化的安全教育培訓。此外(wài),企業管理層還需要解決如何在管理與執行的工(gōng)作步驟與流程中(zhōng)集成信息安全意識,徹底解決信息安全教育不等于信息安全文化這個問題。而在技術方面,筆者認爲一(yī)個具備完善漏洞閉環管理流程的漏洞補丁安全管控平台、一(yī)個能夠進行郵件正文内容、鏈接及附件安全檢測(含未知(zhī)威脅檢測)、過濾和報告的企業郵件安全網關及一(yī)套企業級個人終端安全軟件是目前最爲值得投入的技術解決措施。相信随着以上管理和技術措施的實施,相關實施機構将能有效地提升在員(yuán)工(gōng)信息安全方面的防護能力并能應對當前日益猖獗利用社會工(gōng)程學而進行的APT攻擊、網絡釣魚攻擊和勒索攻擊。
上一(yī)篇:機構:2018年黑客将首次用上人工(gōng)智能 冰箱也不能幸免
下(xià)一(yī)篇:Windows安全軟件爆出遠程代碼執行漏洞,微軟緊急修複