解決威脅企業(yè)內(nèi)部安全的現(xiàn)狀2016年里全球發(fā)生了許多安全事件�,包括希拉里郵件門事件、NSA再陷泄密風(fēng)波����, SWIFT系列攻擊事件�����,臺灣第一銀行ATM欺詐取現(xiàn)事件等�。
通過事件的披露并結(jié)合信息安全專家的分析,我們看到在這些安全事件再次印證人的因素永遠是信息安全控制中最為脆弱的環(huán)節(jié)�����。
對于過去的時間而言����,我們熟悉的APT攻擊、網(wǎng)絡(luò)釣魚���、勒索軟件���、惡意軟件均是從個人環(huán)節(jié)進行入手。
因此當金融機構(gòu)的CSO����、CTO、CIO在討論目前最新的一些信息安全解決方案時���,千萬不能忽略來自內(nèi)部人員的信息安全威脅����。
員工個人信息安全的問題涉及到個人和企業(yè)兩方面。
從企業(yè)角度來看��,造成該問題的原因不局限于企業(yè)未形成安全意識文化���、安全意識教育培訓(xùn)不到位、人員工作和安全意識未緊密結(jié)合這三個主要原因��,缺乏有效減少針對員工個人攻擊面的技術(shù)手段和措施也是另一個關(guān)鍵的原因���。
這諸多的技術(shù)手段中筆者認為尤其需要關(guān)注漏洞補丁管理�、郵件網(wǎng)關(guān)防護以及終端安全防護三個關(guān)鍵和基礎(chǔ)的技術(shù)防護手段���。
漏洞補丁管理漏洞補丁管理向來都是信息安全防護的一個重點和難點�。
近觀這幾年來�����,我們可以看到一低兩高的現(xiàn)象���,即來自操作系統(tǒng)的漏洞數(shù)量呈現(xiàn)持續(xù)降低的趨勢���,而應(yīng)用軟件和高危零日漏洞數(shù)量不斷增加�。
以零日漏洞為例�,2015年發(fā)布的零日漏洞為54個(2014年僅為24個),是2006年統(tǒng)計以來最高的一年[1]�。
在2015年的統(tǒng)計中,利用最多的三個漏洞(CVE-2015-0313�����、CVE-2015-5119和CVE-2015-5112)均來自Adobe公司的安裝于終端上的Adobe Flash應(yīng)用軟件����。
圖 1: 2015年前三個高危漏洞的利用率根據(jù)統(tǒng)計,黑客團體針對這類零日漏洞的開發(fā)和利用速度極快�����。
以2015年6月23日發(fā)布同樣是Adobe Flash應(yīng)用軟件的CVE-2015-3113為例���,黑客團體在一周內(nèi)就在Magnitude����、Angler、Nuclear��、RIG�����、Neutrino漏洞利用平臺上集成了該漏洞����,其中最快的為Magnitude,4天后就進行了發(fā)布��。
因此可以看到���,如果缺乏應(yīng)對有效的漏洞管理,那么即便內(nèi)部人員有良好意識�,仍有可能被零日漏洞所擊中。
另據(jù)2017年1月16日Shavpk公司發(fā)布的調(diào)查報告中顯示59%的受調(diào)查者表示�����,除了OS操作系統(tǒng)的補丁修補外��,Java仍然是最難管理的應(yīng)用�。
接下來是Adobe Flash播放器軟件-38%, Google Chrome – 21%, Firefox – 18% 以及Apple iTunes – 10%。
此外有超過三分之二的受調(diào)查者表示每月用于補丁和漏洞管理的時間少于8個小時[2]��。
由此我們看到��,盡管絕大多數(shù)用戶都意識到漏洞管理的重要性�,但在實踐過程中,投入的精力和資源并沒有相應(yīng)的對等��。
此外�����,用戶往往更多依賴于廠家或服務(wù)商來告知漏洞的修補��。
而在用戶真正動手實施修補的時候����,以下幾個因素又往往影響到修補工作的時間進度和完成度。
漏洞的危害及可利用程度補丁的修補容易程度受影響系統(tǒng)/軟件的數(shù)量受影響系統(tǒng)/軟件的重要程度受影響系統(tǒng)/軟件的使用頻率正是由于以上諸多因素的存在�����,使得用戶IT業(yè)務(wù)環(huán)境中的漏洞修補時間與漏洞發(fā)布時間總是存在一定的時間差�。
一些機構(gòu)中發(fā)現(xiàn)的漏洞甚至有多年前的漏洞。
例如美國SecurityScorecard機構(gòu)在2016年對全美7111金融機構(gòu)的分析評估中就發(fā)現(xiàn)大約980家左右的機構(gòu)依然存在編號為CVE 2014- 3566的漏洞[3]��。
網(wǎng)絡(luò)釣魚與勒索軟件郵件是一個對個人和機構(gòu)信息安全影響巨大的應(yīng)用。
個人往往容易收到各類垃圾郵件和精心偽裝的網(wǎng)絡(luò)釣魚郵件�����,這些垃圾郵件和釣魚郵件中往往包含包括病毒��、木馬程序���、惡意鏈接和勒索軟件在類的各式惡意代碼�����。
當前的釣魚郵件通常采取點擊誘騙���、提供登錄入口、內(nèi)嵌附件���、持續(xù)性欺騙以及高度定制化的方式來誘騙郵件接收者。
而郵件接收者出于好奇����、害怕和緊急這三個最主要的人為感情因素而遭遇欺詐[4]。
根據(jù)統(tǒng)計����,在互聯(lián)網(wǎng)中每125封郵件中就有1封郵件含有惡意軟件���。
在2016年中,垃圾郵件及內(nèi)含惡意軟件的垃圾郵件數(shù)量都有上升[5]���。
在針對金融機構(gòu)發(fā)起的攻擊中��,利用釣魚郵件進行魚叉式攻擊并滲透進入內(nèi)部網(wǎng)絡(luò)是一種首選方式之一�。
攻擊者滲透進入到銀行內(nèi)部網(wǎng)絡(luò)后可以進行控制系統(tǒng)權(quán)限�����、攔截和修改數(shù)據(jù)��,發(fā)送惡意指令����、進行數(shù)據(jù)竊取等計算機犯罪活動。
2015年卡巴斯基實驗室就公布了一起通過釣魚郵件成功入侵俄羅斯某銀行而竊取ATM現(xiàn)金的攻擊事件[6]���。
此外��,利用含有勒索程序的郵件進行勒索也是這幾年日漸增加的一種攻擊方式���。
根據(jù)統(tǒng)計�,2015年中針對個人消費者的勒索攻擊占到總攻擊的57%���,針對機構(gòu)的攻擊為43%����。
根據(jù)cisco公司研究報告顯示�����,先進的漏洞利用平臺仍然依賴于Adobe Flash軟件漏洞�,這些漏洞幫助勒索軟件更為容易獲得成功并使其成為一個突出的威脅[7]。
另外�,正是由于部分個人和機構(gòu)向勒索者的妥協(xié),使得勒索軟件的數(shù)量劇增�。
Symantec公司在2014年新增發(fā)現(xiàn)77個家族,但在2015年則新增發(fā)現(xiàn)了100個家族�����。
當前勒索軟件呈現(xiàn)高度組織化和自助服務(wù)化的趨勢���。
例如�����,一些勒索軟件不僅僅通過頁面提示受害者支付轉(zhuǎn)賬金額或比特幣�,它們在頁面上還提供了其后臺呼叫中心的服務(wù)電話號碼提供提供5*8小時的電話服務(wù)指導(dǎo)你如何支付贖金以及如何在支付贖金后進行技術(shù)解鎖操作��,犯罪組織的專業(yè)性由此可見���。
在2015年中�����,地下黑產(chǎn)已經(jīng)將勒索軟件已發(fā)展成為一種勒索軟件即服務(wù)的模式(Ransomware-as-a-Service, RaaS)圖 2: RaaS的用戶定制截圖[8]此外勒索軟件一直在進行精心的偽裝并誘騙用戶點擊郵件附件或郵件鏈接�����。
下圖是cisco公司在2016年監(jiān)測在垃圾郵件中最常見的社會工程欺詐主題/內(nèi)容圖 3: 2016年垃圾郵件中最常見社會工程欺詐主題/內(nèi)容[5]終端安全防護終端安全防護是另一個重要的安全防護措施�����。
我們稍微可以值得慶幸的是安裝于個人終端的殺毒軟件比例是比較高的���,根據(jù)瑞星公司《2016年中國信息安全報告》顯示發(fā)現(xiàn)國內(nèi)企業(yè)部署終端安全防護產(chǎn)品占比81.79%,位列第一位����。
但該數(shù)據(jù)依然提示我們��,仍有近五分之一的企業(yè)仍未考慮部署終端安全防護產(chǎn)品���。
人員流動除了以上技術(shù)層面的考慮外,行業(yè)的人員流動也是需要金融機構(gòu)管理層考慮的安全問題之一����。
根據(jù)前程無憂在《2016離職與調(diào)薪報告》一文中的數(shù)據(jù),在2015年里金融機構(gòu)有18.1%的人員流動率���。
而在《2017離職與調(diào)薪調(diào)研報告》一文中的數(shù)據(jù)顯示在2016年里金融機構(gòu)有17.3%的人員流動率����。
由于人員的流動頻度��,將導(dǎo)致一些企業(yè)不情愿展開和進行更多人員內(nèi)訓(xùn)工作�����。
具體體現(xiàn)在企業(yè)可能更為注重人員的在崗技能培訓(xùn)�,而降低信息安全意識方面培訓(xùn)的資源投入。
此外由于不同機構(gòu)之間在信息安全策略和信息安全管控能力之間的不同,一個從信息安全管理較為滯后的機構(gòu)來的新員工在新工作崗位中可能較難以適從新機構(gòu)的信息安全策略����,也更容易成為社會工程學(xué)攻擊的受害者��。
隨著互聯(lián)網(wǎng)融資���、互聯(lián)網(wǎng)金融服務(wù)等“互聯(lián)網(wǎng)金融”業(yè)務(wù)形態(tài)的快速發(fā)展��,互聯(lián)網(wǎng)金融人才缺口在加大的同時將吸引更多的人才投身金融行業(yè)�����。
根據(jù)CFCA���、羅蘭貝格管理咨詢公司、LinkedIn公司聯(lián)合出版的《2016年中國金融行業(yè)人才發(fā)展報告》的數(shù)據(jù)指出2015年中國金融行業(yè)的從業(yè)人員為558萬����,較之2014年的501萬增長了57萬,增長率為11.37%�����,這其中又以私募基金的人才增長為最高,2014-2015年增幅達到了205%���。
因此���,金融行業(yè)尤其是基金和互聯(lián)網(wǎng)金融行業(yè)更需要在大量吸收引進人才,擴展業(yè)務(wù)的同時��,加強對人員的信息安全意識培訓(xùn)�,降低金融安全風(fēng)險。
