近日,意大利Unicredit银行遭遇了两次安全漏洞攻击。40万名客户的数据被窃取,包括贷款账号和个人身份信息(PII)。有人怀疑这一事件与第三方的互动有关。此事件是对长期以来针对金融机构的网络攻击的最新报道。但每次攻击都可以给我们一个教训。
对金融服务行业而言,2016年是很艰难的一年。在这一年,金融服务行业遭受了4400万次网络攻击,成为了遭受攻击最多的行业。
最臭名昭著的就是造成孟加拉国中央银行8100万美元损失的SWIFT漏洞。成功的攻击鼓励了犯罪分子们反复发起攻击,据报道这些犯罪分子的获利将近10亿美元。与此同时,包括Bitfinex、DAO以及Ethereum在内的比特币市场也遭到了攻击。Bitfinix是一家比特币交易公司,由于多个钱包存在的安全漏洞,该公司在一天之内就损失了超过6500万美元。
迄今为止,Anonymous也发起了一项针对金融机构的攻击活动,即OpIcarus。活动最开始只是针对英格兰银行和纽约证券交易所的简单攻击,随后快速演变为针对国际货币基金组织、中央银行以及全球证券交易所的成熟多阶段DDoS攻击。今年6月,OpIcarus已经进入了第五阶段。
所有这些攻击活动都将金融服务行业推向了Radware攻击活跃程度图的中心,而通常处在这一位置的都是政府和服务提供商。
金融机构面临的信息安全挑战
数据防护
根据Radware最新的应用及网络安全报告,保护敏感数据是企业最关注的问题。金融机构需要保护各种各样的敏感数据——PII、账户凭证、信用卡信息,以及市场预测、利率分析、投资组合等等。敏感数据在黑市中是非常有价值的,黑市中关于此类交易的记录也很多。对企业和黑客而言,数据都是有利可图的。这些黑客可以创建复杂的程序来规避保护机制并获取敏感信息。从防御者的观点来看,他们必须明确区分机器人程序和人类活动(利用基线和行为分析),并拦截与命令控制(C&C)服务器之间的信息传送。
手机银行
如何以最安全的方式确保简单友好的用户体验?这需要我们诚实面对问题。有多少企业需要在保护网络或基于Web的服务和应用安全的同时,保护移动应用的安全?这些应用所使用的所有API又如何呢?现在,再想一下手机银行——复杂性更高了。许多智能手机很容易遭到各类恶意软件的攻击,敏感信息(甚至是用户名和密码)都可能暴露在数据收集工具中。此外,移动应用通常会通过API与安装在设备上的社交媒体、位置应用和其他应用进行交互。
SSL挑战
解决问题的答案显然是使用加密数据。事实上,当前很多网站和企业都在使用100%的SSL/TLS进行信息传送。然而,由于处理加密流量需要更多的计算资源,因此这就需要进行大量的硬件升级投资。虽然新密码可能会引发高延迟并给传统系统带来挑战,但旧密码却是不安全的。重要的是,企业要明白,SSL并不是安全的替代品,由于有很多基于SSL的应用攻击和DoS攻击(如洪水或密钥重新协商),因此也必须监控SSL。因为加密攻击曾成功击垮过三分之一的金融机构。
可用性——针对金融机构的DDoS攻击的特点
众所周知,金融机构很容易引来攻击者,事实每周都有28%的金融机构遭到攻击。Anonymous发起的OpIcarus就是一项针对股票交易所和中央银行的攻击活动。突发式攻击对多数缓解解决方案都有效,因此突发式攻击也越来越多。
对不同攻击类型的准备程度。来源:Radware 2016-2017年全球应用及网络安全报告
最常见的的网络攻击类型。来源:Radware 2016-2017年全球应用及网络安全报告
最常见的应用攻击类型。来源:Radware 2016-2017年全球应用及网络安全报告
网络攻击造成的损失是想象中的两倍之多
大多数公司并没有准确地计算出与网络攻击相关的损失。那些经过精确量化的损失评估几乎是那些没有量化的损失的两倍。金融机构估计网络攻击的平均成本为50万美元。
您认为网络攻击让企业付出了多大代价?来源:Radware2016-2017年全球应用及网络安全报告
合规性:FIPS、PCI DSS、GDPR
FIPS和PCI DSS只是金融机构必须遵守的几个标准。如果这些机构未能通过审计或出现更糟糕的情况,如存在安全缺口,他们就得为不能妥善保护系统而付出很高的代价。而黑客发起攻击的成本又很低(当前Darknet中简单的网络攻击即服务工具的零售价仅为几美元)。为了能够考虑到所有风险并提供指导意见,金融机构和监管机构都必须跟得上敏捷高效的信息共享和跨平台整合方法的快速演变,这对他们而言很具有挑战性。
以下是一些关于如何显著缩小攻击范围并减少网络攻击和相关成本的建议:
1.加密——TLS可以用来保护客户端和API之间的信息传送,实现传输过程中的传输机密性和数据完整性。
2.员工教育——为了防止内部威胁,特别是BEC(商务邮件入侵),企业一定要确认员工能够遵守内部和行业规章制度,同时要注意可疑邮件和通讯,并仔细处理数据。
3.信息交换——如果不清楚接下来会发生什么,在集成第三方应用服务时就不能传递任何敏感信息。同样,对输入数据流进行质疑并过滤可能的注入、利用和攻击尝试也很重要。
4.实体数据访问——在HTTP请求行为中应用强授权和多因素身份验证机制。需要仔细分析并确定权限。
5.紧急响应计划——了解什么人在事件发生时都做了什么。确定风险,了解其影响,对关键人物进行优先级排序并提前实践。这将大大缩减事件消除周期,降低品牌声誉受损并减少罚款和相关成本。