前言

2016年里全球發(fā)生了許多安全事件，包括希拉里郵件門事件、NSA再陷泄密風(fēng)波， SWIFT系列攻擊事件，臺灣第一銀行ATM欺詐取現(xiàn)事件等。通過事件的披露并結(jié)合信息安全專家的分析，我們看到在這些安全事件再次印證人的因素永遠(yuǎn)是信息安全控制中最為脆弱的環(huán)節(jié)。對于過去的時間而言，我們熟悉的APT攻擊、網(wǎng)絡(luò)釣魚、勒索軟件、惡意軟件均是從個人環(huán)節(jié)進(jìn)行入手。因此當(dāng)金融機(jī)構(gòu)的CSO、CTO、CIO在討論目前最新的一些信息安全解決方案時，千萬不能忽略來自內(nèi)部人員的信息安全威脅。

[[212579]]

員工個人信息安全的問題涉及到個人和企業(yè)兩方面。從企業(yè)角度來看，造成該問題的原因不局限于企業(yè)未形成安全意識文化、安全意識教育培訓(xùn)不到位、人員工作和安全意識未緊密結(jié)合這三個主要原因，缺乏有效減少針對員工個人攻擊面的技術(shù)手段和措施也是另一個關(guān)鍵的原因。這諸多的技術(shù)手段中筆者認(rèn)為尤其需要關(guān)注漏洞補(bǔ)丁管理、郵件網(wǎng)關(guān)防護(hù)以及終端安全防護(hù)三個關(guān)鍵和基礎(chǔ)的技術(shù)防護(hù)手段。

漏洞補(bǔ)丁管理

漏洞補(bǔ)丁管理向來都是信息安全防護(hù)的一個重點(diǎn)和難點(diǎn)。近觀這幾年來，我們可以看到一低兩高的現(xiàn)象，即來自操作系統(tǒng)的漏洞數(shù)量呈現(xiàn)持續(xù)降低的趨勢，而應(yīng)用軟件和高危零日漏洞數(shù)量不斷增加。以零日漏洞為例，2015年發(fā)布的零日漏洞為54個(2014年僅為24個)，是2006年統(tǒng)計(jì)以來最高的一年[1]。在2015年的統(tǒng)計(jì)中，利用最多的三個漏洞(CVE-2015-0313、CVE-2015-5119和CVE-2015-5112)均來自Adobe公司的安裝于終端上的Adobe Flash應(yīng)用軟件。

圖 1: 2015年前三個高危漏洞的利用率

根據(jù)統(tǒng)計(jì)，黑客團(tuán)體針對這類零日漏洞的開發(fā)和利用速度極快。以2015年6月23日發(fā)布同樣是Adobe Flash應(yīng)用軟件的CVE-2015-3113為例，黑客團(tuán)體在一周內(nèi)就在Magnitude、Angler、Nuclear、RIG、Neutrino漏洞利用平臺上集成了該漏洞，其中最快的為Magnitude，4天后就進(jìn)行了發(fā)布。因此可以看到，如果缺乏應(yīng)對有效的漏洞管理，那么即便內(nèi)部人員有良好意識，仍有可能被零日漏洞所擊中。另據(jù)2017年1月16日Shavlik公司發(fā)布的調(diào)查報(bào)告中顯示59%的受調(diào)查者表示，除了OS操作系統(tǒng)的補(bǔ)丁修補(bǔ)外，Java仍然是最難管理的應(yīng)用。接下來是Adobe Flash播放器軟件-38%， Google Chrome – 21%, Firefox – 18% 以及Apple iTunes – 10%。此外有超過三分之二的受調(diào)查者表示每月用于補(bǔ)丁和漏洞管理的時間少于8個小時[2]。由此我們看到，盡管絕大多數(shù)用戶都意識到漏洞管理的重要性，但在實(shí)踐過程中，投入的精力和資源并沒有相應(yīng)的對等。此外，用戶往往更多依賴于廠家或服務(wù)商來告知漏洞的修補(bǔ)。而在用戶真正動手實(shí)施修補(bǔ)的時候，以下幾個因素又往往影響到修補(bǔ)工作的時間進(jìn)度和完成度。

• 漏洞的危害及可利用程度
• 補(bǔ)丁的修補(bǔ)容易程度
• 受影響系統(tǒng)/軟件的數(shù)量
• 受影響系統(tǒng)/軟件的重要程度
• 受影響系統(tǒng)/軟件的使用頻率

正是由于以上諸多因素的存在，使得用戶IT業(yè)務(wù)環(huán)境中的漏洞修補(bǔ)時間與漏洞發(fā)布時間總是存在一定的時間差。一些機(jī)構(gòu)中發(fā)現(xiàn)的漏洞甚至有多年前的漏洞。例如美國SecurityScorecard機(jī)構(gòu)在2016年對全美7111金融機(jī)構(gòu)的分析評估中就發(fā)現(xiàn)大約980家左右的機(jī)構(gòu)依然存在編號為CVE 2014- 3566的漏洞[3]。

網(wǎng)絡(luò)釣魚與勒索軟件

郵件是一個對個人和機(jī)構(gòu)信息安全影響巨大的應(yīng)用。個人往往容易收到各類垃圾郵件和精心偽裝的網(wǎng)絡(luò)釣魚郵件，這些垃圾郵件和釣魚郵件中往往包含包括病毒、木馬程序、惡意鏈接和勒索軟件在類的各式惡意代碼。當(dāng)前的釣魚郵件通常采取點(diǎn)擊誘騙、提供登錄入口、內(nèi)嵌附件、持續(xù)性欺騙以及高度定制化的方式來誘騙郵件接收者。而郵件接收者出于好奇、害怕和緊急這三個最主要的人為感情因素而遭遇欺詐[4]。根據(jù)統(tǒng)計(jì)，在互聯(lián)網(wǎng)中每125封郵件中就有1封郵件含有惡意軟件。在2016年中，垃圾郵件及內(nèi)含惡意軟件的垃圾郵件數(shù)量都有上升[5]。在針對金融機(jī)構(gòu)發(fā)起的攻擊中，利用釣魚郵件進(jìn)行魚叉式攻擊并滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)是一種首選方式之一。攻擊者滲透進(jìn)入到銀行內(nèi)部網(wǎng)絡(luò)后可以進(jìn)行控制系統(tǒng)權(quán)限、攔截和修改數(shù)據(jù)，發(fā)送惡意指令、進(jìn)行數(shù)據(jù)竊取等計(jì)算機(jī)犯罪活動。2015年卡巴斯基實(shí)驗(yàn)室就公布了一起通過釣魚郵件成功入侵俄羅斯某銀行而竊取ATM現(xiàn)金的攻擊事件[6]。

此外，利用含有勒索程序的郵件進(jìn)行勒索也是這幾年日漸增加的一種攻擊方式。根據(jù)統(tǒng)計(jì)，2015年中針對個人消費(fèi)者的勒索攻擊占到總攻擊的57%，針對機(jī)構(gòu)的攻擊為43%。根據(jù)cisco公司研究報(bào)告顯示，先進(jìn)的漏洞利用平臺仍然依賴于Adobe Flash軟件漏洞，這些漏洞幫助勒索軟件更為容易獲得成功并使其成為一個突出的威脅[7]。另外，正是由于部分個人和機(jī)構(gòu)向勒索者的妥協(xié)，使得勒索軟件的數(shù)量劇增。Symantec公司在2014年新增發(fā)現(xiàn)77個家族，但在2015年則新增發(fā)現(xiàn)了100個家族。當(dāng)前勒索軟件呈現(xiàn)高度組織化和自助服務(wù)化的趨勢。例如，一些勒索軟件不僅僅通過頁面提示受害者支付轉(zhuǎn)賬金額或比特幣，它們在頁面上還提供了其后臺呼叫中心的服務(wù)電話號碼提供提供5*8小時的電話服務(wù)指導(dǎo)你如何支付贖金以及如何在支付贖金后進(jìn)行技術(shù)解鎖操作，犯罪組織的專業(yè)性由此可見。在2015年中，地下黑產(chǎn)已經(jīng)將勒索軟件已發(fā)展成為一種勒索軟件即服務(wù)的模式(Ransomware-as-a-Service, RaaS)

圖 2: RaaS的用戶定制截圖[8]

此外勒索軟件一直在進(jìn)行精心的偽裝并誘騙用戶點(diǎn)擊郵件附件或郵件鏈接。下圖是cisco公司在2016年監(jiān)測在垃圾郵件中最常見的社會工程欺詐主題/內(nèi)容

圖 3: 2016年垃圾郵件中最常見社會工程欺詐主題/內(nèi)容[5]

總體而言，個人用戶的警惕性不高，勒索軟件的精心偽裝和誘惑，對高危漏洞/零日漏洞的利用以及缺乏郵件檢測過濾防護(hù)系統(tǒng)是勒索軟件獲得成功的主要因素。對于金融行業(yè)而言，勒索軟件將是2017年一個需要注意的方向。美國聯(lián)邦金融機(jī)構(gòu)檢查委員會(FFIEC)和金融服務(wù)業(yè)協(xié)調(diào)委員會(FSSCC)在2015年晚些時候向美國金融服務(wù)行業(yè)就勒索軟件單獨(dú)發(fā)布了特別警告。而根據(jù)美國SANS機(jī)構(gòu)的2016年底的一份針對金融行業(yè)機(jī)構(gòu)的調(diào)查報(bào)告顯示55%的機(jī)構(gòu)認(rèn)為勒索軟件超越網(wǎng)絡(luò)釣魚(50%)成為首選的安全威脅之一，32%的機(jī)構(gòu)反映他們損失了10萬美元至50萬美元不等的損失[9]。

終端安全防護(hù)

終端安全防護(hù)是另一個重要的安全防護(hù)措施。我們稍微可以值得慶幸的是安裝于個人終端的殺毒軟件比例是比較高的，根據(jù)瑞星公司《2016年中國信息安全報(bào)告》顯示發(fā)現(xiàn)國內(nèi)企業(yè)部署終端安全防護(hù)產(chǎn)品占比81.79%，位列第一位。但該數(shù)據(jù)依然提示我們，仍有近五分之一的企業(yè)仍未考慮部署終端安全防護(hù)產(chǎn)品。

人員流動

除了以上技術(shù)層面的考慮外，行業(yè)的人員流動也是需要金融機(jī)構(gòu)管理層考慮的安全問題之一。根據(jù)前程無憂在《2016離職與調(diào)薪報(bào)告》一文中的數(shù)據(jù)，在2015年里金融機(jī)構(gòu)有18.1%的人員流動率。而在《2017離職與調(diào)薪調(diào)研報(bào)告》一文中的數(shù)據(jù)顯示在2016年里金融機(jī)構(gòu)有17.3%的人員流動率。由于人員的流動頻度，將導(dǎo)致一些企業(yè)不情愿展開和進(jìn)行更多人員內(nèi)訓(xùn)工作。具體體現(xiàn)在企業(yè)可能更為注重人員的在崗技能培訓(xùn)，而降低信息安全意識方面培訓(xùn)的資源投入。此外由于不同機(jī)構(gòu)之間在信息安全策略和信息安全管控能力之間的不同，一個從信息安全管理較為滯后的機(jī)構(gòu)來的新員工在新工作崗位中可能較難以適從新機(jī)構(gòu)的信息安全策略，也更容易成為社會工程學(xué)攻擊的受害者。隨著互聯(lián)網(wǎng)融資、互聯(lián)網(wǎng)金融服務(wù)等“互聯(lián)網(wǎng)金融”業(yè)務(wù)形態(tài)的快速發(fā)展，互聯(lián)網(wǎng)金融人才缺口在加大的同時將吸引更多的人才投身金融行業(yè)。根據(jù)CFCA、羅蘭貝格管理咨詢公司、LinkedIn公司聯(lián)合出版的《2016年中國金融行業(yè)人才發(fā)展報(bào)告》的數(shù)據(jù)指出2015年中國金融行業(yè)的從業(yè)人員為558萬，較之2014年的501萬增長了57萬，增長率為11.37%，這其中又以私募基金的人才增長為最高，2014-2015年增幅達(dá)到了205%。因此，金融行業(yè)尤其是基金和互聯(lián)網(wǎng)金融行業(yè)更需要在大量吸收引進(jìn)人才，擴(kuò)展業(yè)務(wù)的同時，加強(qiáng)對人員的信息安全意識培訓(xùn)，降低金融安全風(fēng)險(xiǎn)。

結(jié)束語

目前，信息安全的熱點(diǎn)很多，信息安全領(lǐng)域也提出了很多的新解決思路和解決方案。作為金融機(jī)構(gòu)的運(yùn)營和管理者而言，在關(guān)注前沿技術(shù)和解決方案的同時仍需回顧和加強(qiáng)在員工安全方面的安全管理和安全技術(shù)措施。在管理層面，筆者認(rèn)為機(jī)構(gòu)仍提供和保障必要的資源用于開展體系化、層次化、持續(xù)化和專業(yè)化的安全教育培訓(xùn)。此外，企業(yè)管理層還需要解決如何在管理與執(zhí)行的工作步驟與流程中集成信息安全意識，徹底解決信息安全教育不等于信息安全文化這個問題。而在技術(shù)方面，筆者認(rèn)為一個具備完善漏洞閉環(huán)管理流程的漏洞補(bǔ)丁安全管控平臺、一個能夠進(jìn)行郵件正文內(nèi)容、鏈接及附件安全檢測(含未知威脅檢測)、過濾和報(bào)告的企業(yè)郵件安全網(wǎng)關(guān)及一套企業(yè)級個人終端安全軟件是目前最為值得投入的技術(shù)解決措施。相信隨著以上管理和技術(shù)措施的實(shí)施，相關(guān)實(shí)施機(jī)構(gòu)將能有效地提升在員工信息安全方面的防護(hù)能力并能應(yīng)對當(dāng)前日益猖獗利用社會工程學(xué)而進(jìn)行的APT攻擊、網(wǎng)絡(luò)釣魚攻擊和勒索攻擊。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文