[[436498]]

勒索軟件攻擊事件近年來總是成為頭條新聞。從安盛集團(tuán)到CAN Financial，金融行業(yè)也無法避免風(fēng)險。對于許多企業(yè)來說，最初的擔(dān)憂集中在贖金成本上，但是，他們面臨更廣泛的損害和越來越多地與安全、收入損失和聲譽(yù)損害相關(guān)的問題。例如在Kaseya公司遭遇的網(wǎng)絡(luò)攻擊事件中，勒索的贖金為7000萬美元，這也表明“受信任的”服務(wù)提供商和第三方供應(yīng)鏈參與者可能帶來的風(fēng)險越來越大，其乘數(shù)效應(yīng)可以迅速影響100萬個端點。

金融服務(wù)部門的網(wǎng)絡(luò)效應(yīng)使所有利益相關(guān)者受益者。然而，共享數(shù)據(jù)和服務(wù)的增長增加了網(wǎng)絡(luò)攻擊的風(fēng)險。而且，正如人們所看到的勒索軟件對燃油管道公司甚至食品加工商帶來的影響，系統(tǒng)鎖定對企業(yè)和個人的影響是巨大的。如果客戶無法在整個供應(yīng)鏈中獲得資金或與服務(wù)提供商進(jìn)行交易，其帶來的焦慮和成本就會升級，企業(yè)的商業(yè)聲譽(yù)也會迅速受損。

簡單的出路是什么?

很多企業(yè)曾經(jīng)將支付贖金視為解決勒索軟件攻擊問題的一個“快速解決方案”。然而，隨著美國證券交易委員會(SEC)和美國海外資產(chǎn)控制辦公室(OFAC)正在考慮在法國和美國禁止支付贖金，這一選擇現(xiàn)在可能會成為過去。在澳大利亞，卻有人呼吁強(qiáng)制通知勒索軟件受害者支付贖金。

金融部門還需要考慮到，即使支付了贖金，解密過程和恢復(fù)正常業(yè)務(wù)的過程也可能非常緩慢。隨著受供應(yīng)鏈勒索軟件攻擊影響的規(guī)模不斷升級，越來越多的事件表明恢復(fù)時間至關(guān)重要。如果不能信任來自網(wǎng)絡(luò)攻擊者的解密密鑰，那么建議投入時間和精力從頭開始重建、重新配置和保護(hù)IT系統(tǒng)和服務(wù)，以確保它們的完整性。

盡管支付贖金可能會成為非法行為，但網(wǎng)絡(luò)保險仍將是企業(yè)為快速恢復(fù)和運(yùn)行以及減少中斷提供資金的有效工具。而保險公司要求，在獲得網(wǎng)絡(luò)保險單之前，承保者現(xiàn)在必須證明其擁有足夠的網(wǎng)絡(luò)安全控制措施。事實上，越來越多的勒索軟件威脅使得保險費(fèi)用可能會進(jìn)一步增加，因此獲得可驗證的網(wǎng)絡(luò)風(fēng)險管理能力可能會在企業(yè)董事會的優(yōu)先事項列表中進(jìn)一步上升。

充滿挑戰(zhàn)的環(huán)境

金融部門還面臨一些其他特殊的挑戰(zhàn)。許多金融機(jī)構(gòu)持有大量個人數(shù)據(jù)，無論是賬戶、交易、用戶還是報告。使這一問題復(fù)雜化的是開放銀行立法，例如英國/歐盟的PSD2和澳大利亞的CDR法規(guī)，它要求客戶批準(zhǔn)共享其個人數(shù)據(jù)的過程簡單易行。消費(fèi)者在金融行業(yè)參與者之間持有和傳輸其個人信息的這些權(quán)利，將必然會重新分配該行業(yè)的網(wǎng)絡(luò)安全責(zé)任。因此，在適應(yīng)不斷變化的環(huán)境的這段時間內(nèi)，會增加網(wǎng)絡(luò)安全風(fēng)險。

金融服務(wù)業(yè)已經(jīng)成為對網(wǎng)絡(luò)犯罪分子有吸引力的目標(biāo)。客戶對其數(shù)據(jù)的訪問有更大控制權(quán)的要求增加了為應(yīng)對全新級別的勒索軟件做好準(zhǔn)備的要求。企業(yè)可能面臨多種風(fēng)險，從心懷不滿的員工的破壞到網(wǎng)絡(luò)欺詐，再到旨在大規(guī)模竊取個人數(shù)據(jù)的勒索軟件攻擊。那么金融行業(yè)可以采取什么措施來保護(hù)自己?

為應(yīng)對勒索軟件攻擊做好準(zhǔn)備

部署防病毒軟件和網(wǎng)絡(luò)防御以及端點檢測和響應(yīng)的興起，可以幫助企業(yè)管理和應(yīng)對網(wǎng)絡(luò)攻擊。但這些解決方案首先依賴于檢測惡意活動。如果端點或網(wǎng)絡(luò)解決方案在沒有警告的情況下遭遇了網(wǎng)絡(luò)攻擊怎么辦?企業(yè)是否了解正在發(fā)生的事情?是否有其他控制措施可以減輕威脅?它們是否作為IT風(fēng)險管理計劃的一部分進(jìn)行監(jiān)控和管理?

在勒索軟件造成嚴(yán)重?fù)p害之前，必須更加注意防止或至少限制成功的勒索軟件攻擊。而實施基本的網(wǎng)絡(luò)安全控制并努力保護(hù)公認(rèn)的威脅向量，確實會帶來好處，因為這些正是勒索軟件攻擊者可能利用的弱點。

有三個方面需要重點關(guān)注。前兩個是預(yù)防初始感染，如果確實發(fā)生，則控制或限制傳播。這些策略需要與第三種策略(恢復(fù))相結(jié)合，以確保系統(tǒng)和數(shù)據(jù)能夠恢復(fù)，并且事件能夠成功管理。有效的風(fēng)險管理原則，可以識別和分類風(fēng)險，并進(jìn)行相應(yīng)管理。

企業(yè)可以采取一些關(guān)鍵保障措施來支持這些要素：

(1)預(yù)防

• 應(yīng)用程序控制——確保只有經(jīng)過批準(zhǔn)的軟件才能在計算機(jī)系統(tǒng)上運(yùn)行，通過限制它們可以執(zhí)行的內(nèi)容來保護(hù)系統(tǒng)。
• 應(yīng)用程序修補(bǔ)——應(yīng)用程序必須定期更新，以防止網(wǎng)絡(luò)入侵者利用軟件中的已知漏洞。
• 宏安全——檢查宏和文檔設(shè)置是否正確配置，并防止激活惡意代碼。
• 強(qiáng)化用戶應(yīng)用程序和瀏覽器——使用有效的安全策略來限制用戶對活動內(nèi)容和網(wǎng)絡(luò)代碼的訪問。
• 防火墻/外圍——甚至物理現(xiàn)場安全也要限制用戶訪問出站和遠(yuǎn)程連接入站。
• 員工的安全意識——雖然不是技術(shù)控制，但建立“網(wǎng)絡(luò)文化”并讓員工更好地了解網(wǎng)絡(luò)安全、威脅和緩解策略，可以最大限度地減少網(wǎng)絡(luò)攻擊，這一點至關(guān)重要。

(2)遏制

• 限制管理權(quán)限——通過只允許那些需要訪問系統(tǒng)的員工這樣做來限制管理權(quán)限，然后僅用于指定目的和受控訪問。
• 操作系統(tǒng)補(bǔ)丁——完全修補(bǔ)的操作系統(tǒng)將顯著降低惡意軟件或勒索軟件在網(wǎng)絡(luò)上傳播的可能性。
• 多因素身份驗證——用于管理用戶對高度敏感的帳戶和系統(tǒng)(包括遠(yuǎn)程用戶)的訪問。
• 端點保護(hù)——安裝防病毒軟件并保持更新。

(3)恢復(fù)

• 定期備份——異地保護(hù)數(shù)據(jù)和系統(tǒng)備份，并測試恢復(fù)過程。
• 事件響應(yīng)——在應(yīng)對最壞的情況時，確保每個人都精通事件管理手冊。

在控制中獲得保證

企業(yè)必須確保他們正在監(jiān)控他們的安全控制措施，以確保有效地工作。如果控制無效，IT團(tuán)隊需要迅速了解以減輕任何缺陷，并恢復(fù)適當(dāng)?shù)木W(wǎng)絡(luò)安全態(tài)勢。確保這些風(fēng)險是企業(yè)董事會關(guān)注的“網(wǎng)絡(luò)安全文化”，這將提高企業(yè)的整體勒索軟件防范能力。

企業(yè)董事會應(yīng)該收到提供這些控制的清晰可見的報告，并將這些關(guān)鍵績效指標(biāo)(KPI)作為其網(wǎng)絡(luò)安全風(fēng)險管理流程的一部分。它們可以用作持續(xù)網(wǎng)絡(luò)安全改進(jìn)計劃的一部分。能夠監(jiān)控準(zhǔn)備情況并評估網(wǎng)絡(luò)攻擊風(fēng)險，可以提供早期預(yù)警防御，并確認(rèn)網(wǎng)絡(luò)安全風(fēng)險管理流程已經(jīng)到位。

結(jié)語

在實施全面的網(wǎng)絡(luò)安全風(fēng)險管理實踐方面，金融服務(wù)部門面臨著許多挑戰(zhàn)。如果銀行或保險公司受到重大勒索軟件攻擊的影響，則對經(jīng)濟(jì)的更廣泛影響可能是重大的。由Colonial燃油管道事件造成的燃料短缺讓人們看到了由此引起的廣泛的公眾恐慌和擔(dān)憂。這讓人想起2007年金融危機(jī)開始時英國北巖銀行分行的貨幣擠兌事件。如果大規(guī)模勒索軟件攻擊使消費(fèi)者無法獲得存在銀行中的存款，那么公眾恐慌的程度將不言而喻。

金融行業(yè)組織必須擁有全面的網(wǎng)絡(luò)防御和控制措施，并有定期監(jiān)控的支持，以確保它們有效運(yùn)行，確保如果一個控制措施無法識別或阻止攻擊，其他補(bǔ)充控制措施可以運(yùn)行并能夠限制其影響.

這樣一來，就可以將網(wǎng)絡(luò)攻擊的風(fēng)險降到最低，企業(yè)可以保持有效的IT治理，以更好地防止對其系統(tǒng)、運(yùn)營和聲譽(yù)造成代價高昂的破壞。