前言

2016年里全球發(fā)生了許多安全事件，包括希拉里郵件門事件、NSA再陷泄密風(fēng)波， SWIFT系列攻擊事件，臺(tái)灣第一銀行ATM欺詐取現(xiàn)事件等。通過事件的披露并結(jié)合信息安全專家的分析，我們看到在這些安全事件再次印證人的因素永遠(yuǎn)是信息安全控制中最為脆弱的環(huán)節(jié)。對(duì)于過去的時(shí)間而言，我們熟悉的APT攻擊、網(wǎng)絡(luò)釣魚、勒索軟件、惡意軟件均是從個(gè)人環(huán)節(jié)進(jìn)行入手。因此當(dāng)金融機(jī)構(gòu)的CSO、CTO、CIO在討論目前最新的一些信息安全解決方案時(shí)，千萬不能忽略來自內(nèi)部人員的信息安全威脅。

[[212579]]

員工個(gè)人信息安全的問題涉及到個(gè)人和企業(yè)兩方面。從企業(yè)角度來看，造成該問題的原因不局限于企業(yè)未形成安全意識(shí)文化、安全意識(shí)教育培訓(xùn)不到位、人員工作和安全意識(shí)未緊密結(jié)合這三個(gè)主要原因，缺乏有效減少針對(duì)員工個(gè)人攻擊面的技術(shù)手段和措施也是另一個(gè)關(guān)鍵的原因。這諸多的技術(shù)手段中筆者認(rèn)為尤其需要關(guān)注漏洞補(bǔ)丁管理、郵件網(wǎng)關(guān)防護(hù)以及終端安全防護(hù)三個(gè)關(guān)鍵和基礎(chǔ)的技術(shù)防護(hù)手段。

漏洞補(bǔ)丁管理

漏洞補(bǔ)丁管理向來都是信息安全防護(hù)的一個(gè)重點(diǎn)和難點(diǎn)。近觀這幾年來，我們可以看到一低兩高的現(xiàn)象，即來自操作系統(tǒng)的漏洞數(shù)量呈現(xiàn)持續(xù)降低的趨勢(shì)，而應(yīng)用軟件和高危零日漏洞數(shù)量不斷增加。以零日漏洞為例，2015年發(fā)布的零日漏洞為54個(gè)(2014年僅為24個(gè))，是2006年統(tǒng)計(jì)以來最高的一年[1]。在2015年的統(tǒng)計(jì)中，利用最多的三個(gè)漏洞(CVE-2015-0313、CVE-2015-5119和CVE-2015-5112)均來自Adobe公司的安裝于終端上的Adobe Flash應(yīng)用軟件。

圖 1: 2015年前三個(gè)高危漏洞的利用率

根據(jù)統(tǒng)計(jì)，黑客團(tuán)體針對(duì)這類零日漏洞的開發(fā)和利用速度極快。以2015年6月23日發(fā)布同樣是Adobe Flash應(yīng)用軟件的CVE-2015-3113為例，黑客團(tuán)體在一周內(nèi)就在Magnitude、Angler、Nuclear、RIG、Neutrino漏洞利用平臺(tái)上集成了該漏洞，其中最快的為Magnitude，4天后就進(jìn)行了發(fā)布。因此可以看到，如果缺乏應(yīng)對(duì)有效的漏洞管理，那么即便內(nèi)部人員有良好意識(shí)，仍有可能被零日漏洞所擊中。另據(jù)2017年1月16日Shavlik公司發(fā)布的調(diào)查報(bào)告中顯示59%的受調(diào)查者表示，除了OS操作系統(tǒng)的補(bǔ)丁修補(bǔ)外，Java仍然是最難管理的應(yīng)用。接下來是Adobe Flash播放器軟件-38%， Google Chrome – 21%, Firefox – 18% 以及Apple iTunes – 10%。此外有超過三分之二的受調(diào)查者表示每月用于補(bǔ)丁和漏洞管理的時(shí)間少于8個(gè)小時(shí)[2]。由此我們看到，盡管絕大多數(shù)用戶都意識(shí)到漏洞管理的重要性，但在實(shí)踐過程中，投入的精力和資源并沒有相應(yīng)的對(duì)等。此外，用戶往往更多依賴于廠家或服務(wù)商來告知漏洞的修補(bǔ)。而在用戶真正動(dòng)手實(shí)施修補(bǔ)的時(shí)候，以下幾個(gè)因素又往往影響到修補(bǔ)工作的時(shí)間進(jìn)度和完成度。

• 漏洞的危害及可利用程度
• 補(bǔ)丁的修補(bǔ)容易程度
• 受影響系統(tǒng)/軟件的數(shù)量
• 受影響系統(tǒng)/軟件的重要程度
• 受影響系統(tǒng)/軟件的使用頻率

正是由于以上諸多因素的存在，使得用戶IT業(yè)務(wù)環(huán)境中的漏洞修補(bǔ)時(shí)間與漏洞發(fā)布時(shí)間總是存在一定的時(shí)間差。一些機(jī)構(gòu)中發(fā)現(xiàn)的漏洞甚至有多年前的漏洞。例如美國(guó)SecurityScorecard機(jī)構(gòu)在2016年對(duì)全美7111金融機(jī)構(gòu)的分析評(píng)估中就發(fā)現(xiàn)大約980家左右的機(jī)構(gòu)依然存在編號(hào)為CVE 2014- 3566的漏洞[3]。

網(wǎng)絡(luò)釣魚與勒索軟件

郵件是一個(gè)對(duì)個(gè)人和機(jī)構(gòu)信息安全影響巨大的應(yīng)用。個(gè)人往往容易收到各類垃圾郵件和精心偽裝的網(wǎng)絡(luò)釣魚郵件，這些垃圾郵件和釣魚郵件中往往包含包括病毒、木馬程序、惡意鏈接和勒索軟件在類的各式惡意代碼。當(dāng)前的釣魚郵件通常采取點(diǎn)擊誘騙、提供登錄入口、內(nèi)嵌附件、持續(xù)性欺騙以及高度定制化的方式來誘騙郵件接收者。而郵件接收者出于好奇、害怕和緊急這三個(gè)最主要的人為感情因素而遭遇欺詐[4]。根據(jù)統(tǒng)計(jì)，在互聯(lián)網(wǎng)中每125封郵件中就有1封郵件含有惡意軟件。在2016年中，垃圾郵件及內(nèi)含惡意軟件的垃圾郵件數(shù)量都有上升[5]。在針對(duì)金融機(jī)構(gòu)發(fā)起的攻擊中，利用釣魚郵件進(jìn)行魚叉式攻擊并滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)是一種首選方式之一。攻擊者滲透進(jìn)入到銀行內(nèi)部網(wǎng)絡(luò)后可以進(jìn)行控制系統(tǒng)權(quán)限、攔截和修改數(shù)據(jù)，發(fā)送惡意指令、進(jìn)行數(shù)據(jù)竊取等計(jì)算機(jī)犯罪活動(dòng)。2015年卡巴斯基實(shí)驗(yàn)室就公布了一起通過釣魚郵件成功入侵俄羅斯某銀行而竊取ATM現(xiàn)金的攻擊事件[6]。

此外，利用含有勒索程序的郵件進(jìn)行勒索也是這幾年日漸增加的一種攻擊方式。根據(jù)統(tǒng)計(jì)，2015年中針對(duì)個(gè)人消費(fèi)者的勒索攻擊占到總攻擊的57%，針對(duì)機(jī)構(gòu)的攻擊為43%。根據(jù)cisco公司研究報(bào)告顯示，先進(jìn)的漏洞利用平臺(tái)仍然依賴于Adobe Flash軟件漏洞，這些漏洞幫助勒索軟件更為容易獲得成功并使其成為一個(gè)突出的威脅[7]。另外，正是由于部分個(gè)人和機(jī)構(gòu)向勒索者的妥協(xié)，使得勒索軟件的數(shù)量劇增。Symantec公司在2014年新增發(fā)現(xiàn)77個(gè)家族，但在2015年則新增發(fā)現(xiàn)了100個(gè)家族。當(dāng)前勒索軟件呈現(xiàn)高度組織化和自助服務(wù)化的趨勢(shì)。例如，一些勒索軟件不僅僅通過頁面提示受害者支付轉(zhuǎn)賬金額或比特幣，它們?cè)陧撁嫔线€提供了其后臺(tái)呼叫中心的服務(wù)電話號(hào)碼提供提供5*8小時(shí)的電話服務(wù)指導(dǎo)你如何支付贖金以及如何在支付贖金后進(jìn)行技術(shù)解鎖操作，犯罪組織的專業(yè)性由此可見。在2015年中，地下黑產(chǎn)已經(jīng)將勒索軟件已發(fā)展成為一種勒索軟件即服務(wù)的模式(Ransomware-as-a-Service, RaaS)

圖 2: RaaS的用戶定制截圖[8]

此外勒索軟件一直在進(jìn)行精心的偽裝并誘騙用戶點(diǎn)擊郵件附件或郵件鏈接。下圖是cisco公司在2016年監(jiān)測(cè)在垃圾郵件中最常見的社會(huì)工程欺詐主題/內(nèi)容

圖 3: 2016年垃圾郵件中最常見社會(huì)工程欺詐主題/內(nèi)容[5]

總體而言，個(gè)人用戶的警惕性不高，勒索軟件的精心偽裝和誘惑，對(duì)高危漏洞/零日漏洞的利用以及缺乏郵件檢測(cè)過濾防護(hù)系統(tǒng)是勒索軟件獲得成功的主要因素。對(duì)于金融行業(yè)而言，勒索軟件將是2017年一個(gè)需要注意的方向。美國(guó)聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)(FFIEC)和金融服務(wù)業(yè)協(xié)調(diào)委員會(huì)(FSSCC)在2015年晚些時(shí)候向美國(guó)金融服務(wù)行業(yè)就勒索軟件單獨(dú)發(fā)布了特別警告。而根據(jù)美國(guó)SANS機(jī)構(gòu)的2016年底的一份針對(duì)金融行業(yè)機(jī)構(gòu)的調(diào)查報(bào)告顯示55%的機(jī)構(gòu)認(rèn)為勒索軟件超越網(wǎng)絡(luò)釣魚(50%)成為首選的安全威脅之一，32%的機(jī)構(gòu)反映他們損失了10萬美元至50萬美元不等的損失[9]。

終端安全防護(hù)

終端安全防護(hù)是另一個(gè)重要的安全防護(hù)措施。我們稍微可以值得慶幸的是安裝于個(gè)人終端的殺毒軟件比例是比較高的，根據(jù)瑞星公司《2016年中國(guó)信息安全報(bào)告》顯示發(fā)現(xiàn)國(guó)內(nèi)企業(yè)部署終端安全防護(hù)產(chǎn)品占比81.79%，位列第一位。但該數(shù)據(jù)依然提示我們，仍有近五分之一的企業(yè)仍未考慮部署終端安全防護(hù)產(chǎn)品。

人員流動(dòng)

除了以上技術(shù)層面的考慮外，行業(yè)的人員流動(dòng)也是需要金融機(jī)構(gòu)管理層考慮的安全問題之一。根據(jù)前程無憂在《2016離職與調(diào)薪報(bào)告》一文中的數(shù)據(jù)，在2015年里金融機(jī)構(gòu)有18.1%的人員流動(dòng)率。而在《2017離職與調(diào)薪調(diào)研報(bào)告》一文中的數(shù)據(jù)顯示在2016年里金融機(jī)構(gòu)有17.3%的人員流動(dòng)率。由于人員的流動(dòng)頻度，將導(dǎo)致一些企業(yè)不情愿展開和進(jìn)行更多人員內(nèi)訓(xùn)工作。具體體現(xiàn)在企業(yè)可能更為注重人員的在崗技能培訓(xùn)，而降低信息安全意識(shí)方面培訓(xùn)的資源投入。此外由于不同機(jī)構(gòu)之間在信息安全策略和信息安全管控能力之間的不同，一個(gè)從信息安全管理較為滯后的機(jī)構(gòu)來的新員工在新工作崗位中可能較難以適從新機(jī)構(gòu)的信息安全策略，也更容易成為社會(huì)工程學(xué)攻擊的受害者。隨著互聯(lián)網(wǎng)融資、互聯(lián)網(wǎng)金融服務(wù)等“互聯(lián)網(wǎng)金融”業(yè)務(wù)形態(tài)的快速發(fā)展，互聯(lián)網(wǎng)金融人才缺口在加大的同時(shí)將吸引更多的人才投身金融行業(yè)。根據(jù)CFCA、羅蘭貝格管理咨詢公司、LinkedIn公司聯(lián)合出版的《2016年中國(guó)金融行業(yè)人才發(fā)展報(bào)告》的數(shù)據(jù)指出2015年中國(guó)金融行業(yè)的從業(yè)人員為558萬，較之2014年的501萬增長(zhǎng)了57萬，增長(zhǎng)率為11.37%，這其中又以私募基金的人才增長(zhǎng)為最高，2014-2015年增幅達(dá)到了205%。因此，金融行業(yè)尤其是基金和互聯(lián)網(wǎng)金融行業(yè)更需要在大量吸收引進(jìn)人才，擴(kuò)展業(yè)務(wù)的同時(shí)，加強(qiáng)對(duì)人員的信息安全意識(shí)培訓(xùn)，降低金融安全風(fēng)險(xiǎn)。

結(jié)束語

目前，信息安全的熱點(diǎn)很多，信息安全領(lǐng)域也提出了很多的新解決思路和解決方案。作為金融機(jī)構(gòu)的運(yùn)營(yíng)和管理者而言，在關(guān)注前沿技術(shù)和解決方案的同時(shí)仍需回顧和加強(qiáng)在員工安全方面的安全管理和安全技術(shù)措施。在管理層面，筆者認(rèn)為機(jī)構(gòu)仍提供和保障必要的資源用于開展體系化、層次化、持續(xù)化和專業(yè)化的安全教育培訓(xùn)。此外，企業(yè)管理層還需要解決如何在管理與執(zhí)行的工作步驟與流程中集成信息安全意識(shí)，徹底解決信息安全教育不等于信息安全文化這個(gè)問題。而在技術(shù)方面，筆者認(rèn)為一個(gè)具備完善漏洞閉環(huán)管理流程的漏洞補(bǔ)丁安全管控平臺(tái)、一個(gè)能夠進(jìn)行郵件正文內(nèi)容、鏈接及附件安全檢測(cè)(含未知威脅檢測(cè))、過濾和報(bào)告的企業(yè)郵件安全網(wǎng)關(guān)及一套企業(yè)級(jí)個(gè)人終端安全軟件是目前最為值得投入的技術(shù)解決措施。相信隨著以上管理和技術(shù)措施的實(shí)施，相關(guān)實(shí)施機(jī)構(gòu)將能有效地提升在員工信息安全方面的防護(hù)能力并能應(yīng)對(duì)當(dāng)前日益猖獗利用社會(huì)工程學(xué)而進(jìn)行的APT攻擊、網(wǎng)絡(luò)釣魚攻擊和勒索攻擊。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文