从网络攻击事件看银行业的网络安全风险管理
点击蓝字关注我们
2017年,勒索病毒WannaCry掀起了一场全球网络灾难。其后至今,全球重大网络攻击事件依然频发,持续冲击各国的国计民生重要行业。商业银行作为金融科技的密集应用主体,在当前环境下,已经无法忽视网络安全对银行业务的重要性。本文通过列举2019年至今全球典型网络攻击事件,总结事件特征,分析受害资产的脆弱点,为银行业的网络安全风险管理提出工作建议。
一、 网络攻击事件特征分析
(一)事件类型
参考2019年至2020年初全球重大网络攻击事件,从损失类型角度看,可将攻击事件分为敏感信息泄露事件与业务运营中断事件两类。
1.敏感信息泄露事件
敏感信息泄露不会对企业立即造成财务损失,但会逐步引发法律诉讼、负面舆情等,使企业信用程度降低、商誉下降、客户损失,进而出现高额财务损失并影响企业声誉。以下列举敏感信息泄露的典型事件:
2019年6月,美国数字货币交易中心coinbase遭遇HYDSEVEN组织发动的网络攻击。攻击者在精确调查交易中心特定员工背景的前提下,通过知名域名(牛津大学域名)伪装身份,以项目交流与评定为话题,与交易中心员工往来电子邮件。骗取信任后,攻击者利用已发现的交易中心系统漏洞,在精确时间向交易中心员工发送包含恶意代码链接的钓鱼邮件,引诱其点击链接,进而发动网络攻击并窃取信息。
2020年3月,中国的网络安全厂商-深信服的VPN服务体系遭遇Darkhotel组织发动的网络攻击。攻击者利用VPN服务器的弱密码口令、未限制访问端口等缺陷获取重要设备控制权,利用VPN客户端升级模块的技术漏洞篡改升级程序并嵌入木马,继而通过VPN客户端升级活动发动网络攻击,窃取重要资料,涉及以上海、北京为主的逾200家政府和企业用户。
2.业务运营中断事件
业务运营中断会对企业立即造成财务损失,一旦中断时间超过业务可容忍极限,会直接引发重大财务损失并严重影响企业声誉。以下列举业务运营中断的典型事件:
2019年3月,全球最大铝制造商之一的挪威海德鲁公司遭遇网络攻击。攻击者使用勒索病毒首先攻破该公司美国业务区管理系统,进而扩散至其全球业务系统。攻击者以强行加密重要数据、侦测第三方解密时自动销毁被加密数据为主要技术手段,胁迫该公司支付赎金,导致其全球业务网络发生中断,仅第一周损失即高达约4000万美元。据安全人员调查,该病毒以钓鱼邮件和U盘植入为主要攻击手段。
同年3月,另一黑客组织使用曾广为肆虐的勒索病毒 “侠盗病毒”,以钓鱼邮件为新型攻击方式,通过伪装自我身份,向受害者发送虚假邮件,引导收件人打开邮件附件的流程化手段发动攻击,对受害者重要数据进行加密,造成其正常运营管理中断,并胁迫支付赎金。攻击范围已波及巴西、美国、印度、印度尼西亚等多个国家。
(二)事件特征总结
以上网络安全事件均具备以下共同特征:
从攻击者特征看,其中不乏组织严密、技术高超的国家级黑客组织;
从攻击目的看,攻击者以窃取信息情报、劫持重要数据而破坏企业正常运营,进而换取资金回报为主;
从攻击方式看,攻击者均避开正面攻击企业安全防御体系。首先充分侦查,发现技术漏洞或人员疏漏,而后迂回攻击,以社会工程学方式渗透并植入病毒。
二、 企业受害资产的脆弱点分析
(一)受害资产类型
从企业拥有的资源类型角度看,参考典型网络安全事件,受害资产主要包含人员、系统设备和数据三类。其中:人员为首要受害对象,也是攻击者的首要突破口;系统设备是第二受害对象,或被利用变为辅助攻击工具;重要数据作为承载于信息系统的核心资产,是攻击者的最终攻击目标。
(二)受害资产脆弱点分析
人员的脆弱点主要为两点:一是身份认证管理意识薄弱,例如深信服的VPN服务设备被设置弱密码口令;二是客户身份识别意识薄弱,例如coinbase员工仅凭电子邮件即在工作环境与外部人员往来交流,并未审慎考证其真实身份。
系统设备的主要脆弱点在于技术漏洞,若供应方或维护方未能及时识别漏洞并升级补丁,往往易被攻击者利用。
数据的脆弱点与存储、备份、使用有关,本质在于网络与系统架构的设计是否合理,能否对所承载的数据提供足够保护。在本文列举事件中,一是数据存储问题,例如部分网络域被突破后,重要数据即发生泄漏,网络分界、系统纵深保护可能不足;二是数据备份问题,重要数据被劫持后,若无备份,该企业运营将陷入彻底瘫痪。
本文暂未列举数据非授权使用所造成的损失事件,但该类损失事件同样不胜枚举。
三、 网络安全风险管理建议
商业银行需高度重视网络安全的原因在于其对金融科技的高度依赖。尤以国内大型银行为例,集中式的核心系统架构和分布式的业务系统架构已成流行趋势,高度支撑着银行各条线业务的正常运行。众多业务已无法脱离信息系统进行手工运营。根据以上网络攻击事件分析结论,对商业银行网络安全风险管理提出如下建议:
(一)以风险为本合理投入并重点保护
银行应重视收集自身网络安全事件、外部同业重大网络攻击事件的损失数据,为定量和定性分析同类网络攻击事件可造成的财务影响提供充分依据,并有利于精准梳理需重点应对的风险场景。在结合银行未来业务发展战略的基础上,明确需重点保护的业务、系统及配属的人员与基础设施等,合理投入成本购买或研发业界领先的安全技术并重点保护重要业务,避免网络安全风险管理成本投入偏离业务目标、或成本资金平均分配导致效果不佳。
(二)风险管理控制措施建议
1.减少暴露、减小风险敞口,回避不必要风险
“知所必需”和“最少授权”原则始终适用于网络安全风险管理。银行科技管理部门应关闭关键服务器不必要的访问端口、封禁未确认实际业务往来的访问请求,减少系统设备风险敞口。业务部门应及时停用并封闭需下线的应用程序、门户网站等自身重要数据访问通道,减少重要数据的风险敞口,若相关服务提供者为第三方公司,还需监控服务退出活动并做必要技术验证。
2.监控异常行为与流量,监测风险并早期预警
持续监控、早期预警是主动发现并阻断异常、减少事件发生概率的重要手段。对于异常系统访问行为,在提高人员强密码口令意识的基础上,银行重要系统应对关键岗位用户具备异常登录尝试行为的监控能力,或运用访问地址、真实身份、多因素验证等综合性用户识别措施,增加异常告警可选手段。对于网络传输,系统入侵检测体系应不断丰富针对异常变化流量和相似地址访问路径的预警场景与监控规则。
3.扩大边界、纵深防御,缓释风险冲击
当前网络安全风险的防控边界已不再局限于信息系统,应用科技服务的人员已成网络攻击首要对象。对于业务人员需强化“不在内部网络环境传输非业务交流信息”、“不点击未确认真实背景的电子邮件”等管理要求;对于技术人员,需警惕非正常频次、临时性系统升级等变更请求,并审慎设置自动化变更规则;对于系统运行管理,应在不同网络边界设置合理的身份验证、异常检测、漏洞扫描和病毒查杀等手段,形成纵深防御体系,并及时升级漏洞补丁与病毒特征库。
4.分层分界、隔离威胁,切断风险传染
银行不同分支机构或同一大型机构内的业务网络应根据使用目的和所含信息系统重要性等因素,厘清边界、合理分层,使银行在某分支机构遭遇网络攻击的情况下,能够切断受害网络,快速隔离风险,免遭大面积传染,最小化业务损失。
5.对当前面临的网络安全风险,银行业三道防线要“齐抓共管”
对于当前愈演愈烈网络安全的攻击风险,除了一道防线的信息科技部门及业务部门采取技术控制与业务控制措施外,二道防线的风险管理部门应通过推进自我评估、第三方评估、大数据评估等手段,促进银行网络安全风险得到及时的识别与整改;三道防线的审计部门应持续开展网络安全审计,验证网络安全风险控制机制的存在性及有效性,推动网络安全管理体系的不断优化。
作者简介:
叶凌峰:就职于国内某大型银行,从事IT风险、操作风险管理工作。