2018金融行業網路安全熱點與對策

過去的2017年對金融行業機構的信息安全主管和企業安全團隊來說是一個繁忙且艱難的一年。像WannaCry和Petya勒索軟體的襲擊表明勒索攻擊的猖獗；國內多家機構和Equifax的安全事件表明數據泄露的巨大危害性；政府開發的惡意軟體和漏洞泄露讓犯罪分子獲得了更大的能力；新技術的應用如物聯網則帶來了新的漏洞和新的攻擊方式。我們可以預見在新的一年中黑客會更為聰明，仍將有企業和個人因遭受攻擊而損失慘重。儘管如此，我們還是應保持謹慎樂觀，只要我們不斷的進行反思、跟蹤最新的技術解決方案和保持持續地投資建設，我們仍然可以更加有效的應對即將發生網路攻擊。以下是綠盟君通過觀察思考認為2018年金融行業機構應該予以關注的網路安全熱點內容，希望能對行業機構的主管和安全團隊有所幫助。

合規性遵從（Regulation Compliance）要求日趨嚴格

2017年6月1日《中華人民共和國網路安全法》的正式實施，標誌著我國網路安全戰略和合規要求進入了一個新的階段。此後國家網信辦相繼協同相關部門頒發了包括《關鍵信息基礎設施安全保護條例（徵求意見稿）》在內的一系列配套落地法規。金融行業監管機構也根據《國家網路空間安全戰略》以及《網路安全法》的精神與要求發布了相關的監管要求並強調行業機構要開展網路安全等級保護建設、完善網路安全治理體系、夯實網路安全基礎，提升網路空間防護能力。根據去年國家網路安全工作的開展和整治情況，我們可以看到將會有更多的國家監管機構加入到網路安全監管活動中。監管的力度、檢查工作的頻度以及處罰的額度都將邁上一個新台階。因此金融機構的管理層需要對合規遵從的嚴峻性有一個新的認識。

-

推薦行動

-

儘快開展合規遵從性評估，分析差距和不足，制訂可行的落地實施方案並予以實施。在選擇評估服務提供商和解決方案時，建議優先考慮服務商的聲譽並考慮方案在合規遵從性上的支持性、覆蓋性及經濟合理性。

雲計算安全（Cloud Computing Security）需求持續升溫

關於雲計算，我們可以看到國務院《關於積極推進「互聯網+」行動的指導意見》、人民銀行《中國金融業信息技術「十三五」發展規劃》以及銀監會《中國銀行業信息科技「十三五」發展規劃指導意見》這三份文件中均明確和鼓勵金融機構積極研究和利用雲計算技術加快金融產品和服務的創新。這些政策和文件的發布極大地加快了金融行業「互聯網+」的戰略步伐。儘管存在著相關監管合規要求不明確，雲計算技術仍處於起步和摸索的階段等問題，但大量的機構已經張開雙臂接受和擁抱雲計算。據統計有26%的金融機構已經使用了公有雲服務，其中眾籌&投融資和小貸P2P的互聯網金融領域是主要的雲用戶。技術實力和經濟基礎比較強的大中型金融機構則偏向於私有雲建設。2017年公安部網路安全保衛局組織，國家信息中心牽頭編製了《信息安全技術網路安全等級保護基本要求 第2部分：雲計算安全擴展要求》、《信息安全技術 網路安全等級保護測評要求第2部分：雲計算安全擴展要求》、《信息安全技術 網路安全等級保護設計技術要求 第2部分：雲計算安全擴展要求》三個標準彌補了以前等級保護標準的不足。可以預計隨著金融雲計算產品和服務應用的發展，監管機構對雲計算安全的監管重視，雲計算安全將成為行業機構下一步必須考慮的網路安全建設內容。

-

推薦行動

-

租用公有雲（或行業雲）以及建設私有雲的時候考慮以下雲安全威脅並開展針對性的建設：不充分的驗證、授權和訪問管理；不安全的介面和應用程序介面；系統漏洞；惡意的內部人員；賬號劫持；數據泄露和丟失；拒絕服務攻擊；不安全的配置和設置；濫用和惡意使用雲服務。

犯罪及服務（Crime-as-a-Service）依舊猖獗

2017年5月WannaCry勒索病毒的爆發感染了全球約20萬計算機，不少金融企業也遭受損失。在機構用戶認識勒索病毒的同時，為勒索攻擊者提供攻擊軟體和發起攻擊的勒索即服務（Ransomware-as-a-service）通過新聞的曝光後也逐漸為機構用戶所知曉。實際上除了勒索即服務還有分散式拒絕服務攻擊即服務（DDoS-as-a-Service），國內多家監管機構在2017年還為此相繼發出安全預警通告。筆者在這裡把它們都歸為犯罪即服務（Crime-as-a-service）。目前，以上兩種服務是17年中最為顯著的兩類地下攻擊服務並給機構用戶造成了巨大的損失。以DDoS-as-a-Service為例，一個不超過300秒，攻擊流量帶寬在125Gbps的DDOS攻擊其實施攻擊成本為5至6美元，購買該攻擊的服務成本約為20美元，但給受害者帶來的損失則可能在20000至100000美元的損失（視機構規模和業務而定）。為此，國外執法機構加大了對此類黑客團伙的打擊力度。在2017年美國和英國在13個國家共摧毀並抓捕了34個提供DDOS攻擊的犯罪團伙。考慮到這兩類攻擊的泛濫程度和危害程度，筆者把他們列入今年機構需要著重關注的威脅防護內容。

-

推薦行動

-

建議考慮郵件安全防護（主要檢測利用釣魚郵件方式通過郵件附件、正文鏈接等方式侵入網路和終端的惡意代碼）和組合型抗拒絕服務防護機制（包含本地清洗防護、電信運營商清洗防護和專業雲端防護）。

以技能和支持（Skill & Support）為核心的安全策略將是未來趨勢

面對當前伴隨新技術新應用而產生的新安全威脅、層出不窮的安全漏洞、利用AI技術提高攻擊效率和攻擊成功率的攻擊方式革新以及供應鏈引入的連帶安全威脅，相信所有的機構用戶在進行安全建設上都會時常產生一種應對乏力的疲態感。因此，Gartner機構提出是時候需要改進一些舊有的安全策略。它認為機構需要把原有單純依靠防護和保護的策略轉向以檢測、響應和修復為主的安全策略。而支持這個安全策略實施的關鍵，綠盟君認為在於技能和支持。這裡的技能指的是己方安全團隊和安全外包團隊人員的安全技能。安全人員技能的高低將直接影響事件判斷及分析的準確性以及響應與處置的高效性。支持則包括管理和技術兩個層面。管理層面指獲得來自於C Level管理層對安全的全面認知、充分理解和充足資源支持。技術層面的支持則包括自有工具平台的支持以及外部的技術支持。在這其中，利用AI技術、機器學習、大數據分析等手段的態勢感知平台、大數據分析平台以及外部的威脅情報獲取和分析將成為提升安全管理運維管理水平與質量的「力量倍增器「。

-

推薦行動

-

通過技能培訓提升安全運維人員的實戰能力。為企業網路安全建設提供穩定和充足的資源支持。建設自動化搜集、檢測、分析等安全平台，解決在人工難以達到的快速性和高效性。建立威脅情報生態機制，提升在威脅態勢感知、響應和修復方面的能力。

網路安全險（Cyber Insurance）將收穫更多目光

2017年依舊發生了許多的重大安全事件。不少安全事件在給企業帶來了巨大損失的同時也導致公司高管引咎辭職。Equifax徵信公司客戶信息泄露就是這樣一個典型案例。隨著董事會和高管們經歷和見證網路攻擊的影響，包括收入減少、業務中斷，針對董事和官員的索賠以及高管的被迫辭職，不少企業開始認真考慮並著手制定網路保險政策。隨著2018年5月歐盟GDPR（General Data Protection Regulation通用數據保護法規）法規的正式生效執行，國外保險機構預計今年保險行業將有5%的增幅。與此相應的是，我國去年正式實施的《網路安全法》是和GDPR具備重大地域影響力的事件。前面已分析過，該法律及配套落地法規對國內企業機構尤其是屬於關鍵信息基礎設施定義的行業與機構提出了在網路安全領域上更為嚴格的標準要求。目前，不少中小金融機構在短時間內難以完全達標並因而面臨諸多網路安全風險。因此通過實施企業網路保險政策將有利於部分降低和轉移企業面臨的網路風險及潛在的風險損失。在此過程中，企業將更加傾向於量身定製的企業網路保險政策，而不是固化於保險政策中的「默認」組件。

-

推薦行動

-

通過安全評估獲知機構在網路安全風險方面可轉移的範圍、轉移的內容和可接受的程度。選擇具備良好聲譽和靈活保險政策的網路保險承保機構。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！