金融行业依赖于高度复杂的技术环境的机构、市场、服务提供商以及与客户的互连。全球金融系统架构不断变化的特征推动了一系列不断扩大的管理挑战。网络安全风险存在于整个企业架构的技术、人员和流程方面,从而导致巨大的风险管理挑战。各种威胁是显而易见的,攻击者可以利用新复杂性的许多方面来访问关键系统和敏感信息。
前言
在金融服务行业实现强大的网络安全态势的一个主要障碍是无法理解和管理关键系统和敏感信息的风险。金融服务领域的IT安全领导者敏锐地意识到,最近广为人知的大型违规行为和新的网络安全法规,如纽约州金融服务管理局发布的 23 NYCRR 500 法规,让首席执行官和董事会产生了一种紧迫感,以解决其组织面临的威胁。
当高价值资产成为目标时数据泄露的后果,不保护这些资产将产生严重后果。根据波耐蒙研究所研究的结果,从对高价值资产的攻击中恢复的成本平均为680万美元。
一旦组织了解了他们的风险,提出的问题就是“我该如何管理风险?”,决策者需要了解和沟通技术支持战略以及企业治理功能如何帮助实现强大的网络安全态势。金融网络安全风险管理总结了新技术带来的潜在网络安全影响,这些新技术改善了客户体验和新兴标准,这将导致对金融服务行业的审查越来越严格。
鉴于将网络安全作为优先事项的需求日益增加,金融网络安全风险管理可能是使金融机构做好准备以进行长期思考并了解他们应该在人员,流程和技术方面进行投资以防止灾难性数据泄露或网络攻击的关键。我强烈建议IT和IT安全专业人员以及董事会和首席执行官进行金融网络安全风险管理。
了解威胁环境
本文探讨了金融机构和市场面临的当前网络安全威胁的性质和程度。我们正在目睹一种真正的全球现象,这种现象以几种方式表现出来。显然,在过去几年中,对手的相对技能和动机水平有了实质性的提高,攻击的复杂程度也在不断提高。攻击者的策略发展迅速,连续形式的攻击通常会在早期的攻击媒介的基础上得到改进。详细了解当前的威胁对于设计开发有效的网络安全架构至关重要。这些知识应包括了解各种类型的威胁参与者及其各自的动机,以及常见的策略。对威胁的了解不仅对于防御威胁至关重要,而且对于为资助足够的防御提供预算申请理由也至关重要。必须与业务领导者分享对实际影响机构的网络安全威胁的深入了解,以支持和指导资源分配决策。观察到提供商提出的安全解决方案有时会在向网络安全市场销售产品和服务的努力中夸大恐惧,不确定性和怀疑,这也许是不公平的,这可能导致商业领袖的怀疑情绪膨胀。掌握威胁概念和对威胁形势的持续监控可能有助于说服管理层了解当前的威胁现实,需要做出适当的反应。
风险格局概述
网络威胁是影响组织的一种运营风险 —— 可能由企业体系结构的任何域中的故障导致或影响控制故障的风险。这包括由于有意或无意的故障系统和流程而导致中断的可能性。运营风险存在于所有系统、流程和金融活动中,最终可能导致金融和其他类型的风险事件。企业治理有望提供一个平台来处理运营风险的各个方面;然而,网络安全风险具有相对独特的特征,使其与其他类型的运营挑战区分开来。
在金融行业中,运营风险通常是直接的或间接的涉及到技术。直接风险包括由于故意或意外误用或设计缺陷的表现而导致的技术故障的可能性。由于企业对已部署技术的依赖,风险间接累积。简单地说,成功部署技术解决方案的企业将把新技术集成到架构的各个方面;因此,该技术的突然中断或不可用可能会产生不利影响。近期技术趋势的性质带来了独特的风险。这包括通过移动设备广泛消费信息技术。设备的移动性带来了新的风险,这些风险可能会对机密性、完整性和可用性构成负面影响,这主要是由于移动设备的便携性以及设备被盗或丢失的可能性。
了解对手
麦肯锡的约翰·多迪(John Dowdy)观察到,由于有关实际网络攻击的信息不足,人们对网络威胁的认识普遍较弱。从历史上看,缺乏数据这一事实总是归因于政府和私营部门在管理应对网络威胁时相关的人员缺乏详细的网络信息共享。也就是说,尽管网络安全专业人员完全了解威胁的程度,但公众很少看到直接威胁的具体和有形的证据。此外,缺乏威胁信息导致系统性地低估了面临风险的信息资产的价值。信息不足这一根本挑战给那些寻求了解网络威胁的性质和规模的人带来了不确定性。虽然可以预计信息匮乏在未来一段时间内仍将是一个挑战,但公共领域有大量细节为网络攻击的性质提供了有用的指导。因此,虽然有些不完整,但可用的信息提供了重要的线索来支持对重要威胁特征的理解。
网络威胁可能是由有意或无意的行为引起的。系统开发和质量工作通常旨在防止或减轻无意威胁的影响,这些威胁可能是由未识别的系统缺陷甚至用户无能引起的。识别和响应此类威胁的流程是众所周知的,并且历来嵌入到治理流程中,包括质量保证、风险评估、控制部署和定期控制测试。然而,正是故意的恶意行为者,即所谓的“黑客”,对系统设计人员和所有者提出了最大的挑战。恶意攻击者是那些专注于盗窃或破坏宝贵组织资源的人,尽管使用了类似的策略,但实际上可能具有非常多样化的动机,例如间谍活动或盗窃。我们可以将代表蓄意,故意网络威胁的个人或团体称为“对手”。网络对手可以用多种方式来描述。
最重要的特征之一是内部人与外部人的观点。内部人几乎可以从任何地方出现,在对企业知之甚少或根本没有具体了解的情况下运作。但是,从组织内部操作的对手试图利用信任地位,并被授予出于合法目的对关键资源的某种程度的访问权限。一旦进入内部,他们就会在内部企业中搜寻,以获得他们从未被授予访问权限的资源。内部人员这种“对手”面临着独特的挑战,特别是在那些选择强调外部边界的安全性,而在个人成功通过其初始安全访问路径后,对个人的监视相对较少的组织内部。针对内部威胁的应对方案通常围绕着以下组合:(1)在授予访问权限时增强筛查,以及(2)在架构内对个人及其移动(网络和物理)进行持续监控。这些不是非常有效的控制,因此在大多数组织中,对内部人员的脆弱性程度很高。
另一个普遍认可的威胁特征是对手的类型,有时被称为威胁行为者。个别行为者包括所谓的“灰帽子”,有时可能违反法律,并在调查或试图改善安全的过程中采取非典型方法。还有一些所谓的黑帽子,通常被认为具有明显的恶意意图,并可能采用绝对非法的策略。其他类型还包括可能具有不同程度协调作案的团伙。这包括寻求经济利益的犯罪企业,或者可能被利用来最终获得经济利益的影响力。政治恐怖组织可能采取行动,为某一特定事业争取支持,或打击反对派的士气。这可能会延伸到国家级行为者。同样,黑客主义者可能会采取行动作为一种抗议形式。例如,如果商业组织采取信息技术战略来实现企业间谍活动,则可能会构成威胁。
开放 Web 应用程序安全项目 (OWASP)确定了威胁参与者的一般属性,即技能水平、动机、机会和规模。每个属性的差异可能导致相应的威胁参与者更喜欢特定的策略或攻击模式。技能水平可以从拥有相对较低的技术技能但拥有足够能力执行预定义的脚本攻击的初学者,到经验最丰富和最熟练的对手。如前所述,广泛的动机可能大不相同,但是,随着威胁行为者考虑特定行动的短期利益,可以预期单个攻击的驱动因素将强调短期回报。考虑到资源可用性和要求以及访问限制等因素,机会可能会有很大差异。最后,规模是一个重要因素,只是作为威胁可扩展性的一个因素。例如,与大量相对简单的攻击者(例如在自动僵尸网络的情况下)相比,可以从单个确定的或熟练的对手中识别出类似的威胁级别。
金融机构的威胁类别
通过查看最近的攻击趋势和数据泄露事件,可以看到金融机构面临的常见威胁。策略会相应地有所不同,但违规企图背后的驱动因素通常属于三大目标之一:盗窃资金,盗窃信息或造成破坏。
盗窃资金
似乎一周之内就会有消息传出又一起高调的,巨额资金被盗的入侵事件。这些事件背后的财务动机使它们变得有些容易理解 - 只要有银行,就有抢劫事件。随着技术成熟度甚至创新的提高,这些策略已经发生了变化。然而,目标仍然是一样的 —— 从放钱的地方偷窃。资金可以用于个人利益(简单的盗窃动机),但也可以寻求资金来尝试构建越来越强大的作案体系,以实现更强大的攻击能力。
随着安全控制的改进,对手的策略已经有所适应,一般采用直接和间接的方法。经典的“黑进去”或黑客攻击可以被认为是一种直接攻击方法,犯罪分子针对相对明显的弱点采取行动,以获取对网络,系统和资金的访问权限。间接攻击包括可能相对微妙的策略,但当然寻求相同的目的。这包括由社交工程或电子邮件网络钓鱼等技术促进的方法,在这些方法中,攻击者对个人采取行动,以实质上诱使他们授予攻击者随后被利用的某种级别的访问权限。
间接攻击有许多重要方面需要考虑,包括动作的微妙之处以及攻击持续时间。攻击的微妙之处在于对手采取了小的、有节制的步骤,这些步骤在个别情况下可能看起来并不罕见。这一事实使得常见的检测和控制技术有些无用,除非该机构能够进行广泛的观察,使其能够将看似无害的行为分组为可识别的攻击模式。简单地说,现有的企业控制环境尚未被构建为能够有效地检测或阻止此类攻击。同样,随着所谓的“高级持续性威胁”(APT)的出现,攻击持续时间方面也成为一个问题。APT的一个关键区别是,对手试图在获得访问权限后的相当长的一段时间内延迟执行攻击策略,例如转移资金。在延迟执行攻击策略期间可用于详细侦察、研究资金流经的企业财务系统、选择有利攻击时机等活动。
附录
Dowdy,J.(2012)《保护网络空间:国家安全的新领域》,第5章网络安全对美国增长和繁荣的威胁。(华盛顿特区:阿斯彭研究所,2012年):https://www.jstor.org/stable/j.ctt19x3h93 .
OWASP(2017)OWASP风险评级方法:https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology .
Drucker,P.(1988)新组织的到来。哈佛商业评论、哈佛大学。1988年1月至2月,第45-53页
Marlin,S.(2005)“前银行雇员被控数据盗窃。”:http://www.informationweek.com/former-bank-employees-are-charged-in-data-heist/d/d-id/1032976
美国司法部(2016)“花旗银行前雇员因故意损坏受保护的计算机而被判处21个月联邦监禁。”:https://www.justice.gov/usao-ndtx/pr/former-citibank-employee-sentenced-21-months-federal-prison-causing-intentional-damage
Uzonovic,A.(2016)“希腊银行网站遭受大规模DDoS攻击的匿名目标。”:https://www.hackread.com/anonymous-ddos-attack-bank-greece-website-down/
Mateski,M.等人在2012年发布的网络威胁度量SANDIA报告
Souppaya,Scarfone(2016)NIST SP 800-154《以数据为中心的系统威胁建模指南》
Neil Robinson、Luke Gribbon、Veronika Horvath、Robertson 网络安全威胁表征——快速对比分析。(剑桥:兰德欧洲公司,2013年)