金融行业有着行业内最强健的网络安全态势。虽然金融行业监管严厉、频繁遭攻击、资源充裕,但并无法免疫于网络犯罪分子。仅在过去一年中,90%的金融机构就遭到勒索软件的攻击。
金融机构的两大安全关注点
端点保护公司 Carbon Black 在2018年4月调查了40家主要金融机构的首席信息安全官以理解金融机构如何被攻击以及攻击防御者的主要关注点是什么。结果有两方面引人注目:
(1)近一半 (44%) 的经融机构担心技术服务提供商(TSPs 即供应链)的安全态势;
(2)尽管资源充裕,但仅有37%的金融机构设立了威胁追踪 (threat hunting) 团队。
设立威胁追踪团队迫在眉睫
对于供应链安全的担忧很好理解。网络犯罪分子不断加大对第三方(可能得到的保护措施更少或者自身存在安全问题)的攻击以获得对主要目标的访问权限。美国联邦储蓄保险公司 (FDIC) 也担忧供应链的安全,并且已经开发出一套审查流程,包括审查技术服务提供商及其软件的公开信息等。
FDIC 关注的其中一个方面是服务提供商行业内的整合。它指出,“比如,存在缺陷的收购策略可能会削弱收购者的金融状况,或者规划不良的整合可能会家中运营或安全风险。”
Carbon Black 公司建议可通过威胁追踪团队和防御人员紧密评估技术服务提供商安全态势的方法来应对这种潜在风险。但是,该公司指出,“鉴于63%的金融机构尚未设立威胁追踪团队,它们对技术服务提供商带来的风险可见性可能是有限的。”
不过,该公司认为威胁追踪团队在检测直接攻击方面也发挥着重要作用,原因有二。第一,越来越多的攻击者倾向于使用标准技术无法轻易检测出的无文件攻击方法;第二,攻击者越来越愿意参与到应对防御人员的事件响应行动中来。
无文件攻击的趋势在所有行业都在上升。一种典型的攻击可能涉及一个 Flash 漏洞。Flash 调用 PowerShell,通过命令行发出指令。Powershell 随后连接到一台秘密的 C&C 服务器,从中下载更大的 PowerShell 脚本发动攻击。所有的这些攻击都是在内存中完成的――无需下载恶意软件文件而且传统技术防御手段什么都检测不到。
Carbon Black 公司指出,“主动威胁追踪将防御人员放在进攻的位置而不是淹没在日常警报中。它的目的是找到服务器和端点上的可能代表妥协指标、入侵或数据提取的异常活动。尽管威胁追踪并非新概念,但很多组织机构并不了解威胁追踪的核心理念。”
不仅检测入侵需要威胁追踪。Carbon Black 公司警告称,“当防御人员依赖于手动和自动化战术图解时,攻击者能够脱离脚本实施攻击。这些战术图解通常基于简单的妥协指标 (IoCs)。结果安全团队通常认为已经阻止了攻击,但攻击者通过反向事件响应占了上风。”
除此之外,当第一个命令和控制被发现或被干扰时,攻击者开始集成第二个命令和控制。Carbon Black 公司表示,这种技术已经出现在10%的受害者案例中,并预测它在未来几个月中会有所增多。问题在于,应对攻击者临时拼凑并速度改变方向的最佳办法是真人防御人员,而非简单的预先编好的事件响应步骤所能比拟。
Carbon Black 公司指出,“金融机构在攻击事件发生后应该改进对更高阶攻击者活动的情景意识和可见能力。做到这一点必须结合从防御到检测的战术转变。攻击面不断增加,加上高阶技术的不断利用,导致攻击者的可见性变得越来越差。对于任何网络安全计划而言,攻击的驻留时间不断下降才是最真实的投资回报率。”
当然,在现实生活中,这种战术不仅适用于金融行业。这种不断演进的方法论得到所有行业攻击者的使用。需要组建威胁追踪团队的不仅限于金融行业。Carbon Black 公司的首席安全安全官 Tom Kellerman 指出,“所有的行业都应该引起重视。一般而言,金融服务被认为是最安全的行业,因为近年来它们时常遭受高级别攻击。”也就是说,如果连金融机构都如此缓慢地转向主动威胁追踪方向,那么其它行业的转变更为缓慢。
2018年4月,Carbon Black 公司向美国证券交易委员会提交了一份 S-1 注册声明,对普通股进行首次公开募股 (IPO)。该公司的股票在5月4日的首日交易中上涨了26%。该公司在发行时的市值已接近16亿美元。该公司在2014年2月被 Bit9 公司收购。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
