安永:数据安全法解读系列(四)——应对勒索软件的攻守之道
理财鱼小提示:安永:数据安全法解读系列(四)——应对勒索软件的攻守之道
勒索软件对金融机构的数据安全构成巨大威胁
勒索软件是一种利用强加密等技术手段阻止用户正常访问设备或数据并以此为条件威胁用户索要高额赎金的恶意软件。勒索软件的攻击对象覆盖个人用户和企业用户,其中高价值的大型政企机构是主要的攻击目标。勒索软件可通过多种渠道传播,如电子邮件、远程桌面协议漏洞、网站木马、移动存储介质或针对性攻击等。
勒索软件历经三十余年的发展,已呈现出变种繁多、传染性和破坏性极强、难以追踪和查杀等特征,并逐渐形成产业化的攻击链条,提供从勒索软件开发到赎金收取的全套服务。
自2018年下半年起,勒索软件呈飞速增长的态势。
2019年,国家计算机网络应急技术处理协调中心(CNCERT)捕获勒索病毒73.1万余个,较2018年增长超过4倍。
2020年,CNCERT捕获勒索软件78.1万余个,较2019年同比增长6.8%。
—— 数据来源于CNCERT
随着金融行业数字化进程的不断推进,金融机构所面临的信息科技风险日益突出,其中数据安全风险尤甚。因为金融行业的数据具有多元复杂、高价值、高敏感等特性,面对愈发严峻的勒索软件攻击局势,金融机构的特殊性也使其成为勒索软件的重点攻击对象。
某北美银行于2020年遭遇勒索软件Maze攻击,被窃取和泄露上千万张信用卡信息
某南美国家银行于2020年遭遇勒索软件Revil攻击,被迫关闭所有分支机构
某国际保险公司于2021年遭遇勒索软件CryptoLocker攻击,支付4000万美元赎金
某巨头保险集团于2021年遭遇勒索软件Avaddon攻击,被窃取TB级别的敏感数据
—— 数据来源于公开信息
金融机构常见的防守薄弱环节
金融机构应如何应对勒索软件来袭
1. 识别
加强数据资产精细化管控
金融机构的数据资产通常包含勒索攻击所瞄准的高价值敏感数据,如何识别这些敏感数据并集中资源加强数据保护是金融机构防范勒索软件攻击的首要之务。因此,金融机构应梳理自身数据资产,落实数据分级分类的安全要求,对已明确的敏感数据范围采取加密传输、存储等保护措施,以防范明文数据被恶意加密而遭受勒索。
重视供应商安全能力审核
金融机构许多重要业务的运营依赖于外包服务,部分供应商可处理和存储金融机构的重要敏感数据。金融机构应在与供应商合作前评估供应商是否落实较为完备的安全策略及其安全控制的有效性,降低因供应商遭遇勒索软件攻击而引起的供应链安全风险。金融机构还应与供应商就安全事件报告机制和服务连续性机制等在合同或服务水平协议中正式约定,以保障自身和客户的利益。
2. 保护和检测
强化网络和数据隔离
中大型金融机构的网络环境通常较为复杂,若未依据安全要求对网络区域进行清晰的边界划分和隔离,那么当遭遇勒索软件攻击时,金融机构将缺乏足够的缓冲处理时间,攻击将极易在网络中横向扩散。此外,金融机构处理的数据庞杂,若未依据数据重要程度对数据进行数据库级别或文件级别的隔离控制,在遭遇勒索软件攻击时,大批量数据将极易被一并加密或泄露。因此,金融机构应对网络环境有效分区及物理隔离,对高价值及敏感数据的存储实行逻辑或物理隔离,提高勒索软件攻击的扩散门槛,以防被攻击范围过广而造成事件升级。
提升漏洞、补丁管理有效性
IT环境中所存在的安全漏洞是攻击者常利用的重点突破口,因此在定期执行的全网漏洞扫描和渗透测试中,能否及时发现、评估、分析、修复、跟踪整改漏洞,当是安全运维的重要任务。同时,为改进技术测试的“治标不治本”的现状,企业应结合技术和管理视角,对测试结果进行根因分析,力求从根源出发解决漏洞表象下的“通病”。此外,金融机构还应持续关注、主动跟进相关设备厂商及服务机构所发布的漏洞、补丁更新信息,建立内部专家小组综合分析更新的适用性,对高危漏洞和重要更新及时下载和安装,避免存在高危的、公开的安全漏洞被攻击者轻易利用,而成为勒索软件肆意进攻的爪牙。
全面增强员工信息安全意识
在安全意识不足的内部员工不经意间的行为,如轻信并点击钓鱼邮件中的链接、由于好奇开启欺诈网站、由于识别不足下载、运行了恶意软件等,勒索软件便可通过这样的快速通道进入组织内部。在面临如此的“内外夹攻”挑战时,企业应积极开展针对勒索软件等多种攻击手段的安全教育、培训及模拟演练,有效提升内部员工的安全意识,形成安全文化氛围,这也是一项较低投入成本、较高成效的重要措施。
部署新一代安全技术架构和产品
面对勒索软件的强势攻击,金融机构应搭建符合自身业务体量和安全要求的新一代安全技术架构,精准分析、精细部署并精确配置各类安全产品,通过在网络中各个节点、环节中,对异常操作、威胁性行为及安全事件进行实时监测、报警、拦截和阻断,为企业建立网络的“马奇诺防线”,提升纵深防御的安全技术能力,最大限度地抵御来自外部的攻击。金融机构应基于其安全架构设计和成本效益分析的结果,在品类繁多、功能侧重点不同的安全产品中,有效选择并部署最贴合实际需求的安全产品组合,改善产品应用泛滥但配置粗放的现状。
限制特权访问和远程访问控制
>相关《 安永:数据安全法解读系列(四)——应对勒索软件的攻守之道》内容:
1、 商品期货历史数据下载:期货信息怎么收集?
纽约商品交易所的黄金期货买卖是由交易所营业时间内的公开叫价交易时段和交易所收市后的电子交易时段所组成。传统的公开叫价时间内的报价由于是由出市代表叫喊,人为的流程会令市场价格较为波动。在电子交易时段内,因为交易所是以自动配对的方式将市场内...【继续阅读】
2、 OYO宣布招聘2名工程和数据科学高级领导者
全球旅游技术平台 OYO 周三表示,将任命两名新的工程和数据科学高级领导人。 Nirdosh Chouhan 从 Apple 加盟,担任 OYO 的工程高级副总裁。Kranthi Mitra Adusumilli 之前在在线食品配送公司 Swiggy 工作,他将成为 OYO 的高级首席数据科学家。 Chouhan 将...【继续阅读】
3、 下周重磅事件一览:12月PMI数据即将公布,7只新股及22只新基蓄势待发
理财鱼小提示:下周重磅事件一览:12月PMI数据即将公布,7只新股及22只新基蓄势待发 12月27日至1月2日当周重磅财经事件一览: 1、重要事件 周一:日本央行公布12月货币政策会议审议委员意见摘要 周四:欧洲央行公布经济公报 2、重要数据 周一:中国11月规模以上...【继续阅读】