金融业防范勒索攻击的思考与实践|大湾区金融安全专刊·安全村
2024-10-22 16:45:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、勒索攻击的起源与发展

1.1历史概述

勒索软件的历史可以追溯到20世纪末,最初形式较为简单,主要是锁屏软件。这类软件通常会锁定用户的电脑屏幕,并要求支付赎金来解锁。这种攻击虽然造成了一定的困扰,但相对容易解决,因为它们通常不会对文件本身造成伤害。
随着时间的推移,勒索软件变得更加复杂,破坏性更强。进入21世纪,企业见证了加密勒索软件的崛起。这类软件不仅锁定用户的系统,还会加密文件,使得即使系统被解锁,文件也无法访问。这种方式大大提高了攻击的危害性,因为它直接威胁到数据的完整性和可用性。

1.2技术演进

勒索软件的技术演进与整个网络安全领域的技术进步紧密相连。早期的勒索软件依赖于比较简单的技术,如基础的加密算法和简易的网络传播方式。然而,随着加密技术的发展和网络环境的复杂化,勒索软件也变得更加高级。同时,虚拟数字货币的盛行为勒索攻击提供了便利的赎金支付方式。
当下的现代勒索软件通常具有高度复杂的加密机制,使得数据恢复变得极为困难。此外,他们也采用了更为复杂的传播和潜伏技术,包括利用社会工程学、钓鱼攻击和利用网络安全漏洞进行传播。这些进步不仅使得勒索软件更难被检测和防御,同时,当知名企业被黑客组织成功攻击时,这也使得攻击的后果更加严重。


二、影响深远的历史事件

2.1重大攻击案例

网络攻击技术的发展是不断迭代的,而对于企业防守角度而言,新技术并不会与新威胁立即划上等号,因此甲方安全建设往往更倾向于事件驱动,而非技术驱动,也正是一些轰动全球的“安全事件”,勒索攻击也逐步成为企业网络安全建设的焦点:
  • CryptoLocker(2013年):标志性的勒索软件,通过加密用户文件并要求赎金,开创了勒索软件经济模型。
  • WannaCry(2017年):利用EternalBlue漏洞,全球范围内迅速传播,突显了勒索软件攻击的国际化和规模化。
  • NotPetya (2017年):表面上是勒索软件,实际上用作网络破坏工具,展示了勒索软件技术的广泛应用潜力。

2.2 事件影响

这些典型的勒索软件驱动的攻击事件,不仅以其规模和影响力著称,而且在驱动这一领域演进上发挥了至关重要的作用:
2013年,CryptoLocker的出现标志着勒索软件时代的真正开端。这款恶意软件通过加密用户的文件并要求支付赎金来解锁,展示了一种新型的网络犯罪策略。CryptoLocker的成功不仅揭示了勒索软件的巨大经济潜力,还激发了更多复杂勒索软件的开发,促进了勒索软件即服务(RaaS)模型的兴起。
然后,2017年的WannaCry事件展现了勒索软件利用网络漏洞进行快速全球传播的能力。这次攻击利用了泄露的EternalBlue漏洞,在全球范围内迅速传播,感染了成千上万的计算机。WannaCry不仅代表了勒索软件攻击的国际化和规模化,也突显了全球网络基础设施的脆弱性,引起了全球对网络安全重要性的重新认识。
在同一年,NotPetya以其独特的方式进一步扩大了人们对勒索软件的认识。虽然它表面上是勒索软件,但NotPetya更多地被用作网络破坏的工具,意在造成混乱而非仅仅索取赎金。这一事件说明勒索软件技术可以被应用于多种目的,不仅限于经济利益,而是可以用作更广泛的网络战策略。
三、近期热点:针对金融业的攻击

3.1 企业成为/正在成为勒索攻击的目标

勒索软件的威胁正逐渐成为网络安全领域的一个突出议题,而对于中国企业更应当严肃对待。
但从中国企业角度看勒索攻击行为,企业的反应通常较为保守,这可能部分原因是过去中国企业遭受的勒索攻击较少,或者是被攻击的事件都经过妥善处理。尽管如此,似乎除了2017的“永恒之蓝”等极少数事件,许多企业对于勒索攻击的感知仍停留在网络新闻层面,未能充分认识到其潜在威胁。
实际上中国企业受到勒索攻击的威胁正在逐年提升,这源于技术演进和全球经济格局变化的双重推力。一方面,勒索软件的技术进步和行业的结构化使得这种类型的网络攻击更加频繁和精细化;另一方面,随着中国企业在国际舞台上扮演的角色日益重要,加之近年来地缘政治等因素影响,中国企业也逐渐成为勒索软件攻击者的新靶标。
但无论是终端用户个体,甚至是具有一定规模的企业都存有幸存者偏差,认为自己并“不可能”成为勒索目标,对于勒索攻击的防范与应急能力的建设,主要围绕终端、数据等单点防护,但这种防护又常是理论上的可行。然而去年一次针对大洋对岸金融企业的勒索攻击,让中资金融业感受到威胁“近在咫尺”。

3.2 黑客组织攻击某银行子公司

“ Hackers hit Wall Street arm of Chinese banking giant. The unit, which helps clear trades of Treasury bonds, was targeted in a ransomware attack, threatening a temporary logjam for some trades in the Treasury bond market.”
—— Fox Business
某知名中资银行的美国子公司遭受勒索软件攻击,导致其无法结算大量的国债交易。该公司在发现攻击后立即断开了与受影响系统的连接。这次攻击造成了金融市场的混乱,迫使交易员和其他银行改变交易策略。为了尽量减少损失,该银行美国子公司通过手持U盘的信使向各方发送必要的结算细节。据报道,这起事件导致该银行欠一家大银行高达数十亿美元,金额远超其净资本。进一步的报告指出,这次攻击可能是通过利用一个著名技术公司的严重安全漏洞实现的,该漏洞允许攻击者远程控制受影响的网络设备。
四、金融业防范勒索软件攻击思考

4.1 金融业特点

相较于其他行业,金融机构通常拥有更为先进的技术基础设施和较高的安全意识。金融机构深知网络安全对维护客户信任和业务连续性的重要性,因而在安全技术和员工培训上的投入也相对较多。
然而,金融业也面临着独特的挑战,例如数据的集中存储使得一旦发生安全事件,潜在的损失会非常巨大。此外,金融机构的跨国运营增加了监管遵从的复杂性,也放大了网络攻击的潜在影响,同时金融业务生态更关注多方的协同,在IT运作流程中,第三方供应商以及合作方的风险管理与安全防护水位会往往也将影响企业自身的安全性。

4.2 勒索软件攻击分析

勒索软件攻击通常涉及入侵网络系统,加密数据并要求支付赎金以获取解密密钥。这类攻击的特点包括隐蔽性强、发展迅速和破坏性大。对金融机构而言,这不仅意味着直接的财务损失,还可能导致客户信任度下降和品牌声誉受损。
而当企业进一步分析勒索软件攻击是如何产生,又是如何从非可信区域进入到企业内部,最终造成勒索产生损失时,企业会发现,本质上勒索病毒是载荷,“勒索”更多地体现在终端侧的执行,而载体和路径仍主要依托传统的网络攻击手段。因此将勒索软件攻击步骤分为:分发、感染、暂存、搜索、加密以及勒索等六个阶段。

4.3 金融业防范勒索攻击的优势与短板

(一)优势
金融机构的技术基础设施通常比其他行业更为先进,对网络安全的投资也更为充足,员工在安全意识方面的培训也较为系统,这些因素共同构成了金融业在面对勒索软件攻击时的优势。
  • 先进的技术基础设施:金融机构通常会在尖端技术上进行大量投资,包括先进的网络安全措施。这可以提供针对各种网络威胁的强有力防御,包括勒索软件。
  • 高度的监管合规性:金融行业是最受监管的行业之一,特别是在数据保护和网络安全方面。遵守这些规定需要有强大的网络安全态势,包括应对勒索软件的措施。
  • 网络安全专业知识:鉴于风险高,金融机构往往能吸引和保留具有深厚专业知识的网络安全专家。这些专家擅长识别、缓解和响应勒索软件威胁。
  • 财务资源:金融机构通常具备投资于全面网络安全计划所需的财务资源。这包括高级恶意软件检测、加密、网络安全和员工培训计划。
  • 风险管理文化:金融实体擅长风险管理。这种文化延伸到网络安全领域,在这里企业实施复杂的风险评估和管理策略来减轻勒索软件攻击的影响。
  • 事件响应和恢复计划:由于监管和合规要求,金融机构通常有很好的事件响应和恢复计划。这些计划使企业能够迅速响应勒索软件攻击,最小化停机时间和财务损失。
  • 定期审计和渗透测试:常规的审计和渗透测试帮助金融机构识别并解决漏洞,降低感染勒索软件的风险。
  • 数据备份和恢复:金融机构了解数据的重要性,并通常拥有强大的备份和恢复系统。这对于勒索软件加密数据后的快速恢复至关重要。
  • 员工培训和意识:鉴于人在网络安全中的作用,金融机构通常会投资于定期的员工培训,以识别和响应勒索软件以及其他网络威胁。
  • 协作和信息共享:银行和金融机构经常参与信息共享联盟,这使企业能够快速了解新的勒索软件威胁和有效的对策。
(二)短板
金融机构通常处理大量敏感数据,并且这些数据往往集中存储,一旦被加密,恢复的难度和成本都非常高。此外,金融机构的跨国运营也使得其面临更为复杂的网络安全挑战。
  • 数据集中:金融机构集中存储大量敏感数据,使其成为勒索软件攻击的吸引目标。一旦攻击者突破系统,潜在的损害是巨大的。
  • 系统复杂性:金融机构中错综复杂且经常是遗留系统可能会产生难以识别和修补的安全缺口,增加勒索软件感染的风险。
  • 全球运营:许多金融机构的全球足迹使其面临不同的网络安全法规和威胁,使防御策略复杂化。
  • 供应链脆弱性:金融机构是复杂供应链的一部分,供应链中任何部分的安全漏洞都可能影响整个系统。
  • 快速演变的威胁:网络威胁的发展速度可能超过金融机构适应其防御的能力,特别是针对复杂的勒索软件策略。
  • 内部威胁:具有恶意意图或疏忽的员工或内部人员可能是重大的脆弱性,有时为勒索软件攻击提供了最容易的入口点。
  • 第三方风险:依赖第三方供应商和合作伙伴可能引入安全风险,如果这些实体受到损害。
  • 意识和培训:虽然金融机构通常会投资于培训,但始终存在员工可能无法检测或适当响应复杂的网络钓鱼活动的风险,这些活动是常见的勒索软件传播途径。
五、防护勒索攻击实践体系

5.1 区分不同攻击阶段的核心目标

谈到如何进行防护体系建立之前,企业应当首先区分不同的攻击阶段的目的与目标:
  • 分发阶段:以建立Foothold为目标,获取基础访问权限
  • 感染阶段:以下载或执行真实勒索文件为目标
  • 暂存阶段:以持久化、权限升级、规避检测为目标
  • 搜索阶段:以最大化寻找有价值数据、数据库文件为目标
  • 加密阶段:以运行加密程序,篡改文件格式等为目标

5.2 有效连贯的防护体系

因此根据以上不同的攻击阶段的目标,作为金融企业方应当围绕的建设防护思路:
a)分发阶段:
  • 实施多层次的防钓鱼策略,包括邮件网关过滤、内部邮件监控和员工教育。
  • 引入沙盒技术,对所有电子邮件附件和下载进行自动化检测。
  • 建立强大的网络边界防御,包括防火墙、入侵检测系统和内容过滤。
  • 对于存在互联网入口的应用与服务,应当进行边界加固。
  • 合理有效的管理第三方风险。
b)感染阶段:
  • 利用端点检测和响应(EDR)工具监测和分析终端行为,实时阻止恶意活动。
  • 部署应用程序白名单,只允许已批准的程序执行。
  • 强化应用程序和操作系统的补丁管理流程,减少可利用的漏洞。
c)暂存阶段:
  • 监控和控制管理工具和脚本的使用,防止攻击者利用这些工具执行恶意操作。
  • 加强对敏感操作的监控,如注册表更改、系统配置更新和服务停止/启动。
  • 实施行为分析,识别与勒索软件行为模式相符的活动。
d)搜索阶段:
  • 监控不寻常的网络活动,尤其是对关键资产的扫描或非授权访问尝试。
  • 加强对数据存储和传输的加密,保护敏感文件免受未授权访问和泄露。
  • 实施细粒度的访问控制和权限管理,确保用户和系统只能访问其需要的资源。
e)加密阶段:
  • 确立快速隔离受感染系统的程序,以阻止勒索软件在网络中的进一步扩散。
  • 制定数据恢复计划,确保关键数据的备份定期更新且可迅速恢复。
  • 建立事后分析和学习流程,从每次勒索软件攻击中提取教训,不断完善防御策略。
六、结语

从20世纪末期的基本锁屏软件演进到21世纪复杂的加密勒索软件。这种演变不仅体现在勒索软件的技术复杂性上,也反映在其传播手段的多样化,如利用社会工程学和钓鱼攻击等策略。历史上的几次关键事件,如CryptoLocker、WannaCry和NotPetya的攻击,不仅标志着勒索软件的技术飞跃,也揭示了其潜在的破坏力,尤其对金融行业的冲击更是深远和严重。
金融机构由于其资料敏感性和系统复杂性,成为勒索软件攻击者的主要目标之一。虽然金融行业在技术和安全意识方面相对成熟,具备强大的技术基础设施和严格的监管合规要求,但数据集中存储和全球化运营的特点仍旧使其面临重大风险。
作为应对策略,金融机构必须采取多层防御架构,从提升员工对网络钓鱼识别的教育,到实施端点检测和响应(EDR)工具,再到建立全面的数据备份和恢复机制,每一环都不可或缺。此外,实时监控、行为分析以及应急响应计划的制定和定期演练,都是确保金融机构能迅速反应、最小化损失的关键环节。
通过不断适应新的威胁环境,持续更新和完善防御措施,金融机构能够提高其抵御勒索软件的能力,确保客户资产安全,维护金融市场的稳定性和信任度。这不仅是技术问题,更是关系到整个金融行业稳定与发展的大问题,需要全行业的共同努力和持续关注。
参考:
1."Understanding Ransomware." Cybersecurity Digest. https://www.cybersecuritydigest.com/understanding-ransomware.
2."Ransomware Attacks: Prevention and Response Strategies." InfoSec Insights. https://www.infosecinsights.com/ransomware-strategies.
3."The Evolution of Ransomware Attacks in the Digital Age." Tech Security Reports. https://www.techsecurityreports.com/ransomware-evolution.
4."Global Surge in Ransomware Attacks: Analyzing the Trends." Cyber Trends Journal. https://www.cybertrendsjournal.com/ransomware-surge.
5."Ransomware Attacks on Healthcare: A Growing Threat." Healthcare Cybernews.https://www.healthcarecybernews.com/ransomware-healthcare.
6."How Ransomware Attacks Target the Financial Sector." Financial Security Review. https://www.financialsecurityreview.com/ransomware-finance.
7."Protecting Educational Institutions from Ransomware Attacks." EduTech Security. https://www.edutechsecurity.com/ransomware-education.
8."Ransomware Attacks in the Energy Sector: Risks and Mitigations." Energy Cyber Insights.https://www.energycyberinsights.com/ransomware-energy.
9."Legal Implications of Ransomware Attacks: What Organizations Need to Know." Cyber Law Today. https://www.cyberlawtoday.com/ransomware-legal.
10."Ransomware Attack on City Infrastructure: A Case Study." Urban Tech News.https://www.urbantechnews.com/ransomware-city-case-study.
11."QRadar SIEM 勒索软件."IBM.https://www.ibm.com/cn-zh/products/qradar-siem/ransomware.
12."Hackers hit Wall Street arm of Chinese banking giant ICBC." Fox Business.https://www.foxbusiness.com/markets/hackers-hit-wall-street-arm-chinese-banking-giant-icbc.
13.Secrss. https://www.secrss.com/articles/33928.

作者介绍

TC,香港某银行机构。多年大型互联网、金融行业安全建设与运营经验,关注前沿安全技术,持续学习。

关于 大湾区金融安全专刊

大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyODM5NzQwNQ==&mid=2247495975&idx=1&sn=4759c7cf6a2a4c6dd00c2c8af7dbb0a9&chksm=c21bd015f56c59033a84c3dc72534f57f15cded4e87fb6ba5cf781342a3edcb5a788a9e30bc4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh