金融服務(wù)網(wǎng)絡(luò)防御的“大考”

張帥

隨著系統(tǒng)的迭代與更新，金融服務(wù)成為了網(wǎng)絡(luò)犯罪分子追逐巨額利潤的主要目標(biāo)。尤其是在疫情期間遠(yuǎn)程辦公盛行時(shí)期，網(wǎng)絡(luò)犯罪活動(dòng)更加猖狂。據(jù)某報(bào)道數(shù)據(jù)顯示，在2015年至2020年的5年中，每一年金融業(yè)均位居受網(wǎng)絡(luò)攻擊次數(shù)最多的行業(yè)之首；去年上半年高達(dá)50%的分布式拒絕服務(wù)（DDos）攻擊目標(biāo)機(jī)構(gòu)屬于金融行業(yè)。

“現(xiàn)在整個(gè)金融服務(wù)業(yè)都在往數(shù)字化轉(zhuǎn)型，數(shù)據(jù)量不斷爆發(fā)迅猛增長。而數(shù)字化轉(zhuǎn)型的時(shí)候，也開始使用一些公有云的服務(wù)，跟客戶的溝通類型也在發(fā)生轉(zhuǎn)變，以前客戶會(huì)到分行里辦理業(yè)務(wù)，現(xiàn)在數(shù)字化轉(zhuǎn)型，客戶更注重體驗(yàn)和互動(dòng)，比如銀行服務(wù)，手機(jī)上都有銀行的APP，這個(gè)也可以加深跟客戶的互動(dòng)和體驗(yàn)?！?派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊于2022年10月13日的線上活動(dòng)中表示：“金融服務(wù)業(yè)過去數(shù)據(jù)泄露的平均成本有570萬美元，僅次于醫(yī)療行業(yè)，主要原因，基本在網(wǎng)絡(luò)層面的應(yīng)用攻擊、系統(tǒng)入侵，各種錯(cuò)誤，包括內(nèi)部的誤發(fā)、外部的網(wǎng)絡(luò)釣魚、竊取證書，或者勒索軟件，這些都是我們?cè)诮鹑谛袠I(yè)看到的網(wǎng)絡(luò)攻擊的主要手段?！?/p>

而根據(jù) Palo Alto Networks 旗下 Unit 42 安全團(tuán)隊(duì)發(fā)布的網(wǎng)絡(luò)攻擊報(bào)告顯示，金融、專業(yè)服務(wù)和法律、制造、醫(yī)療等幾個(gè)大的行業(yè)遭遇的攻擊占案例總數(shù)的60%，攻擊者因?yàn)橹来罅壳颐舾械臄?shù)據(jù)，因此造成的影響也比較大。他們還會(huì)有針對(duì)性地進(jìn)行攻擊，其中金融行業(yè)受到的影響最大，也是排在所有行業(yè)里最前面的，受到攻擊的平均數(shù)量也是最多的。

在過去20年里，釣魚的手段雖然普通，但是成功率卻高達(dá)90%以上。而隨著客戶的轉(zhuǎn)型以及疫情的變化，其業(yè)務(wù)轉(zhuǎn)型、網(wǎng)絡(luò)安全的轉(zhuǎn)型、云端的轉(zhuǎn)型甚至在整體的運(yùn)營上也發(fā)生了巨大的變化，再加上過去兩年疫情的影響，從網(wǎng)絡(luò)安全上來看，居家辦公的環(huán)境導(dǎo)致邊界消失，所以更加需要有彈性的網(wǎng)絡(luò)架構(gòu)、混合形式的模式。

有研究發(fā)現(xiàn)，10%的受訪者對(duì)識(shí)別常見的網(wǎng)絡(luò)安全威脅缺乏信心。盡管這看似是個(gè)很低的數(shù)字，但鑒于從事金融服務(wù)工作時(shí)所涉及的重大風(fēng)險(xiǎn)，這仍是一個(gè)令人擔(dān)憂的問題。要知道，一名員工的一個(gè)無意的錯(cuò)誤就可能導(dǎo)致具有深遠(yuǎn)影響的事件。此外，超過四分之一（26%） 的員工認(rèn)為他們公司的培訓(xùn)制度仍需改進(jìn)。這可以采取多種形式：例如現(xiàn)場研討會(huì)、在線會(huì)議和異步學(xué)習(xí)材料。培訓(xùn)將改善員工在信心方面存在的缺失，使他們能夠在任何地方安全地工作，并且知道他們不會(huì)使公司陷入攻擊威脅。

而根據(jù)IBM網(wǎng)絡(luò)安全團(tuán)隊(duì)早些時(shí)候發(fā)布的數(shù)據(jù)顯示，2021年全球金融業(yè)所遭受的網(wǎng)絡(luò)攻擊在其修復(fù)的攻擊中占到22.4%，在行業(yè)排名中退居第二位，制造業(yè)躍居第一位。從攻擊類型看，2021年服務(wù)器訪問攻擊躋身最主要類型，占到攻擊總量的14%；緊隨其后的是勒索軟件配置錯(cuò)誤和欺詐行為，占比為10%。此外，遠(yuǎn)程訪問特洛伊木馬（RAT）、廣告軟件和憑證收集也較為常見。從犯罪分子藉以發(fā)起攻擊的感染媒介看，網(wǎng)絡(luò)釣魚最為常見，2021年全球金融業(yè)遭受的網(wǎng)絡(luò)攻擊中46%由其導(dǎo)致；漏洞利用則排在第二位，占比達(dá)到31%；其他類型包括密碼噴灑、暴力破解和虛擬專用網(wǎng)絡(luò)（VPN）訪問、遠(yuǎn)程桌面協(xié)議、可移動(dòng)介質(zhì)等。

“現(xiàn)在由于云的敏捷性、方便性，很多應(yīng)用開發(fā)者都深度應(yīng)用云來做開發(fā)，也使用了一些API的接口互相對(duì)接，但是在敏捷多變的系統(tǒng)架構(gòu)里，廣泛調(diào)用API接口的時(shí)候，也造成了安全策略的復(fù)雜性，使得攻擊面擴(kuò)大，讓更多隱藏的攻擊者抓住可乘之機(jī)?！?陳文俊建議在云原生的解決方案之后，構(gòu)建DevSecOps開始之時(shí)就要將安全的功能或者理念做進(jìn)去，而不是等到應(yīng)用開發(fā)完成了，再發(fā)現(xiàn)漏洞和去解決。他表示：“整個(gè)云開發(fā)不要僅是頭痛醫(yī)頭腳痛醫(yī)腳，而是從開發(fā)的整個(gè)流程上解決?？紤]的更加長遠(yuǎn)，才能夠杜絕問題的發(fā)生?！?/p>

面臨金融行業(yè)網(wǎng)絡(luò)攻擊的“大考”，必須清醒地認(rèn)識(shí)到，作為關(guān)鍵的基礎(chǔ)設(shè)施，打好網(wǎng)絡(luò)安全“持久戰(zhàn)”。而為了協(xié)助企業(yè)更加安全的實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型，派拓網(wǎng)絡(luò)將其分為了網(wǎng)絡(luò)安全轉(zhuǎn)型、云原生安全、安全運(yùn)營三大安全目標(biāo)。

首先，網(wǎng)絡(luò)安全方面，派拓網(wǎng)絡(luò)硬件憑借成功經(jīng)驗(yàn)擴(kuò)展到軟件和SASE，從而擴(kuò)大了云安全堆棧規(guī)模，協(xié)助企業(yè)建立彈性的網(wǎng)絡(luò)安全架構(gòu)；其次，云原生安全方面則是將合規(guī)、容器和微分段功能相結(jié)合，推出綜合云安全平臺(tái)；最后安全運(yùn)營方面，是以先進(jìn)技術(shù)建立XDR類別，提供全球領(lǐng)先的自動(dòng)化和修復(fù)措施，擴(kuò)展對(duì)整個(gè)攻擊面的可見性。

在這三大安全目標(biāo)的基礎(chǔ)上，派拓網(wǎng)絡(luò)向金融等數(shù)字化轉(zhuǎn)型用戶提供出以網(wǎng)絡(luò)安全、云安全、端點(diǎn)安全為核心支柱，這三大平臺(tái)協(xié)同工作、互相溝通，更好、更緊密地發(fā)掘潛在威脅。再加上零信任部署，幫助企業(yè)防御不同的威脅攻擊，繼而提高黑客攻擊的成本。并通過自動(dòng)化安全運(yùn)營和安全情報(bào)與事件響應(yīng)為之相配合，共同構(gòu)建出下一代網(wǎng)絡(luò)安全平臺(tái)。

除此之外，派拓網(wǎng)絡(luò)將零信任作為網(wǎng)絡(luò)安全部署的核心，即永不信任，持續(xù)驗(yàn)證。同時(shí)，云端與虛擬環(huán)境中也要以零信任來進(jìn)行相應(yīng)的防護(hù)。“端點(diǎn)安全延伸到整個(gè)數(shù)據(jù)中心上面。安全的運(yùn)營需要更好的安全編排。如何更好地檢測(cè)，在網(wǎng)絡(luò)上能不能進(jìn)一步分析，做相對(duì)應(yīng)的關(guān)聯(lián)，可以發(fā)現(xiàn)很多潛在的問題?！迸赏鼐W(wǎng)絡(luò)大中華區(qū)技術(shù)總監(jiān)耿強(qiáng)解釋到：“派拓網(wǎng)絡(luò)將零信任部署劃分為三個(gè)元素和五個(gè)手段。三個(gè)基本元素是用戶、應(yīng)用和設(shè)備，而五個(gè)手段是指定義保護(hù)對(duì)象與范疇、掌握通訊與數(shù)據(jù)流、基于保護(hù)區(qū)域構(gòu)建隔離網(wǎng)絡(luò)、建立零信任安全管理政策、有效率地監(jiān)控及運(yùn)維?！?/p>

耿強(qiáng)提到，網(wǎng)絡(luò)上太多不同的設(shè)備，包括一些IoT設(shè)備，要不斷進(jìn)行較量才能做到零信任的第一步。也正因?yàn)樽钚?quán)限的做法，才能夠更快的對(duì)應(yīng)到每個(gè)部門的用戶，從而減少黑客入侵和應(yīng)用漏洞帶來的影響，也有效的阻斷很多因黑客入侵導(dǎo)致的安全事件和數(shù)據(jù)泄露的基本入侵手段。

零信任的效果如何？耿強(qiáng)分享了一個(gè)關(guān)于某大銀行的案例。在這個(gè)商業(yè)銀行的開發(fā)測(cè)試數(shù)據(jù)中心，過去通過四層防火墻進(jìn)行安全防護(hù)，但由于業(yè)務(wù)應(yīng)用過多，應(yīng)用環(huán)境復(fù)雜，四層防火墻出現(xiàn)穩(wěn)定性問題，同時(shí)頻繁遭受外界攻擊。為此派拓網(wǎng)絡(luò)協(xié)助用戶實(shí)現(xiàn)下一代防火墻部署，并對(duì)整個(gè)網(wǎng)絡(luò)架構(gòu)進(jìn)行可視化優(yōu)化，幫助客戶優(yōu)化了整體安全策略，從而省去50%的策略，提高整體效率，避免以前人為的錯(cuò)誤或者做法。如今該商業(yè)銀行安全團(tuán)隊(duì)可以在運(yùn)維平臺(tái)上利用大數(shù)據(jù)分析，管理API交付，并加強(qiáng)不同的安全策略，抵擋黑客的入侵，加強(qiáng)了多種威脅下的整體安全防護(hù)能力。

從傳統(tǒng)的數(shù)據(jù)中心到云端平臺(tái)，傳統(tǒng)的工具與理念在云端可能會(huì)完全匹配，所以需要絕對(duì)全新的云端防護(hù)機(jī)制和措施。當(dāng)然派拓網(wǎng)絡(luò)自由有數(shù)據(jù)中心的一套部署方案，比如零信任網(wǎng)絡(luò)訪問2.0。陳文俊解釋到：“以前在辦公室辦公，建一個(gè)‘城墻’就能把辦公環(huán)境保護(hù)起來，現(xiàn)在環(huán)境已經(jīng)不一樣了，居家辦公、在咖啡廳辦公等，數(shù)據(jù)無處不在，應(yīng)用SaaS平臺(tái)提供，應(yīng)用也無處不在，這樣傳統(tǒng)的邊界被打破了。所以銀行分支機(jī)構(gòu)的建設(shè)，也建議走到零信任SASE的架構(gòu)中，將安全的管控放到接入端，在接入的時(shí)候把安全管控起來，無論是分支機(jī)構(gòu)介入，還是家里電腦接入，亦或是IoT設(shè)備、智能電視機(jī)、游戲機(jī)的接入，都可以通過SASE管控起來，提高安全效率。”

陳文俊之所以提出接入零信任SASE的架構(gòu)。是因?yàn)橥ㄟ^走訪發(fā)現(xiàn)很多客戶內(nèi)部使用超過了四十種安全設(shè)備，每一款設(shè)備的安全程度不一樣，級(jí)別也不一樣，萬一出問題，很難斷定究竟哪一個(gè)設(shè)備能夠幫助解決問題。所以面對(duì)威脅，短缺的人力并不能及時(shí)的進(jìn)行排解，所以更需要安全策略自動(dòng)化地分發(fā)，以此來減少人工參與。因此，陳文俊還是建議通過自動(dòng)化解決方案去面對(duì)未知威脅，提高解決問題的反應(yīng)效率。