勒索软件攻击事件近年来总是成为头条新闻。从安盛集团到CAN Financial,金融行业也无法避免风险。对于许多企业来说,最初的担忧集中在赎金成本上,但是,他们面临更广泛的损害和越来越多地与安全、收入损失和声誉损害相关的问题。例如在Kaseya公司遭遇的网络攻击事件中,勒索的赎金为7000万美元,这也表明“受信任的”服务提供商和第三方供应链参与者可能带来的风险越来越大,其乘数效应可以迅速影响100万个端点。
金融服务部门的网络效应使所有利益相关者受益者。然而,共享数据和服务的增长增加了网络攻击的风险。而且,正如人们所看到的勒索软件对燃油管道公司甚至食品加工商带来的影响,系统锁定对企业和个人的影响是巨大的。如果客户无法在整个供应链中获得资金或与服务提供商进行交易,其带来的焦虑和成本就会升级,企业的商业声誉也会迅速受损。
简单的出路是什么?
很多企业曾经将支付赎金视为解决勒索软件攻击问题的一个“快速解决方案”。然而,随着美国证券交易委员会(SEC)和美国海外资产控制办公室(OFAC)正在考虑在法国和美国禁止支付赎金,这一选择现在可能会成为过去。在澳大利亚,却有人呼吁强制通知勒索软件受害者支付赎金。
金融部门还需要考虑到,即使支付了赎金,解密过程和恢复正常业务的过程也可能非常缓慢。随着受供应链勒索软件攻击影响的规模不断升级,越来越多的事件表明恢复时间至关重要。如果不能信任来自网络攻击者的解密密钥,那么建议投入时间和精力从头开始重建、重新配置和保护IT系统和服务,以确保它们的完整性。
尽管支付赎金可能会成为非法行为,但网络保险仍将是企业为快速恢复和运行以及减少中断提供资金的有效工具。而保险公司要求,在获得网络保险单之前,承保者现在必须证明其拥有足够的网络安全控制措施。事实上,越来越多的勒索软件威胁使得保险费用可能会进一步增加,因此获得可验证的网络风险管理能力可能会在企业董事会的优先事项列表中进一步上升。
充满挑战的环境
金融部门还面临一些其他特殊的挑战。许多金融机构持有大量个人数据,无论是账户、交易、用户还是报告。使这一问题复杂化的是开放银行立法,例如英国/欧盟的PSD2和澳大利亚的CDR法规,它要求客户批准共享其个人数据的过程简单易行。消费者在金融行业参与者之间持有和传输其个人信息的这些权利,将必然会重新分配该行业的网络安全责任。因此,在适应不断变化的环境的这段时间内,会增加网络安全风险。
金融服务业已经成为对网络犯罪分子有吸引力的目标。客户对其数据的访问有更大控制权的要求增加了为应对全新级别的勒索软件做好准备的要求。企业可能面临多种风险,从心怀不满的员工的破坏到网络欺诈,再到旨在大规模窃取个人数据的勒索软件攻击。那么金融行业可以采取什么措施来保护自己?
为应对勒索软件攻击做好准备
部署防病毒软件和网络防御以及端点检测和响应的兴起,可以帮助企业管理和应对网络攻击。但这些解决方案首先依赖于检测恶意活动。如果端点或网络解决方案在没有警告的情况下遭遇了网络攻击怎么办?企业是否了解正在发生的事情?是否有其他控制措施可以减轻威胁?它们是否作为IT风险管理计划的一部分进行监控和管理?
在勒索软件造成严重损害之前,必须更加注意防止或至少限制成功的勒索软件攻击。而实施基本的网络安全控制并努力保护公认的威胁向量,确实会带来好处,因为这些正是勒索软件攻击者可能利用的弱点。
有三个方面需要重点关注。前两个是预防初始感染,如果确实发生,则控制或限制传播。这些策略需要与第三种策略(恢复)相结合,以确保系统和数据能够恢复,并且事件能够成功管理。有效的风险管理原则,可以识别和分类风险,并进行相应管理。
企业可以采取一些关键保障措施来支持这些要素:
(1)预防
- 应用程序控制——确保只有经过批准的软件才能在计算机系统上运行,通过限制它们可以执行的内容来保护系统。
- 应用程序修补——应用程序必须定期更新,以防止网络入侵者利用软件中的已知漏洞。
- 宏安全——检查宏和文档设置是否正确配置,并防止激活恶意代码。
- 强化用户应用程序和浏览器——使用有效的安全策略来限制用户对活动内容和网络代码的访问。
- 防火墙/外围——甚至物理现场安全也要限制用户访问出站和远程连接入站。
- 员工的安全意识——虽然不是技术控制,但建立“网络文化”并让员工更好地了解网络安全、威胁和缓解策略,可以最大限度地减少网络攻击,这一点至关重要。
(2)遏制
- 限制管理权限——通过只允许那些需要访问系统的员工这样做来限制管理权限,然后仅用于指定目的和受控访问。
- 操作系统补丁——完全修补的操作系统将显著降低恶意软件或勒索软件在网络上传播的可能性。
- 多因素身份验证——用于管理用户对高度敏感的帐户和系统(包括远程用户)的访问。
- 端点保护——安装防病毒软件并保持更新。
(3)恢复
- 定期备份——异地保护数据和系统备份,并测试恢复过程。
- 事件响应——在应对最坏的情况时,确保每个人都精通事件管理手册。
在控制中获得保证
企业必须确保他们正在监控他们的安全控制措施,以确保有效地工作。如果控制无效,IT团队需要迅速了解以减轻任何缺陷,并恢复适当的网络安全态势。确保这些风险是企业董事会关注的“网络安全文化”,这将提高企业的整体勒索软件防范能力。
企业董事会应该收到提供这些控制的清晰可见的报告,并将这些关键绩效指标(KPI)作为其网络安全风险管理流程的一部分。它们可以用作持续网络安全改进计划的一部分。能够监控准备情况并评估网络攻击风险,可以提供早期预警防御,并确认网络安全风险管理流程已经到位。
结语
在实施全面的网络安全风险管理实践方面,金融服务部门面临着许多挑战。如果银行或保险公司受到重大勒索软件攻击的影响,则对经济的更广泛影响可能是重大的。由Colonial燃油管道事件造成的燃料短缺让人们看到了由此引起的广泛的公众恐慌和担忧。这让人想起2007年金融危机开始时英国北岩银行分行的货币挤兑事件。如果大规模勒索软件攻击使消费者无法获得存在银行中的存款,那么公众恐慌的程度将不言而喻。
金融行业组织必须拥有全面的网络防御和控制措施,并有定期监控的支持,以确保它们有效运行,确保如果一个控制措施无法识别或阻止攻击,其他补充控制措施可以运行并能够限制其影响.
这样一来,就可以将网络攻击的风险降到最低,企业可以保持有效的IT治理,以更好地防止对其系统、运营和声誉造成代价高昂的破坏。