從加大力度防范打擊電信詐騙到徹查瘋狂“羊毛黨”，不難看出2016年信息安全熱點事件的基本特征：前者面向個人，利用電信業(yè)、互聯(lián)網(wǎng)漏洞，以遠(yuǎn)程非接觸式為特征實施詐騙并變現(xiàn)；后者針對O2O電商或互聯(lián)網(wǎng)金融平臺的促銷、返利或獎勵活動，使用專業(yè)設(shè)備及軟件，以“鉆營”為目的，達(dá)成條件并獲利。

　　兩類事件對金融機(jī)構(gòu)帶來的損失，前者是聲譽風(fēng)險，后者是營銷資金。在金融行業(yè)，尤其是我國相對封閉的金融IT系統(tǒng)中，這些損失尚可估量，而在新一輪金融全球化進(jìn)程中，類似發(fā)生于2016年由黑客通過SWIFT（環(huán)球銀行金融電信協(xié)會）系統(tǒng)多次“打劫”孟加拉等國央行實施巨額資金轉(zhuǎn)移的事件，則更讓金融業(yè)者警醒。“在基金行業(yè)，我們的威脅情報系統(tǒng)曾發(fā)現(xiàn)一種木馬病毒——‘基金幽靈’，攻擊者通過它控制內(nèi)網(wǎng)服務(wù)器去查詢基金公司交易系統(tǒng)數(shù)據(jù)庫，讀取其委托下單信息。我們將這一情報上報監(jiān)管部門，并配合執(zhí)法機(jī)關(guān)展開抓捕，獲得了該惡意軟件從主控中心到用戶端的樣本。后續(xù)在更多用戶中排查，我們發(fā)現(xiàn)有近600臺設(shè)備感染了這一病毒，而這些設(shè)備主要分布于證券基金行業(yè)。”北京神州綠盟信息安全科技股份有限公司（以下簡稱綠盟科技）金融行業(yè)技術(shù)總監(jiān)徐特接受記者采訪時表示。

　　“金融業(yè)一直是APT攻擊重災(zāi)區(qū)，這類攻擊依托惡意程序潛伏于關(guān)鍵主機(jī)、服務(wù)器中竊取信息資產(chǎn)，往往會對金融機(jī)構(gòu)造成直接或間接的嚴(yán)重危害。這也將是2017年金融IT風(fēng)險防范工作的主線。”徐特表示。

　　威脅情報新生態(tài)

　　“要采取一切必要措施保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施及其重要數(shù)據(jù)不受攻擊破壞。”在中央網(wǎng)信辦近日發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中也明確強(qiáng)調(diào)，要著眼識別、防護(hù)、檢測、預(yù)警、響應(yīng)、處置等環(huán)節(jié)，建立實施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度。

　　隨著金融業(yè)務(wù)多元化，網(wǎng)絡(luò)節(jié)點連接密度增加，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)邊界防護(hù)方法顯然已不再適應(yīng)新的威脅形勢。要做到更有效檢測、更快速響應(yīng)，獲取威脅情報的能力成為考驗企業(yè)防御APT攻擊能力的關(guān)鍵。

　　獲取威脅情報在于“知彼”，對傳統(tǒng)金融機(jī)構(gòu)而言，首先其信息渠道的暢通度一般會低于安全廠商，其次他們對漏洞修補(bǔ)，特別是臨時加固措施較為欠缺。“相比之下，綠盟科技更有優(yōu)勢。”徐特表示，“綠盟科技威脅情報系統(tǒng)（NTI）的獨特之處就在于其接入了2000余臺部署在企業(yè)客戶內(nèi)網(wǎng)客戶端的安全監(jiān)測監(jiān)控設(shè)備，能得到許多一手的企業(yè)內(nèi)網(wǎng)設(shè)備告警信息。另外，在金融行業(yè)，綠盟科技還為數(shù)百個金融行業(yè)客戶的網(wǎng)站和互聯(lián)網(wǎng)系統(tǒng)提供7×24小時監(jiān)測服務(wù)。通過服務(wù)與上千余家金融客戶有業(yè)務(wù)往來，已為300多個站點提供網(wǎng)絡(luò)監(jiān)測服務(wù)，綠盟科技積累了可觀的行業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)。”

　　威脅情報一般來源于四方面：行業(yè)聯(lián)盟的分享或交易、安全防護(hù)系統(tǒng)運作過程、研究人員的獨立研究以及安全事件的調(diào)查取證溯源活動。其中，安全事件調(diào)查取證溯源活動是鮮活的、持續(xù)貢獻(xiàn)并可檢驗證偽的重要威脅情報來源。“綠盟科技也曾參與金融業(yè)相關(guān)安全事件的調(diào)查取證，這些情報在面向不同用戶、不同行業(yè)時得以分析、共享，也將成為我們用戶對抗攻擊、降低風(fēng)險的有效武器。”

　　金融業(yè)一般都會部署防火墻、入侵檢測系統(tǒng)、終端防御系統(tǒng)、身份認(rèn)證系統(tǒng)等多個安全類軟硬件產(chǎn)品，安全產(chǎn)品越來越多，但彼此割裂，綠盟科技也在有意識為用戶構(gòu)建一個更完整、更立體的安全防御體系。

　　安全服務(wù)新升級

　　我們希望我們的安全解決方案能實現(xiàn)智能、敏捷、可運營。徐特強(qiáng)調(diào)：“我們需要一個平臺很好地管理既有安全設(shè)備，實現(xiàn)智能；也需要更有效地檢測、更快速地響應(yīng)，實現(xiàn)敏捷；同時也希望依托綠盟技術(shù)團(tuán)隊和來自合作伙伴、安全響應(yīng)中心的外部力量，幫助用戶實現(xiàn)閉環(huán)的安全風(fēng)險防控。”

　　風(fēng)險由資產(chǎn)、威脅、脆弱性三要素構(gòu)成。其中，對組織而言只有脆弱性是可控的。來自IT系統(tǒng)內(nèi)部的脆弱性往往表現(xiàn)為安全漏洞。金融行業(yè)現(xiàn)在最常見且分布最廣的是應(yīng)用漏洞。

　　針對漏洞管理，金融機(jī)構(gòu)一般會使用系統(tǒng)漏洞掃描、WEB漏洞掃描、配置核查等設(shè)備，有時也會購買滲透測試、代碼設(shè)計等服務(wù)，來進(jìn)行多渠道的檢查和修復(fù)。“以前的經(jīng)驗是在新系統(tǒng)上線、新設(shè)備上架時，會因為變更去做流程性的檢測，一旦發(fā)現(xiàn)漏洞就盡快去修復(fù)。”徐特表示。

　　“針對這些來自本地的脆弱性問題，我們可以用平臺的方式解決。第一，我們會收集不同來源的漏洞預(yù)警信息，包括協(xié)助客戶建立安全響應(yīng)中心（SRC）建立與白帽子社區(qū)的聯(lián)系獲取外部漏洞信息。第二，我們會參考威脅情報，同時利用內(nèi)外部專家資源對是否修復(fù)漏洞提供決策支持，例如有些高危漏洞短期內(nèi)沒有公開的漏洞工具可利用，風(fēng)險性就會降低，而對待已經(jīng)公開利用工具但還未有補(bǔ)丁的漏洞就需要以最快速度處理。第三，基于平臺，安全團(tuán)隊對漏洞進(jìn)行掃描后能把修補(bǔ)工作分配給不同漏洞類型相對應(yīng)的不同角色，建立一套標(biāo)準(zhǔn)的流程和漏洞管理工具。”

　　“我們希望構(gòu)建全面立體的脆弱性管理體系，即依托綠盟科技企業(yè)安全管理平臺（NESP），借助本地技術(shù)力量、云端獲取威脅情報的能力及云端專家團(tuán)隊，云地人機(jī)一體，使得金融行業(yè)的安全運營工作更為標(biāo)準(zhǔn)化、流程化。同時，我們也希望將這套體系向能源、政府、運營商等其他行業(yè)領(lǐng)域復(fù)制延展，這也是我們的愿景。”徐特總結(jié)道。

　　本報記者 洪蕾

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……