洪蕾

從加大力度防范打擊電信詐騙到徹查瘋狂“羊毛黨”，不難看出2016年信息安全熱點事件的基本特征：前者面向個人，利用電信業(yè)、互聯(lián)網(wǎng)漏洞，以遠程非接觸式為特征實施詐騙并變現(xiàn)；后者針對O2O電商或互聯(lián)網(wǎng)金融平臺的促銷、返利或獎勵活動，使用專業(yè)設(shè)備及軟件，以“鉆營”為目的，達成條件并獲利。

兩類事件對金融機構(gòu)帶來的損失，前者是聲譽風險，后者是營銷資金。在金融行業(yè)，尤其是我國相對封閉的金融IT系統(tǒng)中，這些損失尚可估量，而在新一輪金融全球化進程中，類似發(fā)生于2016年由黑客通過SWIFT（環(huán)球銀行金融電信協(xié)會）系統(tǒng)多次“打劫”孟加拉等國央行實施巨額資金轉(zhuǎn)移的事件，則更讓金融業(yè)者警醒?！霸诨鹦袠I(yè)，我們的威脅情報系統(tǒng)曾發(fā)現(xiàn)一種木馬病毒——‘基金幽靈，攻擊者通過它控制內(nèi)網(wǎng)服務(wù)器去查詢基金公司交易系統(tǒng)數(shù)據(jù)庫，讀取其委托下單信息。我們將這一情報上報監(jiān)管部門，并配合執(zhí)法機關(guān)展開抓捕，獲得了該惡意軟件從主控中心到用戶端的樣本。后續(xù)在更多用戶中排查，我們發(fā)現(xiàn)有近600臺設(shè)備感染了這一病毒，而這些設(shè)備主要分布于證券基金行業(yè)?！北本┥裰菥G盟信息安全科技股份有限公司（以下簡稱綠盟科技）金融行業(yè)技術(shù)總監(jiān)徐特接受記者采訪時表示。

“金融業(yè)一直是APT攻擊重災(zāi)區(qū)，這類攻擊依托惡意程序潛伏于關(guān)鍵主機、服務(wù)器中竊取信息資產(chǎn)，往往會對金融機構(gòu)造成直接或間接的嚴重危害。這也將是2017年金融IT風險防范工作的主線?！毙焯乇硎?。

威脅情報新生態(tài)

“要采取一切必要措施保護關(guān)鍵信息基礎(chǔ)設(shè)施及其重要數(shù)據(jù)不受攻擊破壞?！痹谥醒刖W(wǎng)信辦近日發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中也明確強調(diào)，要著眼識別、防護、檢測、預(yù)警、響應(yīng)、處置等環(huán)節(jié)，建立實施關(guān)鍵信息基礎(chǔ)設(shè)施保護制度。

隨著金融業(yè)務(wù)多元化，網(wǎng)絡(luò)節(jié)點連接密度增加，網(wǎng)絡(luò)結(jié)構(gòu)日趨復雜，傳統(tǒng)邊界防護方法顯然已不再適應(yīng)新的威脅形勢。要做到更有效檢測、更快速響應(yīng)，獲取威脅情報的能力成為考驗企業(yè)防御APT攻擊能力的關(guān)鍵。

獲取威脅情報在于“知彼”，對傳統(tǒng)金融機構(gòu)而言，首先其信息渠道的暢通度一般會低于安全廠商，其次他們對漏洞修補，特別是臨時加固措施較為欠缺。“相比之下，綠盟科技更有優(yōu)勢?！毙焯乇硎荆熬G盟科技威脅情報系統(tǒng)（NTI）的獨特之處就在于其接入了2000余臺部署在企業(yè)客戶內(nèi)網(wǎng)客戶端的安全監(jiān)測監(jiān)控設(shè)備，能得到許多一手的企業(yè)內(nèi)網(wǎng)設(shè)備告警信息。另外，在金融行業(yè)，綠盟科技還為數(shù)百個金融行業(yè)客戶的網(wǎng)站和互聯(lián)網(wǎng)系統(tǒng)提供7×24小時監(jiān)測服務(wù)。通過服務(wù)與上千余家金融客戶有業(yè)務(wù)往來，已為300多個站點提供網(wǎng)絡(luò)監(jiān)測服務(wù)，綠盟科技積累了可觀的行業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)?！?/p>

威脅情報一般來源于四方面：行業(yè)聯(lián)盟的分享或交易、安全防護系統(tǒng)運作過程、研究人員的獨立研究以及安全事件的調(diào)查取證溯源活動。其中，安全事件調(diào)查取證溯源活動是鮮活的、持續(xù)貢獻并可檢驗證偽的重要威脅情報來源?！熬G盟科技也曾參與金融業(yè)相關(guān)安全事件的調(diào)查取證，這些情報在面向不同用戶、不同行業(yè)時得以分析、共享，也將成為我們用戶對抗攻擊、降低風險的有效武器?！?/p>

金融業(yè)一般都會部署防火墻、入侵檢測系統(tǒng)、終端防御系統(tǒng)、身份認證系統(tǒng)等多個安全類軟硬件產(chǎn)品，安全產(chǎn)品越來越多，但彼此割裂，綠盟科技也在有意識為用戶構(gòu)建一個更完整、更立體的安全防御體系。

安全服務(wù)新升級

我們希望我們的安全解決方案能實現(xiàn)智能、敏捷、可運營。徐特強調(diào)：“我們需要一個平臺很好地管理既有安全設(shè)備，實現(xiàn)智能；也需要更有效地檢測、更快速地響應(yīng)，實現(xiàn)敏捷；同時也希望依托綠盟技術(shù)團隊和來自合作伙伴、安全響應(yīng)中心的外部力量，幫助用戶實現(xiàn)閉環(huán)的安全風險防控?！?/p>

風險由資產(chǎn)、威脅、脆弱性三要素構(gòu)成。其中，對組織而言只有脆弱性是可控的。來自IT系統(tǒng)內(nèi)部的脆弱性往往表現(xiàn)為安全漏洞。金融行業(yè)現(xiàn)在最常見且分布最廣的是應(yīng)用漏洞。

針對漏洞管理，金融機構(gòu)一般會使用系統(tǒng)漏洞掃描、WEB漏洞掃描、配置核查等設(shè)備，有時也會購買滲透測試、代碼設(shè)計等服務(wù)，來進行多渠道的檢查和修復?！耙郧暗慕?jīng)驗是在新系統(tǒng)上線、新設(shè)備上架時，會因為變更去做流程性的檢測，一旦發(fā)現(xiàn)漏洞就盡快去修復?！毙焯乇硎?。

“針對這些來自本地的脆弱性問題，我們可以用平臺的方式解決。第一，我們會收集不同來源的漏洞預(yù)警信息，包括協(xié)助客戶建立安全響應(yīng)中心（SRC）建立與白帽子社區(qū)的聯(lián)系獲取外部漏洞信息。第二，我們會參考威脅情報，同時利用內(nèi)外部專家資源對是否修復漏洞提供決策支持，例如有些高危漏洞短期內(nèi)沒有公開的漏洞工具可利用，風險性就會降低，而對待已經(jīng)公開利用工具但還未有補丁的漏洞就需要以最快速度處理。第三，基于平臺，安全團隊對漏洞進行掃描后能把修補工作分配給不同漏洞類型相對應(yīng)的不同角色，建立一套標準的流程和漏洞管理工具?！?/p>

“我們希望構(gòu)建全面立體的脆弱性管理體系，即依托綠盟科技企業(yè)安全管理平臺（NESP），借助本地技術(shù)力量、云端獲取威脅情報的能力及云端專家團隊，云地人機一體，使得金融行業(yè)的安全運營工作更為標準化、流程化。同時，我們也希望將這套體系向能源、政府、運營商等其他行業(yè)領(lǐng)域復制延展，這也是我們的愿景?！毙焯乜偨Y(jié)道。