金融機構如何應對日益猖獗的網路攻擊

對金融服務行業而言，2016年是很艱難的一年。在這一年，金融服務行業遭受了4400萬次網路攻擊，成為了遭受攻擊最多的行業。

最臭名昭著的就是造成孟加拉國中央銀行8100萬美元損失的SWIFT漏洞。成功的攻擊鼓勵了犯罪分子們反覆發起攻擊，據報道這些犯罪分子的獲利將近10億美元。與此同時，包括Bitfinex、DAO以及Ethereum在內的比特幣市場也遭到了攻擊。Bitfinix是一家比特幣交易公司，由於多個錢包存在的安全漏洞，該公司在一天之內就損失了超過6500萬美元。

迄今為止，Anonymous也發起了一項針對金融機構的攻擊活動，即OpIcarus。活動最開始只是針對英格蘭銀行和紐約證券交易所的簡單攻擊，隨後快速演變為針對國際貨幣基金組織、中央銀行以及全球證券交易所的成熟多階段DDoS攻擊。今年6月，OpIcarus已經進入了第五階段。

所有這些攻擊活動都將金融服務行業推向了Radware攻擊活躍程度圖的中心，而通常處在這一位置的都是政府和服務提供商。

根據Radware最新的應用及網路安全報告，保護敏感數據是企業最關注的問題。金融機構需要保護各種各樣的敏感數據--PII、賬戶憑證、信用卡信息，以及市場預測、利率分析、投資組合等等。敏感數據在黑市中是非常有價值的，黑市中關於此類交易的記錄也很多。對企業和黑客而言，數據都是有利可圖的。這些黑客可以創建複雜的程序來規避保護機制並獲取敏感信息。從防禦者的觀點來看，他們必須明確區分機器人程序和人類活動(利用基線和行為分析)，並攔截與命令控制(C&C)伺服器之間的信息傳送。

如何以最安全的方式確保簡單友好的用戶體驗？這需要我們誠實面對問題。有多少企業需要在保護網路或基於Web的服務和應用安全的同時，保護移動應用的安全？這些應用所使用的所有API又如何呢？現在，再想一下手機銀行--複雜性更高了。許多智能手機很容易遭到各類惡意軟體的攻擊，敏感信息(甚至是用戶名和密碼)都可能暴露在數據收集工具中。此外，移動應用通常會通過API與安裝在設備上的社交媒體、位置應用和其他應用進行交互。

解決問題的答案顯然是使用加密數據。事實上，當前很多網站和企業都在使用100%的SSL/TLS進行信息傳送。然而，由於處理加密流量需要更多的計算資源，因此這就需要進行大量的硬體升級投資。雖然新密碼可能會引發高延遲並給傳統系統帶來挑戰，但舊密碼卻是不安全的。重要的是，企業要明白，SSL並不是安全的替代品，由於有很多基於SSL的應用攻擊和DoS攻擊(如洪水或密鑰重新協商)，因此也必須監控SSL。因為加密攻擊曾成功擊垮過三分之一的金融機構。

眾所周知，金融機構很容易引來攻擊者，事實每周都有28%的金融機構遭到攻擊。Anonymous發起的OpIcarus就是一項針對股票交易所和中央銀行的攻擊活動。突髮式攻擊對多數緩解解決方案都有效，因此突髮式攻擊也越來越多。

對不同攻擊類型的準備程度。來源：Radware 2016-2017年全球應用及網路安全報告

最常見的的網路攻擊類型。來源：Radware 2016-2017年全球應用及網路安全報告

最常見的應用攻擊類型。來源：Radware 2016-2017年全球應用及網路安全報告

大多數公司並沒有準確地計算出與網路攻擊相關的損失。那些經過精確量化的損失評估幾乎是那些沒有量化的損失的兩倍。金融機構估計網路攻擊的平均成本為50萬美元。

您認為網路攻擊讓企業付出了多大代價？來源：Radware 2016-2017年全球應用及網路安全報告

FIPS和PCI DSS只是金融機構必須遵守的幾個標準。如果這些機構未能通過審計或出現更糟糕的情況，如存在安全缺口，他們就得為不能妥善保護系統而付出很高的代價。而黑客發起攻擊的成本又很低(當前Darknet中簡單的網路攻擊即服務工具的零售價僅為幾美元)。為了能夠考慮到所有風險並提供指導意見，金融機構和監管機構都必須跟得上敏捷高效的信息共享和跨平台整合方法的快速演變，這對他們而言很具有挑戰性。

以下是一些關於如何顯著縮小攻擊範圍並減少網路攻擊和相關成本的建議：

1.加密--TLS可以用來保護客戶端和API之間的信息傳送，實現傳輸過程中的傳輸機密性和數據完整性。

2.員工教育--為了防止內部威脅，特別是BEC(商務郵件入侵)，企業一定要確認員工能夠遵守內部和行業規章制度，同時要注意可疑郵件和通訊，並仔細處理數據。

3.信息交換--如果不清楚接下來會發生什麼，在集成第三方應用服務時就不能傳遞任何敏感信息。同樣，對輸入數據流進行質疑並過濾可能的注入、利用和攻擊嘗試也很重要。

4.實體數據訪問--在HTTP請求行為中應用強授權和多因素身份驗證機制。需要仔細分析並確定許可權。

5.緊急響應計劃--了解什麼人在事件發生時都做了什麼。確定風險，了解其影響，對關鍵人物進行優先順序排序並提前實踐。這將大大縮減事件消除周期，降低品牌聲譽受損並減少罰款和相關成本。