洪蕾

從加大力度防范打擊電信詐騙到徹查瘋狂“羊毛黨”，不難看出2016年信息安全熱點(diǎn)事件的基本特征：前者面向個(gè)人，利用電信業(yè)、互聯(lián)網(wǎng)漏洞，以遠(yuǎn)程非接觸式為特征實(shí)施詐騙并變現(xiàn)；后者針對(duì)O2O電商或互聯(lián)網(wǎng)金融平臺(tái)的促銷(xiāo)、返利或獎(jiǎng)勵(lì)活動(dòng)，使用專(zhuān)業(yè)設(shè)備及軟件，以“鉆營(yíng)”為目的，達(dá)成條件并獲利。

兩類(lèi)事件對(duì)金融機(jī)構(gòu)帶來(lái)的損失，前者是聲譽(yù)風(fēng)險(xiǎn)，后者是營(yíng)銷(xiāo)資金。在金融行業(yè)，尤其是我國(guó)相對(duì)封閉的金融IT系統(tǒng)中，這些損失尚可估量，而在新一輪金融全球化進(jìn)程中，類(lèi)似發(fā)生于2016年由黑客通過(guò)SWIFT（環(huán)球銀行金融電信協(xié)會(huì)）系統(tǒng)多次“打劫”孟加拉等國(guó)央行實(shí)施巨額資金轉(zhuǎn)移的事件，則更讓金融業(yè)者警醒?！霸诨鹦袠I(yè)，我們的威脅情報(bào)系統(tǒng)曾發(fā)現(xiàn)一種木馬病毒——‘基金幽靈，攻擊者通過(guò)它控制內(nèi)網(wǎng)服務(wù)器去查詢(xún)基金公司交易系統(tǒng)數(shù)據(jù)庫(kù)，讀取其委托下單信息。我們將這一情報(bào)上報(bào)監(jiān)管部門(mén)，并配合執(zhí)法機(jī)關(guān)展開(kāi)抓捕，獲得了該惡意軟件從主控中心到用戶(hù)端的樣本。后續(xù)在更多用戶(hù)中排查，我們發(fā)現(xiàn)有近600臺(tái)設(shè)備感染了這一病毒，而這些設(shè)備主要分布于證券基金行業(yè)?！北本┥裰菥G盟信息安全科技股份有限公司（以下簡(jiǎn)稱(chēng)綠盟科技）金融行業(yè)技術(shù)總監(jiān)徐特接受記者采訪時(shí)表示。

“金融業(yè)一直是APT攻擊重災(zāi)區(qū)，這類(lèi)攻擊依托惡意程序潛伏于關(guān)鍵主機(jī)、服務(wù)器中竊取信息資產(chǎn)，往往會(huì)對(duì)金融機(jī)構(gòu)造成直接或間接的嚴(yán)重危害。這也將是2017年金融IT風(fēng)險(xiǎn)防范工作的主線?！毙焯乇硎?。

威脅情報(bào)新生態(tài)

“要采取一切必要措施保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施及其重要數(shù)據(jù)不受攻擊破壞?！痹谥醒刖W(wǎng)信辦近日發(fā)布的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中也明確強(qiáng)調(diào)，要著眼識(shí)別、防護(hù)、檢測(cè)、預(yù)警、響應(yīng)、處置等環(huán)節(jié)，建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度。

隨著金融業(yè)務(wù)多元化，網(wǎng)絡(luò)節(jié)點(diǎn)連接密度增加，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)邊界防護(hù)方法顯然已不再適應(yīng)新的威脅形勢(shì)。要做到更有效檢測(cè)、更快速響應(yīng)，獲取威脅情報(bào)的能力成為考驗(yàn)企業(yè)防御APT攻擊能力的關(guān)鍵。

獲取威脅情報(bào)在于“知彼”，對(duì)傳統(tǒng)金融機(jī)構(gòu)而言，首先其信息渠道的暢通度一般會(huì)低于安全廠商，其次他們對(duì)漏洞修補(bǔ)，特別是臨時(shí)加固措施較為欠缺?！跋啾戎拢G盟科技更有優(yōu)勢(shì)?！毙焯乇硎?，“綠盟科技威脅情報(bào)系統(tǒng)（NTI）的獨(dú)特之處就在于其接入了2000余臺(tái)部署在企業(yè)客戶(hù)內(nèi)網(wǎng)客戶(hù)端的安全監(jiān)測(cè)監(jiān)控設(shè)備，能得到許多一手的企業(yè)內(nèi)網(wǎng)設(shè)備告警信息。另外，在金融行業(yè)，綠盟科技還為數(shù)百個(gè)金融行業(yè)客戶(hù)的網(wǎng)站和互聯(lián)網(wǎng)系統(tǒng)提供7×24小時(shí)監(jiān)測(cè)服務(wù)。通過(guò)服務(wù)與上千余家金融客戶(hù)有業(yè)務(wù)往來(lái)，已為300多個(gè)站點(diǎn)提供網(wǎng)絡(luò)監(jiān)測(cè)服務(wù)，綠盟科技積累了可觀的行業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)。”

威脅情報(bào)一般來(lái)源于四方面：行業(yè)聯(lián)盟的分享或交易、安全防護(hù)系統(tǒng)運(yùn)作過(guò)程、研究人員的獨(dú)立研究以及安全事件的調(diào)查取證溯源活動(dòng)。其中，安全事件調(diào)查取證溯源活動(dòng)是鮮活的、持續(xù)貢獻(xiàn)并可檢驗(yàn)證偽的重要威脅情報(bào)來(lái)源?！熬G盟科技也曾參與金融業(yè)相關(guān)安全事件的調(diào)查取證，這些情報(bào)在面向不同用戶(hù)、不同行業(yè)時(shí)得以分析、共享，也將成為我們用戶(hù)對(duì)抗攻擊、降低風(fēng)險(xiǎn)的有效武器。”

金融業(yè)一般都會(huì)部署防火墻、入侵檢測(cè)系統(tǒng)、終端防御系統(tǒng)、身份認(rèn)證系統(tǒng)等多個(gè)安全類(lèi)軟硬件產(chǎn)品，安全產(chǎn)品越來(lái)越多，但彼此割裂，綠盟科技也在有意識(shí)為用戶(hù)構(gòu)建一個(gè)更完整、更立體的安全防御體系。

安全服務(wù)新升級(jí)

我們希望我們的安全解決方案能實(shí)現(xiàn)智能、敏捷、可運(yùn)營(yíng)。徐特強(qiáng)調(diào)：“我們需要一個(gè)平臺(tái)很好地管理既有安全設(shè)備，實(shí)現(xiàn)智能；也需要更有效地檢測(cè)、更快速地響應(yīng)，實(shí)現(xiàn)敏捷；同時(shí)也希望依托綠盟技術(shù)團(tuán)隊(duì)和來(lái)自合作伙伴、安全響應(yīng)中心的外部力量，幫助用戶(hù)實(shí)現(xiàn)閉環(huán)的安全風(fēng)險(xiǎn)防控?！?/p>

風(fēng)險(xiǎn)由資產(chǎn)、威脅、脆弱性三要素構(gòu)成。其中，對(duì)組織而言只有脆弱性是可控的。來(lái)自IT系統(tǒng)內(nèi)部的脆弱性往往表現(xiàn)為安全漏洞。金融行業(yè)現(xiàn)在最常見(jiàn)且分布最廣的是應(yīng)用漏洞。

針對(duì)漏洞管理，金融機(jī)構(gòu)一般會(huì)使用系統(tǒng)漏洞掃描、WEB漏洞掃描、配置核查等設(shè)備，有時(shí)也會(huì)購(gòu)買(mǎi)滲透測(cè)試、代碼設(shè)計(jì)等服務(wù)，來(lái)進(jìn)行多渠道的檢查和修復(fù)。“以前的經(jīng)驗(yàn)是在新系統(tǒng)上線、新設(shè)備上架時(shí)，會(huì)因?yàn)樽兏プ隽鞒绦缘臋z測(cè)，一旦發(fā)現(xiàn)漏洞就盡快去修復(fù)。”徐特表示。

“針對(duì)這些來(lái)自本地的脆弱性問(wèn)題，我們可以用平臺(tái)的方式解決。第一，我們會(huì)收集不同來(lái)源的漏洞預(yù)警信息，包括協(xié)助客戶(hù)建立安全響應(yīng)中心（SRC）建立與白帽子社區(qū)的聯(lián)系獲取外部漏洞信息。第二，我們會(huì)參考威脅情報(bào)，同時(shí)利用內(nèi)外部專(zhuān)家資源對(duì)是否修復(fù)漏洞提供決策支持，例如有些高危漏洞短期內(nèi)沒(méi)有公開(kāi)的漏洞工具可利用，風(fēng)險(xiǎn)性就會(huì)降低，而對(duì)待已經(jīng)公開(kāi)利用工具但還未有補(bǔ)丁的漏洞就需要以最快速度處理。第三，基于平臺(tái)，安全團(tuán)隊(duì)對(duì)漏洞進(jìn)行掃描后能把修補(bǔ)工作分配給不同漏洞類(lèi)型相對(duì)應(yīng)的不同角色，建立一套標(biāo)準(zhǔn)的流程和漏洞管理工具。”

“我們希望構(gòu)建全面立體的脆弱性管理體系，即依托綠盟科技企業(yè)安全管理平臺(tái)（NESP），借助本地技術(shù)力量、云端獲取威脅情報(bào)的能力及云端專(zhuān)家團(tuán)隊(duì)，云地人機(jī)一體，使得金融行業(yè)的安全運(yùn)營(yíng)工作更為標(biāo)準(zhǔn)化、流程化。同時(shí)，我們也希望將這套體系向能源、政府、運(yùn)營(yíng)商等其他行業(yè)領(lǐng)域復(fù)制延展，這也是我們的愿景。”徐特總結(jié)道。