共享威脅情報是產業唯一的出路,亦是挑戰

0
257

保護您的銀行基礎建設以防止遭到網路犯罪的侵犯是目前銀行產業最艱難的IT挑戰之一。即使銀行業者努力不懈地去保護其客戶及財產,這挑戰也只會變得越發困難。攻擊的規模正逐漸地增加,且 許多諸如物聯網等科技新發展,讓攻擊表面亦持續增加,甚至很多的終端點也被用來發動攻擊。這不是理論上的說詞,而是確確實實發生的現象,而Akamai的安全營運中心(Security Operations Center;SOC)也從網際網路連結的「事務」上察覺到攻擊的出現。

觀察的重點不在於攻擊的規模及頻率,而是發動攻擊的速度。攻擊工具可讓一個新手不用透過本身的機器,且無需具備太多的技術知識的狀況下,利用連結網際網路的伺服器隨時執行具規模的攻擊。

如同時尚流行趨勢,攻擊手法也是千變萬化的。反射攻擊並不是什麼新的攻擊方式,但它們靠著新的執行方式及每年數十億個網路上可被利用的新連網設備而成為現在的趨勢。同時,新一波被發現的漏洞也嚴重到需花費時間去修復網路上受感染的硬體,而讓後門大開,使網路犯罪分子得其門而入。Heartbleed 和Shellshock皆為頗具代表性的例子,而且這樣的問題在未來只會越來越嚴重。

駭客攻擊的原因有很多,但他們最主要的獎勵往往不是僅為癱瘓某銀行的網站。有些銀行證實他們已經觀察到許多DDoS攻擊期間所發生的金錢詐欺行動。DDoS攻擊也在客戶資料被下載時被用來創造轉換時機,這些被下載的客戶資料在黑市販售以幫助金融詐欺或是身分盜用。眾多例子顯示,此類資料外洩已經為品牌及其客戶帶來重大損失。

資訊共享會是答案嗎?

如此危急情況加上銀行產業似乎是全球駭客攻擊的靶心,很明顯的,金融機構單槍匹馬對抗不是個成功的策略。畢竟,駭客們無時無刻都在共享時間、資源及知識。

資訊共享是個顯而易見的方法,但卻也比它聽起來還要複雜。例如,在金融產業裡資訊共享觀念並不是普遍被接受的。對如美國等國家,資訊共享是先進且司空見慣的,但有些國家及地區仍然認為威脅情報是個敏感且攸關競爭力的議題。我曾經和幾個國家的銀行產業高階主管聊過,他們表示,在共享威脅情報方面,他們遠落後於其他先進國家三年或更多的時間,因為每個敏感訊息的披露,都需要考慮隱私及責任相關的法律不確定性的問題。

然而,當你為了這行業的福祉與安全而致力於資訊共享時,此動作必須是有效的。偵測攻擊並不容易,卻也沒有人想成為放羊的小孩。

攻擊並不總是顯而易見的。如果你的公眾網站突然間無法使用,且客戶在社群媒體開始發飆,這是攻擊、系統出錯、還是網路服務供應商出現問題呢?

當然,如果是大規模的攻擊,很容易被發現,然而,資料外洩則很難被察覺,因為它可以是個偽裝的DDoS攻擊,或也有可能無法觸發警報。甚至,即使警報被觸發,也必須在資訊共享前調查其發生的可能性,比如:此為蓄意破壞?或為透過自己的IT部門的合法滲透測試?抑或它只是個來自第三方的無害(或其他方面)的掃描?

並肩作戰

情報共享對金融業來說是可行的,但要讓其有效用還是有許多挑戰要面對。在與客戶談話時我常聽到很多案例,但還是不乏來自業界的成功例子。大家或許還記得在2012與2013年間所發生的「燕子行動(Operation Ababil)」,也可能身受其害,這是針對美國金融機構發動的DDoS攻擊,在攻擊的高峰期間,每周都有超過20間以上的銀行每天遭受無差別攻擊。銀行不只得加強防禦來反擊,還相互共享資訊,其所發揮的效用無法被高估。

共享威脅情報是個可預見的未來,其過去所使用的人工流程在今日亦逐漸被機器對機器的系統取代。美國證券集中保管結算公司(DTCC)及金融服務暨資訊分享與分析中心(FS-ISAC)近幾年都在使用Soltra Edge系統,這是一個基於威脅情報生態系統而建立的開放標準,來匯集知識並加快情報共享的速度,而此系統正蓄勢待發。

其實共享威脅情報是沒有障礙的。你的同儕們已經在做了,如不跟著此股潮流,你會發現在面對網路犯罪分子時,你的力量是相對薄弱的。如果我們所有人都願意共享訊息,那麼所有的銀行產業也會更加茁壯。威脅很可能在下一刻來臨,也可能變得更大,我認為我們應當並肩作戰,你覺得呢?

資料轉載自: http://news.networkmagazine.com.tw/classification/security/2015/06/17/65327/

LEAVE A REPLY

Please enter your comment!
Please enter your name here