“我们负责电子银行安全的人压力很大。
黑客越来越猖獗,连专门做信息安全的RSA公司都被黑客攻击了。我们需要评估,看看他们被攻击会不会对我们的安全造成影响。”最近,一位银行人士对记者表达了他的担忧。
黑客攻击成为家常便饭
的确,当前黑客攻击已经成为家常便饭。据CNNIC最新调查显示,2011年上半年,我国遭遇过
病毒或木马攻击的网民达到2.17亿,比例为44.7%,半年内增加735万人;有过账号或密码被盗经历的网民达到1.21亿人,半年内增加2107万人。该群体占到网民总数的24.9%,较2010年底增加3.1个百分点;有8%的网民在网上遭遇过消费欺诈,该群体规模达到3880万人。
数据安全公司Imperva近日有研究报告称,在全世界,网络应用程序每小时被攻击27次,约合每两分钟被攻击1次。在网络攻击活动的高峰期,有些网络应用程序每小时被攻击2.5万次,约合每秒钟被攻击7次。这项研究用具体的数字证实了安全专家、政府和企业的共同感受:他们的网络总是不断地遭到攻击。
据专家介绍,最让人担心的是一种名为“高级持续攻击”的黑客攻击形式。RSA受到的就是这种攻击。这种黑客攻击,最初发源于国家间的网络间谍活动:某些国家的组织和团体长时间内访问一个网络,采用尖端复杂的
技术攫取安全数据。攻击者可能不是从网络边缘侵入,而是通过人员
漏洞,通过社会工程学方法直接找到缺口,再侵入网络。现在来看,攻击者将这种尖端复杂的技术用于攻击企业,是迟早的事。对于多数银行来说,不是会不会遭受攻击的问题,而是什么时候遭受攻击的问题。
RSA全球执行主席亚瑟·科维洛对记者表示:“今天,每个人、每个企业,乃至金融等各种行业,只要连接到互联网,就有遭受攻击的可能。但是,我们不能因为怕网络攻击而关掉互联网。”
全行业应对最新黑客攻击
高级持续攻击这种最新的攻击形式引起了全行业的密切关注。由全球1000强公司顶级信息安全官组成的业务创新安全委员会最近发布了一项报告。该报告建议,企业要转变对信息安全的思维方式和观念:要假定自己已经被攻陷,并在此前提下考虑该怎么办。报告中称,过去,人们希望成功阻止侵入。现在,这已经变成一项不可能的任务。比较可行的目标是:争取成功检测攻击,减轻损失。
基于这种观念出发,该委员会为应对高级持续攻击提供了七种防御措施:一是实施高级情报收集与分析,让情报成为战略的基石;二是实施智能监控,知道要寻找什么,并建立信息安全与网络监控机制;三是收紧访问控制权,控制特权用户的访问;四是认真对待用户培训,培训用户识别社会工程学攻击,让用户承担保证企业信息安全的个人责任;五是管理高管预期,要让最高管理层认识到,抗击高级持续性攻击的本质是数字军备竞赛;六是重新设计IT,从扁平式网络转变为分隔式网络,使攻击者难以在网络中四处游荡,难以发现最宝贵的信息;七是分享信息安全威胁情报,利用好其他企业积累的知识。
金融机构如何应对
高级持续攻击对金融机构有多大的威胁呢?“目前来看,高级持续攻击的目的通常是国家级的。我们猜想,黑客攻击我们也是试图获取和国家利益有关的数据。在我们被攻击后,黑客利用从我们这里拿到的数据试图攻击洛克希德·马丁公司,但是没有成功。目前为止,这是我们知道的唯一一次跟我们有关的攻击。”科维洛说,“国家级的攻击资金、资源丰富,可以做到一些非常高级的攻击。其他犯罪分子很快能够装备到这样的水平,对企业进行这种高水平的攻击。在互联网世界里,如果想不受攻击是不可能的,所有企业都有可能遭受攻击,尤其是金融机构等这样的大型企业。在这样的假设前提下,我们能够做到的是,如何在互联网这个
大家庭里控制风险,把各种相互独立的安全控制方法组合在一起,建立多层次的防御方法。对RSA自身来说,我们加强了多层次的防御体系,而且正努力确保类似攻击不会再得逞。”
科维洛建议,首先,第一层是传统的防病毒、防火墙。虽然它们的效率越来越低,但能应对一些常规的攻击。第二层是网络流量监控。RSA之所以能够知道正在进行的攻击,是因为采用了NetWitness技术,用它可以看到正在发生的、非正常的网络流量。第三层是防数据泄露技术。在全面推广和部署中,可以监控什么样的数据在从公司往外走。而且,还需要不断提高防数据泄露工具的水平,在攻击者将数据加密后发出公司时,也能监视这些数据的流动。第四层是改进交易监控系统,将以前的事后监控提升为基于风险的监控,即事中监控。第五层是加强对所有员工的教育培训,提高安全防范意识。尤其重要的是系统管理员,因为他们有进入秘密王国的钥匙。最后,建议客户对风险要有全面、细致的认识,在企业中从高到低、从左到右,每一段有什么样的风险、有什么样的防范,都要有全面的了解。
据专家介绍,事中的交易监控是一种非常重要的保护措施,它对消费者的保护比U盾、令牌更有效。他打了个比方:前者相当于监控摄像头,后者相当于钥匙。你在路上丢了钥匙,你的家门有被打开的风险,但是如果你的门上还安装了监控,任何不法分子都可以被你发现。据介绍,在美国目前已有70%银行的电子银行部门采用了基于风险的交易监控系统。
假如有被攻击的可能,应对高级持续攻击,我们需要时刻做好准备。
