在金融行業,業務的成功和可持續發展取決于信息系統的健康狀況。對企業信息系統的破壞可以損害其聲譽、竊取其數據,同時也會導致企業受到法律的制裁和處罰。大的企業往往依賴于成千上萬個與互聯網相連接的這種系統,因此商業間諜活動就成了金融安全的主要關切點。
網絡罪犯們逐漸認識到,有用的數據往往比直接的現金攻擊更有價值,并且這些數據還可以匿名進行交易,因此近年來金融業的商業間諜活動日益猖獗。就在去年,摩根大通和其他的各大銀行成為了大規模攻擊的受害者,導致金融監管機構審查攻擊者是否不只是追求財務收益,也在收集情報。
因此,作為公司的高管或安全主管,至關重要的就是要確保安全管理人員要對商業間諜活動采取適當的行動,通常都是從風險管理開始入手。這意味著要深入了解可以被動影響金融企業的因素,然后勾勒出這些因素可能發生的概率。
金融行業的企業都應該注意以下商業間諜威脅:
一、攔截和監聽:受政府支持的監聽惡意軟件“高斯”就是一個例子。有報道稱,該工具由一個或多個政府支持,主要用來監控銀行賬戶。
二、內部間諜:根據專門處理計算機網絡安全問題的組織——計算機安全應急響應組(CERT)的數據庫,銀行業和金融業是除信息技術和化工領域之外內部知識產權盜竊發生最頻繁的行業,高達13%。
三、通過物聯網搞破壞:對手可能在金融企業采購的設備生產制造過程中有策略地安裝受感染的軟件。同時,金融企業中的物聯網網絡和設備會產生大量的數據,而確保這些數據的安全卻并非易事,從而成為商業間諜的重要切入點。
四、勒索、敲詐和賄賂:據美國聯邦調查局網絡空間處報告,90%的美國企業都容易受到網絡敲詐勒索的攻擊,其中包括黑客劫持企業的數據情報并勒索其執行特定的操作(如黑錢轉移等)。網絡罪犯也可能賄賂安全團隊中的某個成員,以找到進行間諜活動的切入點。
對于各種各樣的金融機構來說,企業間諜活動使其風險管理受到日益重要的挑戰。金融業商業間諜活動的受害者分為兩類:一類是了解已經產生的泄漏,一類則對已經產生的泄漏一無所知。
以下監管機構所關注的是金融企業所采用的風險管理策略:
一、合規檢查考試辦公室:合規檢查和考試辦公室是證監會運作的部門,該部門曾發布過一份“風險預警”,涵蓋了風險管理問題的方方面面,包括信息系統保護、風險識別以及關聯第三方風險檢測等等。
二、金融監管局:金融監管局關注金融業的網絡健康,對包括員工培訓、情報、信息保障、風險評估和應急響應在內的風險控制問題提供指導。
隨著監管機構對網絡間諜風險的重視,以及將網絡安全列為金融業的首要風險,金融機構應該在這方面的風險管理投資上分配更多的資源,并且應該解決導致合規失誤的不合格文檔和太過簡單的風險管理規程。
盡管每個企業都會有自己的風險管理方法,但商業規律上還是有基于威脅接受度、嚴重性映射、決策影響和控制實施建議的通用工作流。要解決商業間諜問題,金融機構應該繪制出類似下面的風險管理框架:
一、威脅接受度:金融機構需要承認商業間諜活動的存在。
二、集中風險管理:整個金融機構從上到下必須在網絡風險管理和維護方面持負責任的態度。只有當每個人都將風險管理作為個人責任,才能實現集中風險管理,從而讓商業間諜和其他攻擊無懈可擊。
三、滲透測試:對當前安全系統的脆弱性進行仔細而徹底的檢查。包括網絡地址(用來確定網絡環境的拓撲結構)、網絡周邊設備、無線設備、基于WEB的應用程序、內部應用程序以及成品軟件等等。
四、社會工程:社會工程處在風險管理識別的最薄弱環節,如果間諜活動通過公司網站進行,也考驗著組織的洞察力。對社會工程風險的評估可以用來形成有針對性的培訓安排,對員工在商業間諜活動威脅方面進行培訓。
五、技術審計:包括全系統的安全配置審計。默認安裝的應用程序可能會給對手留下入侵公司數據的漏洞,所以進行技術審計的目的就是了為防止入侵。技術審計同樣也包含物理安全審計,確保商業間諜活動的所有手段都無計可施。
六、背景篩查:大量的商業間諜案件都涉及內部人士蓄意向外部對手出售組織情報。這些人都有敏感端點權限,因此背景篩查在減少內奸風險方面是非常重要的。
減輕網絡情報收集的風險對于金融機構來說似乎是一項艱巨的任務,但上述風險管理框架可以做為防范商業間諜活動的重要武器。同時,它對于消除金融機構與政府網絡安全機構合作之間的無形隔閡至關重要。相信采取這些方法的組織必會從中受益良多。
京公網安備 11010502049343號