Evolve在6月26日在其網(wǎng)站上發(fā)布了一則公告,稱數(shù)據(jù)泄露包括個(gè)人可識別信息(PII),包括客戶姓名、社會(huì)安全號碼、出生日期和賬戶信息,這對受影響的個(gè)人和公司有嚴(yán)重影響。
Evolve于7月8日開始通知受影響的各方。金融科技提供商和金融服務(wù)機(jī)構(gòu)將這次攻擊追蹤到一封網(wǎng)絡(luò)釣魚郵件,其中一名員工無意中點(diǎn)擊了一個(gè)惡意的互聯(lián)網(wǎng)鏈接。
“我們拒絕支付威脅者要求的贖金,因此,他們泄露了下載的數(shù)據(jù),他們還錯(cuò)誤地將數(shù)據(jù)來源歸因于美聯(lián)儲(chǔ)銀行。”Evolve在其網(wǎng)站上分享的最近更新中說。
這次攻擊立即在金融科技初創(chuàng)公司社區(qū)及其主要支持者中引起了震動(dòng)。Affirm、Airwallex、Alloy、Bond(現(xiàn)為FIS的一部分)、Branch、Dave、EarnIn、Marqeta、Mastercard、Melio、Mercury、PrizePool、Step、Stripe、TabaPay和Visa都是Evolve的客戶。
Affirm通過X(前身為Twitter)向其Affirm信用卡客戶發(fā)出網(wǎng)絡(luò)安全事件的警告,并提供支持,以防賬戶出現(xiàn)欺詐交易。Mercury報(bào)告稱,泄露影響了賬戶號碼、存款余額和企業(yè)所有者姓名,對其運(yùn)營和客戶信任造成了重大影響。此外,泄露導(dǎo)致Evolve的在線銀行服務(wù)暫時(shí)中斷,導(dǎo)致依賴實(shí)時(shí)交易處理的客戶受到干擾。
美聯(lián)儲(chǔ)在泄露前發(fā)現(xiàn)風(fēng)險(xiǎn)漏洞
這次勒索軟件攻擊顯示了一個(gè)高風(fēng)險(xiǎn)組織如何將整個(gè)金融科技生態(tài)系統(tǒng)置于風(fēng)險(xiǎn)之中。美聯(lián)儲(chǔ)理事會(huì)在泄露前兩周的預(yù)見性警告表達(dá)了對該銀行與金融科技提供商的眾多合作伙伴關(guān)系的擔(dān)憂,這些提供商向廣泛的客戶提供銀行產(chǎn)品和服務(wù)。2023年進(jìn)行的檢查發(fā)現(xiàn),Evolve未能為其金融科技合作伙伴關(guān)系實(shí)施有效的風(fēng)險(xiǎn)管理框架,從而從事不安全和不健全的銀行業(yè)務(wù)。
美聯(lián)儲(chǔ)的執(zhí)行行動(dòng)包括要求該銀行加強(qiáng)其風(fēng)險(xiǎn)管理實(shí)踐,以解決潛在的風(fēng)險(xiǎn),包括合規(guī)和欺詐風(fēng)險(xiǎn),通過實(shí)施適當(dāng)?shù)谋O(jiān)督和監(jiān)控這些關(guān)系。不幸的是,Affirm未能完全響應(yīng)并完成美聯(lián)儲(chǔ)要求的所有任務(wù),這可能會(huì)防止泄露對其眾多金融科技合作伙伴(包括初創(chuàng)公司)的更廣泛影響。
LockBit試圖將混亂轉(zhuǎn)化為現(xiàn)金
勒索軟件攻擊者試圖在供應(yīng)鏈中制造混亂,確保他們的攻擊在盡可能廣泛的網(wǎng)絡(luò)中產(chǎn)生回響。United Healthcare就是一個(gè)典型例子。混亂越大,現(xiàn)金支付越高,因?yàn)閁nited Healthcare支付了2200萬美元的比特幣贖金。
LockBit的勒索軟件即服務(wù)(RaaS)商業(yè)模式需要不斷招募分支機(jī)構(gòu)以推動(dòng)收入增長,通過在供應(yīng)鏈中制造混亂贏得街頭信譽(yù)是其業(yè)務(wù)的核心。70%到80%的收入歸于執(zhí)行攻擊的分支機(jī)構(gòu),20%到30%的收入歸于像LockBit這樣的運(yùn)營商。
由10個(gè)國家的執(zhí)法機(jī)構(gòu)組成的國際工作組“Cronos行動(dòng)”今年早些時(shí)候破壞了LockBit的運(yùn)營。工作組成功摧毀了其基礎(chǔ)設(shè)施,并恢復(fù)了7000多個(gè)加密密鑰。盡管如此,LockBit繼續(xù)尋找分支機(jī)構(gòu)并進(jìn)行網(wǎng)絡(luò)攻擊,正如Evolve銀行的泄露所示。國家犯罪局掌握了LockBit運(yùn)營被破壞的具體情況。
“LockBit 最近放出很多煙霧彈,試圖通過附屬攻擊者重塑其聲譽(yù)。我們確實(shí)繼續(xù)看到像 Evolve Bank & Trust 這樣的新受害者被 LockBit 攻擊,所以他們?nèi)匀皇且粋€(gè)有效的威脅。盡管如此,我們需要記住,新聞周期和社交媒體傳播速度遠(yuǎn)快于真相,”Halcyon 的首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Jon Miller 告訴記者,“有很多例子表明 RaaS 團(tuán)體在其泄密網(wǎng)站上虛假發(fā)布并未被攻破的組織信息,以迫使所謂的受害組織支付贖金,所以最好大家在沒有具體證據(jù)顯示確實(shí)發(fā)生了攻擊之前,避免進(jìn)一步猜測。”
Miller 建議公司,“即使受害組織支付贖金或決定不支付并通過其他方式(如備份)恢復(fù)系統(tǒng),也不能保證他們被盜的數(shù)據(jù)是安全的,攻擊者不會(huì)僅僅通過威脅泄露數(shù)據(jù)或在黑市出售數(shù)據(jù)來提出額外的敲詐要求。在許多情況下,數(shù)據(jù)外泄對受害組織的影響比實(shí)際的勒索軟件負(fù)載更大。”
CISO:用數(shù)據(jù)切穿欺騙
“這個(gè)問題驅(qū)使我創(chuàng)辦了一家持續(xù)進(jìn)行權(quán)限管理和啟發(fā)式分析的公司,這是接近成熟安全的唯一途徑。我了解受影響人群的困境,因?yàn)槲抑肋@有多難——這就是為什么我們一直在努力。”Reco 的首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Ofer Klein 告訴 記者。擁有可靠的權(quán)限管理和啟發(fā)式數(shù)據(jù)至關(guān)重要。
LockBit 聲稱攻破美國財(cái)政部,實(shí)際卻從銀行竊取客戶數(shù)據(jù),這是勒索軟件攻擊者常用的欺騙策略,目的是提高他們的街頭信譽(yù),并讓附屬機(jī)構(gòu)繼續(xù)使用他們的對抗技術(shù)和服務(wù),包括 RaaS。
“這是勒索軟件攻擊者的慣用手法——他們威脅要泄露敏感數(shù)據(jù),有時(shí)會(huì)兌現(xiàn)威脅。這是他們的商業(yè)利益。對于企業(yè)來說,總會(huì)有下一個(gè)糟糕的日子。但這并不意味著你必須接受糟糕的結(jié)果,”Reco 的 CISO 及 Expanso、Andesite 和 EnkryptAI 的顧問 Merritt Baer 告訴 記者,“通過細(xì)粒度和行為數(shù)據(jù),我們(CISO)可以在惡行發(fā)生之前甚至進(jìn)行中就察覺到。我們可以在訪問層,從硬件到應(yīng)用程序,對我們的生態(tài)系統(tǒng)進(jìn)行修剪和管理。”Baer 說。
CrowdStrike 的一項(xiàng)調(diào)查發(fā)現(xiàn),96% 的受害者支付贖金后還支付了平均 $792,493 的額外敲詐費(fèi),結(jié)果發(fā)現(xiàn)攻擊者也通過 Telegram 頻道在暗網(wǎng)上分享或出售他們的信息。外國資產(chǎn)控制辦公室也對支付某些勒索軟件攻擊者的公司進(jìn)行了罰款。
金融科技董事會(huì)需要能講零信任的CISO
記者了解到,財(cái)富500強(qiáng)公司的董事會(huì)繼續(xù)投資并優(yōu)先考慮專門量化風(fēng)險(xiǎn)管理的工作組,作為其網(wǎng)絡(luò)彈性和網(wǎng)絡(luò)安全戰(zhàn)略的核心部分。企業(yè)需要的是能將風(fēng)險(xiǎn)指標(biāo)轉(zhuǎn)化為可操作結(jié)果的董事會(huì)成員。簡而言之,他們需要一個(gè)能夠講解零信任的CISO。“我看到越來越多的CISO加入董事會(huì),”CrowdStrike 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 George Kurtz 在今年早些時(shí)候接受記者采訪時(shí)說道,“增加安全性應(yīng)該是一個(gè)業(yè)務(wù)促進(jìn)因素。它應(yīng)該增加業(yè)務(wù)彈性,并幫助保護(hù)數(shù)字化轉(zhuǎn)型的生產(chǎn)力提升。” 強(qiáng)大的零信任框架為企業(yè)范圍內(nèi)的網(wǎng)絡(luò)彈性和網(wǎng)絡(luò)安全提供了必要的基礎(chǔ)。
需要一個(gè)具有董事會(huì)級別權(quán)威的CISO來執(zhí)行以下任務(wù),使金融科技更加安全。對于像 Evolve 這樣的金融科技公司來說尤其如此,因?yàn)橐坏┌l(fā)生泄露事件,其業(yè)務(wù)模式會(huì)使數(shù)十個(gè)合作伙伴面臨風(fēng)險(xiǎn):
消除技術(shù)堆棧中的信任是降低風(fēng)險(xiǎn)和提高彈性的核心。在任何網(wǎng)絡(luò)中,信任都是一種責(zé)任。必須逐步執(zhí)行最小權(quán)限訪問并替換基于邊界的遺留系統(tǒng),一個(gè)端點(diǎn)或威脅面一個(gè)威脅面地進(jìn)行。“你不能從技術(shù)開始,這就是誤解所在。當(dāng)然,供應(yīng)商想要銷售技術(shù),所以他們說你需要從我們的技術(shù)開始。但這些都不是真的。你從保護(hù)面開始,然后再弄清楚,”零信任的創(chuàng)造者和 Illumio 的首席宣傳官 John Kindervag 在最近一次采訪中說道。對實(shí)施零信任保持嚴(yán)格的紀(jì)律需要在董事會(huì)中有一位有影響力和權(quán)威的資深 CISO。金融科技公司需要在董事會(huì)中有提供見解和指導(dǎo)戰(zhàn)略的 CISO。
監(jiān)控和掃描所有網(wǎng)絡(luò)流量是零信任的基本要求。另一個(gè) CISO 需要董事會(huì)席位的原因是,網(wǎng)絡(luò)遙測數(shù)據(jù)是任何金融科技業(yè)務(wù)的生命線。董事會(huì)需要實(shí)時(shí)了解網(wǎng)絡(luò)遙測模式的變化如何影響風(fēng)險(xiǎn)概況和概率。一位經(jīng)驗(yàn)豐富的 CISO 將能夠分解他們?nèi)绾喂芾磉b測數(shù)據(jù)的風(fēng)險(xiǎn)和局限性,并理解為什么監(jiān)控和掃描所有網(wǎng)絡(luò)流量對他們的業(yè)務(wù)至關(guān)重要。
依靠微分段來阻止攻擊者的橫向移動(dòng)。不僅僅是入侵問題,橫向移動(dòng)會(huì)傳播惡意代碼,摧毀 IT 基礎(chǔ)設(shè)施,使零信任成為優(yōu)先事項(xiàng)。正確實(shí)施微分段已經(jīng)幫助更多的銀行、儲(chǔ)蓄和貸款機(jī)構(gòu)以及金融服務(wù)公司通過遏制入侵避免了數(shù)十億美元的損失。它還可以阻止勒索軟件攻擊的開始。
全面審核訪問權(quán)限并立即刪除僵尸憑證。身份和訪問管理(IAM)和特權(quán)訪問管理(PAM)系統(tǒng)中通常會(huì)有幾十年前的活躍登錄信息。從承包商到銷售、服務(wù)和前雇員,僵尸憑證是攻擊面的一部分,沒人會(huì)想到,直到它們被用來進(jìn)行入侵,并且通常數(shù)周內(nèi)都無法檢測到。保持零信任心態(tài),每個(gè)金融科技公司都需要立即刪除過時(shí)的身份和登錄信息。
每個(gè)企業(yè)應(yīng)用、云數(shù)據(jù)庫和云平臺都需要將多因素身份驗(yàn)證(MFA)設(shè)為默認(rèn)。Snowflake 的數(shù)據(jù)泄露部分是由于將多因素身份驗(yàn)證設(shè)為可選所致。雖然有一系列技術(shù)原因?qū)е铝诉@個(gè)決定,但這更說明了需要在董事會(huì)中有一位經(jīng)驗(yàn)豐富的 CISO,能夠解釋這些細(xì)微差別,并堅(jiān)定地將 MFA 設(shè)為標(biāo)準(zhǔn)。
結(jié)論
金融科技存在網(wǎng)絡(luò)安全問題。LockBit 對 Evolve 的勒索軟件攻擊及其對合作網(wǎng)絡(luò)造成的風(fēng)險(xiǎn)表明,整個(gè)行業(yè)需要更多關(guān)注金融網(wǎng)絡(luò)中零信任的基礎(chǔ)。當(dāng)美聯(lián)儲(chǔ)在勒索攻擊前兩周發(fā)現(xiàn)漏洞時(shí),是時(shí)候在公司和行業(yè)層面重新思考網(wǎng)絡(luò)彈性和網(wǎng)絡(luò)安全了。金融科技公司需要 CISO 帶來保持安全和發(fā)展的彈性和經(jīng)驗(yàn)。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運(yùn)營19個(gè)IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號