解決威脅企業(yè)內(nèi)部安全的現(xiàn)狀2016年里全球發(fā)生了許多安全事件，包括希拉里郵件門事件、NSA再陷泄密風(fēng)波， SWIFT系列攻擊事件，臺(tái)灣第一銀行ATM欺詐取現(xiàn)事件等。

通過(guò)事件的披露并結(jié)合信息安全專家的分析，我們看到在這些安全事件再次印證人的因素永遠(yuǎn)是信息安全控制中最為脆弱的環(huán)節(jié)。

對(duì)于過(guò)去的時(shí)間而言，我們熟悉的APT攻擊、網(wǎng)絡(luò)釣魚、勒索軟件、惡意軟件均是從個(gè)人環(huán)節(jié)進(jìn)行入手。

因此當(dāng)金融機(jī)構(gòu)的CSO、CTO、CIO在討論目前最新的一些信息安全解決方案時(shí)，千萬(wàn)不能忽略來(lái)自內(nèi)部人員的信息安全威脅。

員工個(gè)人信息安全的問(wèn)題涉及到個(gè)人和企業(yè)兩方面。

從企業(yè)角度來(lái)看，造成該問(wèn)題的原因不局限于企業(yè)未形成安全意識(shí)文化、安全意識(shí)教育培訓(xùn)不到位、人員工作和安全意識(shí)未緊密結(jié)合這三個(gè)主要原因，缺乏有效減少針對(duì)員工個(gè)人攻擊面的技術(shù)手段和措施也是另一個(gè)關(guān)鍵的原因。

這諸多的技術(shù)手段中筆者認(rèn)為尤其需要關(guān)注漏洞補(bǔ)丁管理、郵件網(wǎng)關(guān)防護(hù)以及終端安全防護(hù)三個(gè)關(guān)鍵和基礎(chǔ)的技術(shù)防護(hù)手段。

漏洞補(bǔ)丁管理漏洞補(bǔ)丁管理向來(lái)都是信息安全防護(hù)的一個(gè)重點(diǎn)和難點(diǎn)。

近觀這幾年來(lái)，我們可以看到一低兩高的現(xiàn)象，即來(lái)自操作系統(tǒng)的漏洞數(shù)量呈現(xiàn)持續(xù)降低的趨勢(shì)，而應(yīng)用軟件和高危零日漏洞數(shù)量不斷增加。

以零日漏洞為例，2015年發(fā)布的零日漏洞為54個(gè)(2014年僅為24個(gè))，是2006年統(tǒng)計(jì)以來(lái)最高的一年[1]。

在2015年的統(tǒng)計(jì)中，利用最多的三個(gè)漏洞(CVE-2015-0313、CVE-2015-5119和CVE-2015-5112)均來(lái)自Adobe公司的安裝于終端上的Adobe Flash應(yīng)用軟件。

圖 1: 2015年前三個(gè)高危漏洞的利用率根據(jù)統(tǒng)計(jì)，黑客團(tuán)體針對(duì)這類零日漏洞的開發(fā)和利用速度極快。

以2015年6月23日發(fā)布同樣是Adobe Flash應(yīng)用軟件的CVE-2015-3113為例，黑客團(tuán)體在一周內(nèi)就在Magnitude、Angler、Nuclear、RIG、Neutrino漏洞利用平臺(tái)上集成了該漏洞，其中最快的為Magnitude，4天后就進(jìn)行了發(fā)布。

因此可以看到，如果缺乏應(yīng)對(duì)有效的漏洞管理，那么即便內(nèi)部人員有良好意識(shí)，仍有可能被零日漏洞所擊中。

另?yè)?jù)2017年1月16日Shavpk公司發(fā)布的調(diào)查報(bào)告中顯示59%的受調(diào)查者表示，除了OS操作系統(tǒng)的補(bǔ)丁修補(bǔ)外，Java仍然是最難管理的應(yīng)用。

接下來(lái)是Adobe Flash播放器軟件-38%， Google Chrome – 21%, Firefox – 18% 以及Apple iTunes – 10%。

此外有超過(guò)三分之二的受調(diào)查者表示每月用于補(bǔ)丁和漏洞管理的時(shí)間少于8個(gè)小時(shí)[2]。

由此我們看到，盡管絕大多數(shù)用戶都意識(shí)到漏洞管理的重要性，但在實(shí)踐過(guò)程中，投入的精力和資源并沒(méi)有相應(yīng)的對(duì)等。

此外，用戶往往更多依賴于廠家或服務(wù)商來(lái)告知漏洞的修補(bǔ)。

而在用戶真正動(dòng)手實(shí)施修補(bǔ)的時(shí)候，以下幾個(gè)因素又往往影響到修補(bǔ)工作的時(shí)間進(jìn)度和完成度。

漏洞的危害及可利用程度補(bǔ)丁的修補(bǔ)容易程度受影響系統(tǒng)/軟件的數(shù)量受影響系統(tǒng)/軟件的重要程度受影響系統(tǒng)/軟件的使用頻率正是由于以上諸多因素的存在，使得用戶IT業(yè)務(wù)環(huán)境中的漏洞修補(bǔ)時(shí)間與漏洞發(fā)布時(shí)間總是存在一定的時(shí)間差。

一些機(jī)構(gòu)中發(fā)現(xiàn)的漏洞甚至有多年前的漏洞。

例如美國(guó)SecurityScorecard機(jī)構(gòu)在2016年對(duì)全美7111金融機(jī)構(gòu)的分析評(píng)估中就發(fā)現(xiàn)大約980家左右的機(jī)構(gòu)依然存在編號(hào)為CVE 2014- 3566的漏洞[3]。

網(wǎng)絡(luò)釣魚與勒索軟件郵件是一個(gè)對(duì)個(gè)人和機(jī)構(gòu)信息安全影響巨大的應(yīng)用。

個(gè)人往往容易收到各類垃圾郵件和精心偽裝的網(wǎng)絡(luò)釣魚郵件，這些垃圾郵件和釣魚郵件中往往包含包括病毒、木馬程序、惡意鏈接和勒索軟件在類的各式惡意代碼。

當(dāng)前的釣魚郵件通常采取點(diǎn)擊誘騙、提供登錄入口、內(nèi)嵌附件、持續(xù)性欺騙以及高度定制化的方式來(lái)誘騙郵件接收者。

而郵件接收者出于好奇、害怕和緊急這三個(gè)最主要的人為感情因素而遭遇欺詐[4]。

根據(jù)統(tǒng)計(jì)，在互聯(lián)網(wǎng)中每125封郵件中就有1封郵件含有惡意軟件。

在2016年中，垃圾郵件及內(nèi)含惡意軟件的垃圾郵件數(shù)量都有上升[5]。

在針對(duì)金融機(jī)構(gòu)發(fā)起的攻擊中，利用釣魚郵件進(jìn)行魚叉式攻擊并滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)是一種首選方式之一。

攻擊者滲透進(jìn)入到銀行內(nèi)部網(wǎng)絡(luò)后可以進(jìn)行控制系統(tǒng)權(quán)限、攔截和修改數(shù)據(jù)，發(fā)送惡意指令、進(jìn)行數(shù)據(jù)竊取等計(jì)算機(jī)犯罪活動(dòng)。

2015年卡巴斯基實(shí)驗(yàn)室就公布了一起通過(guò)釣魚郵件成功入侵俄羅斯某銀行而竊取ATM現(xiàn)金的攻擊事件[6]。

此外，利用含有勒索程序的郵件進(jìn)行勒索也是這幾年日漸增加的一種攻擊方式。

根據(jù)統(tǒng)計(jì)，2015年中針對(duì)個(gè)人消費(fèi)者的勒索攻擊占到總攻擊的57%，針對(duì)機(jī)構(gòu)的攻擊為43%。

根據(jù)cisco公司研究報(bào)告顯示，先進(jìn)的漏洞利用平臺(tái)仍然依賴于Adobe Flash軟件漏洞，這些漏洞幫助勒索軟件更為容易獲得成功并使其成為一個(gè)突出的威脅[7]。

另外，正是由于部分個(gè)人和機(jī)構(gòu)向勒索者的妥協(xié)，使得勒索軟件的數(shù)量劇增。

Symantec公司在2014年新增發(fā)現(xiàn)77個(gè)家族，但在2015年則新增發(fā)現(xiàn)了100個(gè)家族。

當(dāng)前勒索軟件呈現(xiàn)高度組織化和自助服務(wù)化的趨勢(shì)。

例如，一些勒索軟件不僅僅通過(guò)頁(yè)面提示受害者支付轉(zhuǎn)賬金額或比特幣，它們?cè)陧?yè)面上還提供了其后臺(tái)呼叫中心的服務(wù)電話號(hào)碼提供提供5*8小時(shí)的電話服務(wù)指導(dǎo)你如何支付贖金以及如何在支付贖金后進(jìn)行技術(shù)解鎖操作，犯罪組織的專業(yè)性由此可見(jiàn)。

在2015年中，地下黑產(chǎn)已經(jīng)將勒索軟件已發(fā)展成為一種勒索軟件即服務(wù)的模式(Ransomware-as-a-Service, RaaS)圖 2: RaaS的用戶定制截圖[8]此外勒索軟件一直在進(jìn)行精心的偽裝并誘騙用戶點(diǎn)擊郵件附件或郵件鏈接。

下圖是cisco公司在2016年監(jiān)測(cè)在垃圾郵件中最常見(jiàn)的社會(huì)工程欺詐主題/內(nèi)容圖 3: 2016年垃圾郵件中最常見(jiàn)社會(huì)工程欺詐主題/內(nèi)容[5]終端安全防護(hù)終端安全防護(hù)是另一個(gè)重要的安全防護(hù)措施。

我們稍微可以值得慶幸的是安裝于個(gè)人終端的殺毒軟件比例是比較高的，根據(jù)瑞星公司《2016年中國(guó)信息安全報(bào)告》顯示發(fā)現(xiàn)國(guó)內(nèi)企業(yè)部署終端安全防護(hù)產(chǎn)品占比81.79%，位列第一位。

但該數(shù)據(jù)依然提示我們，仍有近五分之一的企業(yè)仍未考慮部署終端安全防護(hù)產(chǎn)品。

人員流動(dòng)除了以上技術(shù)層面的考慮外，行業(yè)的人員流動(dòng)也是需要金融機(jī)構(gòu)管理層考慮的安全問(wèn)題之一。

根據(jù)前程無(wú)憂在《2016離職與調(diào)薪報(bào)告》一文中的數(shù)據(jù)，在2015年里金融機(jī)構(gòu)有18.1%的人員流動(dòng)率。

而在《2017離職與調(diào)薪調(diào)研報(bào)告》一文中的數(shù)據(jù)顯示在2016年里金融機(jī)構(gòu)有17.3%的人員流動(dòng)率。

由于人員的流動(dòng)頻度，將導(dǎo)致一些企業(yè)不情愿展開和進(jìn)行更多人員內(nèi)訓(xùn)工作。

具體體現(xiàn)在企業(yè)可能更為注重人員的在崗技能培訓(xùn)，而降低信息安全意識(shí)方面培訓(xùn)的資源投入。

此外由于不同機(jī)構(gòu)之間在信息安全策略和信息安全管控能力之間的不同，一個(gè)從信息安全管理較為滯后的機(jī)構(gòu)來(lái)的新員工在新工作崗位中可能較難以適從新機(jī)構(gòu)的信息安全策略，也更容易成為社會(huì)工程學(xué)攻擊的受害者。

隨著互聯(lián)網(wǎng)融資、互聯(lián)網(wǎng)金融服務(wù)等“互聯(lián)網(wǎng)金融”業(yè)務(wù)形態(tài)的快速發(fā)展，互聯(lián)網(wǎng)金融人才缺口在加大的同時(shí)將吸引更多的人才投身金融行業(yè)。

根據(jù)CFCA、羅蘭貝格管理咨詢公司、LinkedIn公司聯(lián)合出版的《2016年中國(guó)金融行業(yè)人才發(fā)展報(bào)告》的數(shù)據(jù)指出2015年中國(guó)金融行業(yè)的從業(yè)人員為558萬(wàn)，較之2014年的501萬(wàn)增長(zhǎng)了57萬(wàn)，增長(zhǎng)率為11.37%，這其中又以私募基金的人才增長(zhǎng)為最高，2014-2015年增幅達(dá)到了205%。

因此，金融行業(yè)尤其是基金和互聯(lián)網(wǎng)金融行業(yè)更需要在大量吸收引進(jìn)人才，擴(kuò)展業(yè)務(wù)的同時(shí)，加強(qiáng)對(duì)人員的信息安全意識(shí)培訓(xùn)，降低金融安全風(fēng)險(xiǎn)。