如何保護金融部門免受網絡安全威脅
網絡犯罪分子的創新速度與銀行、金融科技公司和其他金融機構一樣快。現代金融的數字本質為金融行業中的所有參與者提供了許多好處,但同時也為網絡威脅參與者創造了大量新的漏洞。
金融機構需要迅速采取行動,在數字金融的新時代進行安全保護。為了了解更多關于他們如何保證安全的信息,行業媒體為此采訪了Deep Instinct的威脅情報團隊負責人Moshe Hayun。
為什么金融行業如此成為網絡攻擊者的熱門目標,以及哪些惡意軟件家族對該行業的大多數攻擊負責?
Hayun:只要有利可圖,就會有網絡犯罪分子。這并不一定意味著他們像數字銀行劫匪一樣清空賬戶和搶劫虛擬金庫。網絡犯罪分子與傳統騙子不同,金融機構持有的數據極其敏感,因此很具價值。在勒索軟件攻擊過程中,這些信息可能會被竊取、出售或加密,并且只有在受害者同意支付贖金時才能贖回或解鎖。
當人們談論惡意軟件家族時,不是在談論像黑手黨這樣的犯罪家族,而是旨在執行特定任務或攻擊的不同類型的惡意軟件。金融行業應該特別關注五個惡意軟件家族。
第一個是Dridex,它是一個高度活躍的銀行木馬家族,是一個將惡意代碼偽裝成合法文件的惡意軟件。顧名思義,使用木馬程序旨在潛入企業的防御系統。它是2011年首次觀察到的一個惡意軟件家族的一部分,當時它的前身Cridex首次被用來竊取銀行信息以進行欺詐交易。2014年確定了Dridex的第一個版本。從那時起,它已成為最臭名昭著的金融惡意軟件家族之一。
金融部門應該關注的第二個惡意軟件家族是Trickbot,這是一種復雜的惡意軟件形式,用于針對個人、企業和大型企業竊取金融數據、個人信息和銀行賬戶憑證。一旦獲得這些信息,它就可以用于進行財務欺詐和身份盜竊。
Trickbot于2016年首次出現。它使用附在電子郵件中的誘殺文件進行傳播。Trickbot的模塊化特性使其可以針對每個活動進行快速修改,使其能夠發展新的攻擊技術,并使其更難被發現。
IcedID是另一種模塊化銀行木馬程序,近年來針對英國和美國的金融業務部門進行攻擊。它攻擊了銀行、電子商務公司和信用卡公司,它就像蠕蟲病毒一樣工作,這是一種旨在復制、傳播和感染更多系統的惡意軟件。在一臺機器上執行時,IcedID會傳播給其他機器,并使用簡單的規避技術,例如僅在機器重啟后操作,使其更難以識別和擊敗。
排名前五的金融惡意軟件家族中的第四個是Zloader,這是一種銀行木馬,是臭名昭著的Zeus銀行惡意軟件的變種。它分布在網絡釣魚活動或欺騙性電子郵件中,旨在誘騙受害者下載,并執行惡意軟件。
QakBot是金融部門關注的第五個惡意軟件家族。它主要竊取信息,自從2009年首次出現以來就受到網絡攻擊者的歡迎。它擅長竊取網上銀行憑證或其他財務信息,可以竊取個人數據甚至記錄受害者的擊鍵行為。
這些威脅參與者在進行勒索軟件攻擊時最常用的技術是什么?
Hayun:每個惡意軟件家族都使用不同的技術來實現犯罪目標。惡意宏是一種常見的策略。這意味著威脅參與者將惡意代碼隱藏在Word文檔或其他文件中,當人們打開它們時,這些文件就會執行。Dridex使用惡意電子郵件附件,其中包含帶有危險宏的Word文檔或加載了JavaScript的PDF。在成功感染后,Dridex將收集密碼、銀行信息、信用卡詳細信息和其他敏感數據,然后將這些數據傳輸到指揮與控制(C&C)服務器。另一種形式的Dridex可以從加密貨幣錢包中竊取憑證。
Trickbot還竊取憑據,但在各種活動中開發了許多不同的功能。它為犯罪分子提供了進入受害者網絡的后門,并可以收集電子郵件。該惡意軟件家族還擁有一個屏幕鎖定、勒索軟件風格的選項,旨在竊取系統密碼。
欺詐和欺騙是網絡犯罪分子的常用手段。IcedID可以操縱受害者的瀏覽器,因此他們認為他們正在查看一個真正的銀行網站,并配有有效的SSL證書,而他們實際上已被重定向到一個旨在竊取憑據的虛假網站。
ZLoader使用Excel宏和其他技術(包括鍵盤記錄)來竊取用戶信息。它最重要的功能之一是在受感染的機器上安裝虛擬網絡計算(VNC)服務器,從而使網絡攻擊者可以遠程訪問。Qakbot通過惡意垃圾郵件和通過受感染網站部署的漏洞利用工具包進行傳播。如果受害者訪問該站點,QakBot會傳送其有效負載并感染他們。
為了盡可能規避安全檢測,威脅參與者還學會了通過使用LOLbins和PowerShell來避免檢測。LOLbin是Windows上預安裝的庫,網絡攻擊者使用它們來幫助執行惡意操作。PowerShell還預裝在每個Windows7操作系統上,這使其成為后期利用的理想工具。通過在操作系統中使用PowerShell和其他庫,網絡攻擊者可以在針對金融機構時保持警惕,使其成為他們理想的威脅方法。
端點檢測響應(EDR)解決方案在金融行業中很常見,那么為什么它們還不夠?
Hayun:端點檢測和響應(EDR)旨在提高網絡和系統入口點的安全性。根據調研機構發布的一份研究報告,這是一種流行的安全形式,到2026年,在這項技術上的全球支出將翻一番,將達到25億美元以上。
但是,它有一些嚴重的局限性,這意味著企業應該尋求更好的保護。端點檢測和響應(EDR)使用自動化來檢測使用數字簽名的安全威脅。這對于查找已知威脅很有用。然而,威脅迅速發展,我們看到多態惡意軟件的增加,隨著它的復制和傳播而改變其外觀。一些已知感染速度最快的惡意軟件會在15秒內感染端點,而端點檢測和響應(EDR)解決方案在防止即時和未知威脅方面沒有用處。與其相反,一旦惡意軟件已經存在系統中,端點檢測和響應(EDR)就會檢測到惡意軟件,因此為時已晚,因為很可能已經造成損壞。
此外,端點檢測和響應(EDR)解決方案經常會產生大量錯誤警報,這是一個嚴重的問題。當安全人員調查非威脅時,他們可能會錯過重大威脅。端點檢測和響應(EDR)也是安全立場的一部分,涉及在網絡攻擊發生后對其進行檢測。這是一個次優的解決方案。
深度學習如何幫助保護企業免受這些金融惡意軟件家族的侵害?
Hayun:端點檢測和響應(EDR)使用自動化技術,深度學習是下一步。深度學習解決方案就像人腦一樣可以在出現變體時識別它們,然后在它們進入網絡時阻止它們執行。該技術經過數百萬個原始數據文件的獨立訓練,這意味著它能夠防止最復雜和高級的網絡威脅,無論它們是未知的還是零日威脅。深度學習在20毫秒內停止勒索軟件和其他惡意軟件的預執行。任何人工或人工技術都不可能以這種速度和準確性水平處理數據。這項技術并不是簡單地等待攻擊發生,然后幫助防御者消除損失。它是主動的,超越了原有的“檢測和響應”模式,轉向“預防和保護”的安全態勢。
網絡犯罪分子一直在開發和設計針對受害者的新方法,惡意軟件現在可以高速發展以躲避傳統防御。因此,企業需要實施將重點從緩解轉移到保護的解決方案。深度學習是針對復雜惡意軟件日益增長的更智能解決方案。
深度學習旨在與現有的安全堆棧集成,因此企業可以避免更換現有技術的麻煩。除了加強企業的安全態勢外,深度學習還有助于簡化流程并釋放員工的時間。例如,一旦集成,該技術將安全團隊每周收到的警報數量減少25%或更多。因此,在誤報上浪費的時間更少。
為了應對針對金融部門面臨的安全威脅,企業必須采用能夠真正幫助防止遭受網絡攻擊和惡意軟件侵害的技術。如果更多的金融機構實施預防性解決方案,那么網絡犯罪分子成功實施攻擊的機會就會減少,這樣金融行業會更加安全。
