如何保护金融部门免受网络安全威胁
网络犯罪分子的创新速度与银行、金融科技公司和其他金融机构一样快。现代金融的数字本质为金融行业中的所有参与者提供了许多好处,但同时也为网络威胁参与者创造了大量新的漏洞。
金融机构需要迅速采取行动,在数字金融的新时代进行安全保护。为了了解更多关于他们如何保证安全的信息,行业媒体为此采访了Deep Instinct的威胁情报团队负责人Moshe Hayun。
为什么金融行业如此成为网络攻击者的热门目标,以及哪些恶意软件家族对该行业的大多数攻击负责?
Hayun:只要有利可图,就会有网络犯罪分子。这并不一定意味着他们像数字银行劫匪一样清空账户和抢劫虚拟金库。网络犯罪分子与传统骗子不同,金融机构持有的数据极其敏感,因此很具价值。在勒索软件攻击过程中,这些信息可能会被窃取、出售或加密,并且只有在受害者同意支付赎金时才能赎回或解锁。
当人们谈论恶意软件家族时,不是在谈论像黑手党这样的犯罪家族,而是旨在执行特定任务或攻击的不同类型的恶意软件。金融行业应该特别关注五个恶意软件家族。
第一个是Dridex,它是一个高度活跃的银行木马家族,是一个将恶意代码伪装成合法文件的恶意软件。顾名思义,使用木马程序旨在潜入企业的防御系统。它是2011年首次观察到的一个恶意软件家族的一部分,当时它的前身Cridex首次被用来窃取银行信息以进行欺诈交易。2014年确定了Dridex的第一个版本。从那时起,它已成为最臭名昭著的金融恶意软件家族之一。
金融部门应该关注的第二个恶意软件家族是Trickbot,这是一种复杂的恶意软件形式,用于针对个人、企业和大型企业窃取金融数据、个人信息和银行账户凭证。一旦获得这些信息,它就可以用于进行财务欺诈和身份盗窃。
Trickbot于2016年首次出现。它使用附在电子邮件中的诱杀文件进行传播。Trickbot的模块化特性使其可以针对每个活动进行快速修改,使其能够发展新的攻击技术,并使其更难被发现。
IcedID是另一种模块化银行木马程序,近年来针对英国和美国的金融业务部门进行攻击。它攻击了银行、电子商务公司和信用卡公司,它就像蠕虫病毒一样工作,这是一种旨在复制、传播和感染更多系统的恶意软件。在一台机器上执行时,IcedID会传播给其他机器,并使用简单的规避技术,例如仅在机器重启后操作,使其更难以识别和击败。
排名前五的金融恶意软件家族中的第四个是Zloader,这是一种银行木马,是臭名昭著的Zeus银行恶意软件的变种。它分布在网络钓鱼活动或欺骗性电子邮件中,旨在诱骗受害者下载,并执行恶意软件。
QakBot是金融部门关注的第五个恶意软件家族。它主要窃取信息,自从2009年首次出现以来就受到网络攻击者的欢迎。它擅长窃取网上银行凭证或其他财务信息,可以窃取个人数据甚至记录受害者的击键行为。
这些威胁参与者在进行勒索软件攻击时最常用的技术是什么?
Hayun:每个恶意软件家族都使用不同的技术来实现犯罪目标。恶意宏是一种常见的策略。这意味着威胁参与者将恶意代码隐藏在Word文档或其他文件中,当人们打开它们时,这些文件就会执行。Dridex使用恶意电子邮件附件,其中包含带有危险宏的Word文档或加载了JavaScript的PDF。在成功感染后,Dridex将收集密码、银行信息、信用卡详细信息和其他敏感数据,然后将这些数据传输到指挥与控制(C&C)服务器。另一种形式的Dridex可以从加密货币钱包中窃取凭证。
Trickbot还窃取凭据,但在各种活动中开发了许多不同的功能。它为犯罪分子提供了进入受害者网络的后门,并可以收集电子邮件。该恶意软件家族还拥有一个屏幕锁定、勒索软件风格的选项,旨在窃取系统密码。
欺诈和欺骗是网络犯罪分子的常用手段。IcedID可以操纵受害者的浏览器,因此他们认为他们正在查看一个真正的银行网站,并配有有效的SSL证书,而他们实际上已被重定向到一个旨在窃取凭据的虚假网站。
ZLoader使用Excel宏和其他技术(包括键盘记录)来窃取用户信息。它最重要的功能之一是在受感染的机器上安装虚拟网络计算(VNC)服务器,从而使网络攻击者可以远程访问。Qakbot通过恶意垃圾邮件和通过受感染网站部署的漏洞利用工具包进行传播。如果受害者访问该站点,QakBot会传送其有效负载并感染他们。
为了尽可能规避安全检测,威胁参与者还学会了通过使用LOLbins和PowerShell来避免检测。LOLbin是Windows上预安装的库,网络攻击者使用它们来帮助执行恶意操作。PowerShell还预装在每个Windows7操作系统上,这使其成为后期利用的理想工具。通过在操作系统中使用PowerShell和其他库,网络攻击者可以在针对金融机构时保持警惕,使其成为他们理想的威胁方法。
端点检测响应(EDR)解决方案在金融行业中很常见,那么为什么它们还不够?
Hayun:端点检测和响应(EDR)旨在提高网络和系统入口点的安全性。根据调研机构发布的一份研究报告,这是一种流行的安全形式,到2026年,在这项技术上的全球支出将翻一番,将达到25亿美元以上。
但是,它有一些严重的局限性,这意味着企业应该寻求更好的保护。端点检测和响应(EDR)使用自动化来检测使用数字签名的安全威胁。这对于查找已知威胁很有用。然而,威胁迅速发展,我们看到多态恶意软件的增加,随着它的复制和传播而改变其外观。一些已知感染速度最快的恶意软件会在15秒内感染端点,而端点检测和响应(EDR)解决方案在防止即时和未知威胁方面没有用处。与其相反,一旦恶意软件已经存在系统中,端点检测和响应(EDR)就会检测到恶意软件,因此为时已晚,因为很可能已经造成损坏。
此外,端点检测和响应(EDR)解决方案经常会产生大量错误警报,这是一个严重的问题。当安全人员调查非威胁时,他们可能会错过重大威胁。端点检测和响应(EDR)也是安全立场的一部分,涉及在网络攻击发生后对其进行检测。这是一个次优的解决方案。
深度学习如何帮助保护企业免受这些金融恶意软件家族的侵害?
Hayun:端点检测和响应(EDR)使用自动化技术,深度学习是下一步。深度学习解决方案就像人脑一样可以在出现变体时识别它们,然后在它们进入网络时阻止它们执行。该技术经过数百万个原始数据文件的独立训练,这意味着它能够防止最复杂和高级的网络威胁,无论它们是未知的还是零日威胁。深度学习在20毫秒内停止勒索软件和其他恶意软件的预执行。任何人工或人工技术都不可能以这种速度和准确性水平处理数据。这项技术并不是简单地等待攻击发生,然后帮助防御者消除损失。它是主动的,超越了原有的“检测和响应”模式,转向“预防和保护”的安全态势。
网络犯罪分子一直在开发和设计针对受害者的新方法,恶意软件现在可以高速发展以躲避传统防御。因此,企业需要实施将重点从缓解转移到保护的解决方案。深度学习是针对复杂恶意软件日益增长的更智能解决方案。
深度学习旨在与现有的安全堆栈集成,因此企业可以避免更换现有技术的麻烦。除了加强企业的安全态势外,深度学习还有助于简化流程并释放员工的时间。例如,一旦集成,该技术将安全团队每周收到的警报数量减少25%或更多。因此,在误报上浪费的时间更少。
为了应对针对金融部门面临的安全威胁,企业必须采用能够真正帮助防止遭受网络攻击和恶意软件侵害的技术。如果更多的金融机构实施预防性解决方案,那么网络犯罪分子成功实施攻击的机会就会减少,这样金融行业会更加安全。
