勒索软件攻击近年来一直是头条新闻。从AXAGroup到CANFinancial,金融业也不能幸免于风险。对于许多企业来说,最初的担忧集中在赎金成本上,然而,他们面临着更广泛的损害以及与安全、收入损失和声誉损害越来越相关的问题。例如,Kaseya网络攻击要求的7000万美元赎金也表明“受信任”的服务提供商和第三方供应链参与者可能带来的风险越来越大,其乘数效应可能会迅速影响100万个端点。金融服务部门的网络效应使所有利益相关者受益。然而,共享数据和服务的增长增加了网络攻击的风险。而且,正如人们已经看到勒索软件对燃料管道公司甚至食品加工商的影响一样,系统锁定对企业和个人的影响是巨大的。当客户无法在整个供应链中获得资金或与服务提供商进行交易时,焦虑和成本可能会升级,公司的商业声誉可能会迅速受损。简单的出路?许多企业曾经将支付赎金视为解决勒索软件攻击问题的“快速解决方案”。然而,随着美国证券交易委员会(SEC)和美国外国资产控制办公室(OFAC)正在考虑禁止在法国和美国支付赎金,这种选择现在可能已成为过去。在澳大利亚,有人呼吁强制通知勒索软件受害者支付赎金。金融部门还需要考虑到,即使支付了赎金,解密过程和恢复正常业务也可能非常缓慢。随着供应链勒索软件攻击规模不断升级,越来越多的事件表明恢复时间至关重要。如果来自网络攻击者的解密密钥不可信,那么建议投入时间和精力从头开始重建、重新配置和保护IT系统和服务,以确保其完整性。虽然支付赎金可能成为非法行为,但网络保险仍将是企业为快速恢复和运营提供资金并减少中断的有效工具。现在要求保险公司在获得网络保险单之前证明他们有足够的网络安全控制。事实上,随着勒索软件的威胁越来越大,保险成本可能会进一步增加,获得可验证的网络风险管理能力可能会在公司董事会的优先事项列表中进一步上升。充满挑战的环境金融业还面临着其他一些特殊挑战。许多金融机构持有大量个人数据,无论是账户、交易、用户还是报告。使这个问题复杂化的是开放银行立法,例如英国/欧盟的PSD2和澳大利亚的CDR法规,这些法规要求客户轻松批准共享其个人数据的过程。消费者持有和在金融业参与者之间转移个人信息的这些权利必然会重新分配该行业的网络安全责任。因此,在适应不断变化的环境的这段时间里,网络安全风险会增加。金融服务行业已成为网络犯罪分子的诱人目标。客户要求更好地控制对其数据的访问,这增加了为全新级别的勒索软件做好准备的必要性。企业可能面临各种风险,从心怀不满的员工的破坏到在线欺诈,再到旨在大规模窃取个人数据的勒索软件攻击。那么金融业可以做些什么来保护自己呢?为勒索软件攻击做好准备部署防病毒软件和网络防御以及端点检测和响应的兴起可以帮助企业管理和响应网络攻击。但这些解决方案首先依赖于检测恶意活动。如果端点或网络解决方案在没有警告的情况下遭受网络攻击怎么办?企业是否了解正在发生的事情?是否有其他控制措施来减轻威胁?它们是否作为IT风险管理计划的一部分进行监控和管理?在勒索软件造成严重损害之前,必须格外小心以防止或至少限制成功的勒索软件攻击。实施基本的网络安全控制并努力保护公认的威胁向量确实会有所回报,因为这些正是勒索软件攻击者可能利用的弱点。需要重点关注三个方面。前两个是为了防止最初的感染,如果确实发生了,控制或限制传播。这些策略需要与第三种策略(恢复)相结合,以确保可以恢复系统和数据并成功管理事件。有效的风险管理原则,识别和分类风险并相应地管理它们。企业可以采取一些关键保障措施来支持这些要素:(1)预防应用程序控制——确保只有经过批准的软件才能在计算机系统上运行,通过限制它们可以执行的内容来保护系统。应用程序补丁——必须定期更新应用程序,以防止网络入侵者利用软件中的已知漏洞。宏安全-检查宏和文档设置是否正确配置并防止恶意代码被激活。强化用户应用程序和浏览器——使用有效的安全策略来限制用户访问活动内容和网络代码。防火墙/边界——即使是物理站点安全性也会限制用户访问出站和远程连接入站。员工安全意识——虽然不是技术控制,但建立“网络文化”并让员工更好地了解网络安全、威胁和缓解策略以最大限度地减少网络攻击至关重要。(2)遏制限制管理权限——通过仅允许需要访问系统的员工访问系统来限制管理权限,然后仅用于指定目的和受控访问。操作系统修补——一个完全修补的操作系统将显着降低恶意软件或勒索软件在网络上传播的可能性。多重身份验证——用于管理用户对高度敏感的帐户和系统的访问,包括远程用户。EndpointProtection-安装防病毒软件并保持更新。(3)恢复定期备份——异地保护数据和系统备份,并测试恢复过程。事件响应——确保每个人在处理最坏情况时都精通事件管理手册。在控制中获得保证企业必须确保他们正在监控他们的安全控制,以确保他们有效地工作。如果控制无效,IT团队需要快速学习以减轻任何缺陷并恢复适当的网络安全态势。确保这些风险成为公司董事会关注的“网络安全文化”,将提高组织对勒索软件的整体准备。公司董事会应收到提供这些控制措施的清晰可见的报告,并将这些关键绩效指标(KPI)作为其网络安全风险管理流程的一部分。它们可以用作持续网络安全改进计划的一部分。能够监控准备情况和评估网络攻击风险可以提供早期预警防御并确认网络安全风险管理流程已经到位。结论金融服务业在实施全面的网络安全风险管理实践方面面临着许多挑战。如果银行或保险公司受到重大勒索软件攻击的影响,对经济的更广泛影响可能是重大的。殖民地燃料管道事件造成的燃料短缺,引起了公众的普遍恐慌和担忧。这让人想起2007年金融危机初期英国北岩银行分行的挤兑情况。如果大规模的勒索软件攻击剥夺了消费者的银行存款,公众的恐慌程度将是自发的。明显。金融行业组织必须具备全面的网络防御和控制措施,并以定期监控为后盾,以确保它们有效运行,确保如果一种控制措施未能识别或阻止攻击,其他补充控制措施将发挥作用并能够限制其影响。这样一来,网络攻击的风险就可以降到最低,企业可以保持有效的IT治理,以更好地防止对其系统、运营和声誉造成代价高昂的损害。
