近年来,勒索软件攻击一直是头条新闻。从安盛集团到CAN Financial,金融业也无法避免风险。对许多企业来说,最初的担忧集中在赎金成本上,但他们面临着越来越广泛的损害和越来越多与安全、收入损失和声誉损害有关的问题。Kaseya在公司遭遇的网络攻击中,勒索赎金为7000万美元,这也表明“受信任的”服务提供商和第三方供应链参与者可能会带来越来越多的风险,其乘数效应会迅速影响100万个端点。
金融服务部门的网络效应使所有利益相关者受益。然而,共享数据和服务的增长增加了网络攻击的风险。此外,正如人们看到的勒索软件对燃油管道公司甚至食品加工商的影响一样,系统锁定对企业和个人都有很大的影响。如果客户无法在整个供应链中获得资金或与服务提供商和成本将升级,企业的商业声誉将迅速受损。
什么是简单的出路?
许多企业曾经认为支付赎金是解决勒索软件攻击问题的问题“快速解决方案”。然而,美国证券交易委员会(SEC)和美国海外资产控制办公室(OFAC)正在考虑禁止在法国和美国支付赎金的选择现在可能已经成为过去。在澳大利亚,一些人呼吁强制勒索软件受害者支付赎金。
金融部门还需要考虑到,即使支付赎金,解密过程和恢复正常业务的过程也可能非常缓慢。随着供应链勒索软件攻击规模的升级,越来越多的事件表明恢复时间至关重要。如果您不能信任网络攻击者的解密钥,建议投入时间和精力从零开始重建、重新配置和保护IT确保其完整性的系统和服务。
虽然支付赎金可能是非法的,但网络保险仍将是企业为快速恢复和运营提供资金的有效工具,减少中断。保险公司要求承保人在获得网络保险单之前必须证明其有足够的网络安全控制措施。事实上,越来越多的勒索软件威胁可能会进一步增加保险费用,因此可验证的网络风险管理能力可能会进一步提高企业董事会的优先级。
充满挑战的环境
金融部门也面临着其他一些特殊挑战。许多金融机构持有大量的个人数据,无论是账户、交易、用户还是报告。开放银行立法,如英国/欧盟,使这个问题更加复杂PSD2澳大利亚CDR法律法规要求客户批准共享个人数据的过程简单易行。消费者在金融行业参与者之间持有和传递个人信息的权利,必然会重新分配行业的网络安全责任。因此,在适应不断变化的环境的过程中,网络安全风险会增加。
金融服务业已经成为吸引网络犯罪分子的目标。客户对数据访问有更大的控制权,这增加了准备新级别勒索软件的要求。企业可能面临各种风险,从不满的员工破坏到网络欺诈,再到勒索软件攻击旨在大规模窃取个人数据。那么,金融业可以采取什么措施来保护自己呢?
准备好处理勒索软件攻击
部署防病毒软件和网络防御,以及端点检测和响应的兴起,可以帮助企业管理和应对网络攻击。但这些解决方案首先依赖于恶意活动的检测。如果端点或网络解决方案在没有警告的情况下遭受网络攻击怎么办?企业知道正在发生什么吗?是否有其他控制措施可以减少威胁?它们是作为吗?IT监控和管理风险管理计划的一部分
在勒索软件造成严重损坏之前,我们必须更加注意防止或至少限制成功的勒索软件攻击。实施基本的网络安全控制,并努力保护公认的威胁向量,因为这些都是勒索软件攻击者可能使用的弱点。
有三个方面需要关注。前两种是预防初始感染,如果发生,控制或限制传播。这些策略需要与第三种策略(恢复)相结合,以确保系统和数据恢复,并成功管理事件。有效的风险管理原则可以识别和分类风险,并进行相应的管理。
企业可以采取一些关键的保障措施来支持这些
(1)预防
- 应用程序控制——确保只有批准的软件才能在计算机系统上运行,并通过限制其可执行的内容来保护系统。
- 修复应用程序——应用程序必须定期更新,以防止网络入侵者使用软件中的已知漏洞。
- 宏安全——检查宏和文档设置是否正确,防止激活恶意代码。
- 加强用户应用和浏览器——限制用户访问活动内容和网络代码,采用有效的安全策略。
- 防火墙/外围——甚至物理现场安全也应限制用户访问出站和远程连接入站。
- 员工的安全意识——虽然不是技术控制,但建立“网络文化”员工更好地了解网络安全、威胁和缓解策略,最大限度地减少网络攻击至关重要。
(2)遏制
- 限制管理权限——只允许需要访问系统的员工限制管理权限,然后仅用于指定目的和控制访问。
- 操作系统补丁——完全修复的操作系统将显著降低恶意软件或勒索软件在网络上传播的可能性。
- 多因素身份验证——用于管理用户访问高度敏感的账户和系统(包括远程用户)。
- 端点保护——安装防病毒软件并保持更新。
(3)恢复
- 定期备份——远程保护数据和系统备份,并测试恢复过程。
- 事件响应——在处理最坏情况时,确保每个人都精通事件管理手册。
保证控制
企业必须确保他们正在监控他们的安全控制措施,以确保有效工作。如果控制无效,IT团队需要快速了解以减少任何缺陷,并恢复适当的网络安全状况。确保这些风险是董事会关注的“网络安全文化”,这将提高企业的整体勒索软件防范能力。
企业董事会应当收到提供这些控制的清晰可见的报告,并对这些关键绩效指标进行报告(KPI)作为其网络安全风险管理流程的一部分。它们可以络安全持续改进计划的一部分。可以监控准备情况,评估网络攻击风险,提供早期预警防御,确认网络安全风险管理流程到位。
结语
金融服务部门在实施全面的网络安全风险管理实践中面临着许多挑战。如果银行或保险公司受到重大勒索软件攻击的影响,可能会对经济产生更广泛的影响。Colonial燃料管道事件引起的燃料短缺给人们带来了广泛的公众恐慌和担忧。这让人们想起了北岩银行分行在2007年金融危机开始时的货币挤兑。如果大规模勒索软件攻击使消费者无法获得银行存款,公众恐慌的程度将不言而喻。
金融行业组织必须有全面的网络防御和控制措施,并有定期监控的支持,以确保其有效运行,确保其他补充控制措施能够运行并限制其影响.
这样一来,就可以将网络攻击的风险降到最低,企业可以保持有效的IT为了更好地防止对其系统、操作和声誉的高成本损害。