[[436498]]

勒索軟件攻擊事件近年來總是成為頭條新聞。從安盛集團到CAN Financial，金融行業也無法避免風險。對于許多企業來說，最初的擔憂集中在贖金成本上，但是，他們面臨更廣泛的損害和越來越多地與安全、收入損失和聲譽損害相關的問題。例如在Kaseya公司遭遇的網絡攻擊事件中，勒索的贖金為7000萬美元，這也表明“受信任的”服務提供商和第三方供應鏈參與者可能帶來的風險越來越大，其乘數效應可以迅速影響100萬個端點。

金融服務部門的網絡效應使所有利益相關者受益者。然而，共享數據和服務的增長增加了網絡攻擊的風險。而且，正如人們所看到的勒索軟件對燃油管道公司甚至食品加工商帶來的影響，系統鎖定對企業和個人的影響是巨大的。如果客戶無法在整個供應鏈中獲得資金或與服務提供商進行交易，其帶來的焦慮和成本就會升級，企業的商業聲譽也會迅速受損。

簡單的出路是什么?

很多企業曾經將支付贖金視為解決勒索軟件攻擊問題的一個“快速解決方案”。然而，隨著美國證券交易委員會(SEC)和美國海外資產控制辦公室(OFAC)正在考慮在法國和美國禁止支付贖金，這一選擇現在可能會成為過去。在澳大利亞，卻有人呼吁強制通知勒索軟件受害者支付贖金。

金融部門還需要考慮到，即使支付了贖金，解密過程和恢復正常業務的過程也可能非常緩慢。隨著受供應鏈勒索軟件攻擊影響的規模不斷升級，越來越多的事件表明恢復時間至關重要。如果不能信任來自網絡攻擊者的解密密鑰，那么建議投入時間和精力從頭開始重建、重新配置和保護IT系統和服務，以確保它們的完整性。

盡管支付贖金可能會成為非法行為，但網絡保險仍將是企業為快速恢復和運行以及減少中斷提供資金的有效工具。而保險公司要求，在獲得網絡保險單之前，承保者現在必須證明其擁有足夠的網絡安全控制措施。事實上，越來越多的勒索軟件威脅使得保險費用可能會進一步增加，因此獲得可驗證的網絡風險管理能力可能會在企業董事會的優先事項列表中進一步上升。

充滿挑戰的環境

金融部門還面臨一些其他特殊的挑戰。許多金融機構持有大量個人數據，無論是賬戶、交易、用戶還是報告。使這一問題復雜化的是開放銀行立法，例如英國/歐盟的PSD2和澳大利亞的CDR法規，它要求客戶批準共享其個人數據的過程簡單易行。消費者在金融行業參與者之間持有和傳輸其個人信息的這些權利，將必然會重新分配該行業的網絡安全責任。因此，在適應不斷變化的環境的這段時間內，會增加網絡安全風險。

金融服務業已經成為對網絡犯罪分子有吸引力的目標。客戶對其數據的訪問有更大控制權的要求增加了為應對全新級別的勒索軟件做好準備的要求。企業可能面臨多種風險，從心懷不滿的員工的破壞到網絡欺詐，再到旨在大規模竊取個人數據的勒索軟件攻擊。那么金融行業可以采取什么措施來保護自己?

為應對勒索軟件攻擊做好準備

部署防病毒軟件和網絡防御以及端點檢測和響應的興起，可以幫助企業管理和應對網絡攻擊。但這些解決方案首先依賴于檢測惡意活動。如果端點或網絡解決方案在沒有警告的情況下遭遇了網絡攻擊怎么辦?企業是否了解正在發生的事情?是否有其他控制措施可以減輕威脅?它們是否作為IT風險管理計劃的一部分進行監控和管理?

在勒索軟件造成嚴重損害之前，必須更加注意防止或至少限制成功的勒索軟件攻擊。而實施基本的網絡安全控制并努力保護公認的威脅向量，確實會帶來好處，因為這些正是勒索軟件攻擊者可能利用的弱點。

有三個方面需要重點關注。前兩個是預防初始感染，如果確實發生，則控制或限制傳播。這些策略需要與第三種策略(恢復)相結合，以確保系統和數據能夠恢復，并且事件能夠成功管理。有效的風險管理原則，可以識別和分類風險，并進行相應管理。

企業可以采取一些關鍵保障措施來支持這些要素：

(1)預防

• 應用程序控制——確保只有經過批準的軟件才能在計算機系統上運行，通過限制它們可以執行的內容來保護系統。
• 應用程序修補——應用程序必須定期更新，以防止網絡入侵者利用軟件中的已知漏洞。
• 宏安全——檢查宏和文檔設置是否正確配置，并防止激活惡意代碼。
• 強化用戶應用程序和瀏覽器——使用有效的安全策略來限制用戶對活動內容和網絡代碼的訪問。
• 防火墻/外圍——甚至物理現場安全也要限制用戶訪問出站和遠程連接入站。
• 員工的安全意識——雖然不是技術控制，但建立“網絡文化”并讓員工更好地了解網絡安全、威脅和緩解策略，可以最大限度地減少網絡攻擊，這一點至關重要。

(2)遏制

• 限制管理權限——通過只允許那些需要訪問系統的員工這樣做來限制管理權限，然后僅用于指定目的和受控訪問。
• 操作系統補丁——完全修補的操作系統將顯著降低惡意軟件或勒索軟件在網絡上傳播的可能性。
• 多因素身份驗證——用于管理用戶對高度敏感的帳戶和系統(包括遠程用戶)的訪問。
• 端點保護——安裝防病毒軟件并保持更新。

(3)恢復

• 定期備份——異地保護數據和系統備份，并測試恢復過程。
• 事件響應——在應對最壞的情況時，確保每個人都精通事件管理手冊。

在控制中獲得保證

企業必須確保他們正在監控他們的安全控制措施，以確保有效地工作。如果控制無效，IT團隊需要迅速了解以減輕任何缺陷，并恢復適當的網絡安全態勢。確保這些風險是企業董事會關注的“網絡安全文化”，這將提高企業的整體勒索軟件防范能力。

企業董事會應該收到提供這些控制的清晰可見的報告，并將這些關鍵績效指標(KPI)作為其網絡安全風險管理流程的一部分。它們可以用作持續網絡安全改進計劃的一部分。能夠監控準備情況并評估網絡攻擊風險，可以提供早期預警防御，并確認網絡安全風險管理流程已經到位。

結語

在實施全面的網絡安全風險管理實踐方面，金融服務部門面臨著許多挑戰。如果銀行或保險公司受到重大勒索軟件攻擊的影響，則對經濟的更廣泛影響可能是重大的。由Colonial燃油管道事件造成的燃料短缺讓人們看到了由此引起的廣泛的公眾恐慌和擔憂。這讓人想起2007年金融危機開始時英國北巖銀行分行的貨幣擠兌事件。如果大規模勒索軟件攻擊使消費者無法獲得存在銀行中的存款，那么公眾恐慌的程度將不言而喻。

金融行業組織必須擁有全面的網絡防御和控制措施，并有定期監控的支持，以確保它們有效運行，確保如果一個控制措施無法識別或阻止攻擊，其他補充控制措施可以運行并能夠限制其影響.

這樣一來，就可以將網絡攻擊的風險降到最低，企業可以保持有效的IT治理，以更好地防止對其系統、運營和聲譽造成代價高昂的破壞。