应对银行面临的虚拟和物理威胁

银行部门一直是犯罪关注的中心。如今,银行必须与来自有组织犯罪团伙以及代表民族国家开展工作的技术精湛且资源丰富的威胁参与者进行近乎恒定的网络攻击。

威胁银行

近年来,我们已经看到多个APT团体对全球金融机构发起了复杂的攻击。例如,APT33袭击了美国和沙特阿拉伯的银行,据信这是伊朗资助的。 APT38与朝鲜支持的拉撒路集团(Lazarus Group)有联系,专门研究打击SWIFT系统,并与超过1亿英镑的被盗资金建立了联系。

俄语沉默小组最初瞄准的是前苏联国家的银行,但现已扩展到包括英国在内的30多个国家。而臭名昭著的Cobalt Group则专门从事ATM以及卡处理和支付系统上精心策划的抢劫案。

这类组织井井有条,经常获得国家资助,资源或时间限制很少。大型复杂的基础架构加剧了银行面临的网络威胁,使威胁行为者具有广泛的攻击面,使他们能够攻击网络基础架构和系统,如SWIFT,员工,客户以及诸如ATM的有形资产。这些威胁的程度要求采取主动和持久的安全计划。

一系列数字威胁

用于攻击银行业的工具和技术与用于处理其他任何类型业务的工具和技术没有什么不同。的确,这些团体通常是新的零日漏洞利用和恶意软件菌株的创造者,这些恶意软件后来被重新定位到其他行业,正如我们在爱马仕勒索软件中所看到的那样,该勒索软件被广泛用于打击银行业的组织,并以此为基础。使用更广泛 琉克.

除了复杂的恶意软件,银行还必须应对日益复杂的网络钓鱼攻击。由于提供了自动化工具,对于经验不足的犯罪分子来说,这种攻击也变得更加可行,这意味着任何从事功课的攻击者都可以发起针对性攻击,即使是受过训练的个人也很难发现。

这些威胁已被 新冠肺炎 以及随之而来的远程工作。以前,许多组织严重依赖通过其公司网络部署的防御来检测威胁。这意味着,当员工在家工作时,他们的安全性要差得多,因为他们只能依靠笔记本电脑上的端点检测。家庭Wi-Fi网络也比其公司的同行更容易遭到破坏,从而为员工的设备提供了一条轻松的攻击路径。

独特的物理威胁

尽管很少发生实体渗透,但银行部门是此类攻击的可行目标,其结果可能是灾难性的。银行部门的性质意味着组织面临着结合了网络和物理手段的犯罪攻击的较高风险。

例如,当钱 自动取款机 固定后,其他组件只能由薄金属片和脆弱的锁保护。一家银行 笔测试仪 (令人担忧的)评估是使用4G与远程站点的ATM通信。这里真正的危险是,可以将4G路由器卸下并拿走,但仍提供通向ATM网络的路径,无论谁偷走了它,都可以随身携带。

物理分支机构的位置也可以用来发动主要的网络攻击。由于现场有大量现金,通常会确保银行分支机构免受武装抢劫的威胁。但是,在我们的红色团队评估过程中,我们经常发现很少有人准备或没有采取任何反措施来应对网络攻击中较细微的渗透威胁。

例如,我们的红色团队特工经常能够以最小的挑战进入银行大楼的禁区,而他们只带着封面故事,也许还系着挂绳上的假徽章。在一种情况下,我们不仅派出了毫无戒心的武装警卫,还借助“故障” RFID卡让他们蜂拥而至。此外,在另一项调查中,我们能够留在现场,直到其他工作人员离开,直到晚上10点为止,这使他们可以不受限制地使用办公桌。

这样的入侵者可能会留下一个投币箱,以访问模拟了现有设备(例如打印机)的网络。他们可以从那里离开,慢慢地花时间慢慢扫描整个网络。

与威胁发展保持同步

面对任何行业中发展最快的威胁形势之一,银行应部署结合自动和手动扫描的持久主动的威胁检测程序。

自动化漏洞扫描现在可以负担得起且可访问,因此没有理由不每月进行一次频繁检查。这些扫描将有助于快速识别大多数悬而未决的水果漏洞,并为SOC小组的调查提供指导。但是,它们通常会错过更高级的攻击者利用的一些更复杂和微妙的威胁。

复杂的,多步骤的攻击以及利用零日漏洞的攻击将在标准扫描的范围内进行,这意味着自动扫描必须与人类安全专业人员的手动调查相结合。经验丰富的分析师将能够像威胁行为者一样思考,并提出正确的问题以发现潜在的漏洞和活动威胁的迹象,然后才能利用这些攻击路径。由于这是一个耗费大量资源的过程,因此通常每年安排一次,但这在漏洞的生命周期中是很长的时间,因此建议您尽可能多地进行这些调查。

红色团队与人类安全相结合的价值

全面的红色团队合作可能会使银行业受益最多。这些应该是无止境的事件,它使红色团队的特工可以模拟所有可能的情况,包括高级社会工程,分支机构的渗透和对基础设施(如ATM)的攻击,以及纯粹的事件。 数字攻击.

人的安全也必须是主要优先事项。现在,在可预见的将来,远程工作可能会成为主要工作,银行应确保远离公司网络时,其工作人员仍然安全。诸如强大的访问和身份验证控制之类的资产将有助于减轻受感染端点造成的威胁。对于最敏感的员工角色而言,一种潜在的长期解决方案是发行一定数量的公司路由器,这些路由器由中央管理,尽管这在大规模上是非常昂贵的。

任何组织可能犯的最大的错误就是认为安全已经到死。随着银行面临着最具创新性和资源最丰富的威胁参与者之一,它们必须确保将技术安全与人的创造力相结合,以一臂之力。

分享这个