Cody Mercer:Analysis of the international network security threats

2017-07-27 中国发展网

中国发展网 7月27日 第25届金融展于7月27日至7月30日在北京展览馆与大家再次相见。本届金融展将以“创新驱动 稳健转型 共享金融”为主题,集中展示各类金融机构、金融科技企业的创新发展成果,以及面向企业、“三农”、百姓等推出的普惠金融新服务和金融IT新技术,通过多种形式、多个层次的分享互动,进一步促进金融行业内外的交流与合作,为我国金融业的稳定和可持续发展作出贡献。

来自美国NSFOCUS INTERNATIONAL BUSINESS Senior Threat Research Analyst的Cody Mercer出席并发表主旨演讲,以下为演讲全文:

image005

Cody Mercer:也就是不用曲线救国,是最有利可图的事情,我们这边有哪些统计数据?这是2016年发展时候的动向,到底金融行业为什么如此容易受到影响?在金融行业当中并购如此的活跃,各个整合继承他们的软件系统,这样就会造成大量的疏漏缺失、漏洞,这样就会造成他们受到攻击,另外就是不定的管理不利,如果还有不定管理的话,经常的情况就是有很多主要的系统正在使用的时候还是用老的操作系统,已经都停止在推出不定的这些操作系统,前面的人讲到了这样的内容,可以说这是一个非常好的例子。

由于这个系统现在已经不在推出了,这个当然不是金融行业独有的现象,我们可以在并购当中这种软件系统的整合是一个大的漏洞来源,还有很多金融机构使用的是老的基础设施,维护成本高,然后就是他用的技术也是非常容易受到攻击的。另外还有就是像IssA的证书和密码为攻击留下了可乘之机,最近有一个研究是他们分析了7000多个金融机构就发现了投资银行、资产管理公司,大型的商业银行都存在哪些共同的问题,这些金融机构为什么那么容易受到攻击呢?给他们打了分,从A到F分成不同的公司,在这么多的金融机构当中发现了75%的美国商业银行,至少感染了一类的软件,现在很多金融机制是多类都被干扰到了。

刚刚讲到打分,对分数从A到F很多都很上档次,美国银行95%当中的C或者更低的得分,也就是还不到平均水平是,另外1/5的金融机构使用了漏洞严重的安全服务商。310个国际企业中找,其中10以上是金融服务企业,另外还有更多的服务企业,2015到2016年的金融业受到攻击达到了29%,这里面像DDoS是非常多的,最多是的物联网僵尸网络发布了DDoS攻击。

第二X-Force金融业高居榜首,比其他的行业高出15%,另外我们也发现金融企业受损数据增加了937%,这也是一个巨大的数字,不幸的是作为一个安全的专业人士,现在已经证明对于一个金融机构最大的威胁就是内鬼,这个是有访问权限的人自己,现在发现的安全系统越来越精密高效,但是攻击也是越来越高,53%的内鬼,针对银行也的恶意软件开发的在2016年大大增加,另外我们也发现恶意钓鱼软件的比例总310分之一加到了1/182,在数据第二跃居榜首。

刚才我也讲到了对于任何的机构来讲最大的威胁就是内部的用户自己,能够直接有权去访问系统,经常的并不是由他们的有意为之,往往是比如他们下载了钓鱼或者是软件,也就是说我们刚才讲的数据一半是不满员工或者恶意的内鬼,在以前商业银行当中,我们看到了这些主要的类型,比如说这20家当中15个里,这几大银行总共检出了788个恶意软件。

这当中主要研究了一些主要的攻击行动,比如是否有思维评价,这些都是了解到博客通,发布了相关的信息,这边有一些是非常成功的攻击金融业的活动,另外他也是导致很多韩国的银行瘫痪了好几天,另外就是SWIFT造成了全球1800万美元的损失,它也一个木马程序,非常成功的攻击,在CARBERP的损失当中损失了10亿美元,在这些经过分析各审计的机构当中,大家发现多数有这些常见的CVE,这些CVE就是通用漏洞披露,其实都是很老的漏洞,比如补丁是打出来的,但是现在在网络当中还是有很多的软件,还有像一些是57%用的是达到了生命周期末期的产品已经没有补丁了。

刚才也讲到的是WannaCry病毒,这里面大家去了解这个影响,在全球范围内的波及,我们讲到一些情报的时候具体来讲的它是如何能防止这样的情况发生呢?简单的来讲大家都非常熟悉了,也就是说我们跟利用好的内部的资产弥补好我们的这些漏洞,另外可以用三个B2B钱包来讲数据,这分析进行了研究,另外大家可以去访问绿盟科技的博客,也就是后面这个网址,大家看到的这些我们也是做了反向工程,还做了截屏,很多的信息可以去参考。

现在总体来讲的影响是什么呢?目前我们看到的是损失到了10亿,另外有200多服务商受到了攻击和影响,影响的不止是金融,也包括政府、医疗、工业等等都受到了波及,所以这个WannaCry也是由政府的背后支持,所以它的经费和资源是无限供应。有人说是朝鲜在背后支持,当然我们要去综合来考虑,比如说在一些情报当中我们要去考虑到底是怎么回事。

我们现在介绍具体的情报这部分,先告诉大家这部分情报是什么,有很多的误解,还有很多理解不到位的地方,我们讲到这些情报,可以说有网络安全,这一天就有威胁情报我们把它收集起来加以利用。为了它能够利用我们提到了可行、利用,也就是说我们每天能收到的ETB的数据,只有很少的一部分是有用的数据。

我们需要去进行处理、整理这样才能为我们所用,这样能得到确认,要能够及时,这样的话才能够有效。在威胁情报这个方面,我们有三类不同的数据,战术型的、战略型的,以及运营型的数据,讲到WannaCry这个勒索软件,它的战略价值就是宏观的这些事情,要进行溯源,它是什么样的行动,它的溯源地是什么地方,属于哪个恶意软件,这样我们能进行更好的分析。

另外还有一些是关于战术型的信息,就是比较短期的等等这些方面的,也就是说一旦发现有这么一个恶意的处理的服务器,这样的话要想去改变服务器可能几秒钟就能实现,另外像哈希代码,如果改一个值的话这个哈希代码就变了,这个价值就归于零了,另外运营这方面也得有一些数据,这些数据是进行系统的管理,所以我们的一些情报能够给我们平台的构建和维护开始做。另外网络运营中信的监控,还有补丁的管理,另外就是行动的平台,这几个整合在这个平台之上。

到底周边情况的工作流是怎么样的?我们分为三个步骤,一个是获取和创建数据、验证、整理、梳理数据,第三就是要进行分发,把它要给到恰当工作人员的手里,首先看数据的获取和创建,比如说我们现在全球有6个数据手机1万2000多个的数据来源的这些数据,有一些是自有的,有一些有合作伙伴的,我们去跟它来共享情报,所有的情报每天都来收集、存储和推送,我们拿到数据以后去整理、确认,去伪存真,把假阳性的误报进行分发,给到不同的产品线,这样的话我们就实现了情报的消化吸收和共享,还会跟其他不同的机构去通报我们的情报。

刚才讲到的这三类不同的,也就是战术型的、战略型的、运营型的数据,他最终的价值是什么呢?这种战略型的提包能提供什么样的价值呢?我们这样的情报有两类的,一个是我们的工程师们,包括安全的运营,还有安全运营、网络运营这些工程部门,还有我们的这些高管们,也就是副总们,他们需要整体的战略性的价格价值,也就是我们对于情报,对于安全有投入的汇报如何,他们并不太关心战术或者是IP地址这类的事,他们想知道如果我们要投资威胁能得到什么样的汇报,我们需有依据的去给他们进行解释,另外我们也是希望能够借助战略性的情报时时透明度,也就是首席信息官、技术官我们跟他讲清楚到底我们的系统是什么情况,分多少的预算,希望在组织流程这些方面进行配套。

另外我们再看战术型的情报,不管是我们的工程师们、网络部门他们都是战术情报,这是一种短时期的情报,他们可能短期存在,马上去升级,给到这些不同的运维手段当中去,我们一旦获取这样的信息希望去伪存真,同时我们也希望进行优先排序,看看哪些漏洞是最大最严重的先补丁了,同时自动化和无缝整合,另外进行验证,要把它加到不同的安全设备当中,实现一个优化的规模。

我们在验证这方面需要三网批准,安全运营中信设计的方案进行快速的预警和处置,这样的话利用好我们情报能揭示出来的信息。运营型的情报和价值是什么呢?首先要去设置我们的情景,安全运营的团队可以扩大调查面,去判断攻击者的方法和目标,另外是补救,也就是使得我们有应急的响应,看看是不是工程去分析它,我们就可以更好的去弥补攻击所存在的问题。

另外运行型的情报还能支撑研发,威胁情报要求我们为公司或第三方进行反向工程,这跟补丁和溯源的开发有关。具体来讲我们到底说绿盟科技在这方面做些什么?也就是说我们不止是中国,还包括在世界各个战略性的市场,比如法兰克福都有,硅谷当然也有,这么多的数据中心是用云的架构,在威胁情报这方面首先的第一步就是要获取数据,也就是我们要进行数据的收集之后进行整理,去获取这里面的价值,然后去以此来把我们的工程和设计,不止是去提升我们自己,同时包括客户和合作伙伴的安全。

大概我们有8000多客户和伙伴,遍布全球的秘网,有成千个传感器,能够去打击恶意软件的这些工具。还有多个云的数据中心,我们用的是订阅的模式,我们可以去更新恶意网址的情报,还有这里面有一些库,还有一些值,这样的话就确定某一个网络的行为到底有没有恶意对他进行一个排序和列举。

刚才我们讲到混合安全,我们讲到绿盟威胁情报中心我们也是长期的支持关心,希望服务器地址,不止是去保护我们自己,也去保护我们的客户整个金融行业,我们会把它商船到一些IPS等安全设备上去,这些都是自动化的实现,整个的这三个程序的阶段都是自动进行,不需要人工干预。我们的同事会经常的更新服务器,避免像僵尸军团DDoS的进攻,或上传到不同的合作伙伴,同时我们有这样的情报之后还可以再去评比已知的恶意服务器,这样的话又可以用到我们的恶意信息的数据库当中的这些内容。

这一点是非常重要,因为我们希望是有最新的IP地址,要把它存在我们的这些渗透点上,这样不止是防止外在通讯,也防止内贼这些漏洞信息,刚才也讲到订阅之后的推送,更多的是战术上的事,我们在上面的网址上大家可以看到,这边就是大家需要了解的信息,如果大家有兴趣的话知道WannaCry,或者说任何一类的工具都可以看到一个战略摘要,这个也会规划谁多长时间做一次做法,攻击什么东西,有什么特征。

另外我们还会做代码的评估,另外还有一个SSD的评估,我们会上传,经常性的提供情报,每天都会提供。数据发生变化之后也会进行同步的修改和上传,另外我们能够给客户提供安全咨询。

另外我们提供的一项服务五世就是我们进行趋势的追踪,这个就是回到说一些情报的战略价值我们需要去了解攻击综合而来,主体是谁,他们怎么做?到底是做了哪些攻击?每周会生成我们的分析报告,我们可以更好的去防微杜渐,去防护各个行业可能受到的攻击,这边我们是一共有78个类别的攻击,比如说像恶意软件,还有像垃圾邮件、扫描、僵尸各种各类的,大家可以上我们的网站能够发现更多的趋势分析报告,会上传更多的这样的报告。

我想介绍一些具体说或者基本上我们可以做哪些基本功的事情来保护我们的系统,在有软件之后确保软件打好补丁并及时沟通,另外我们不止是用这边的或者是企业自有的威胁情报,也可以用到外部或者商用的情报,另外还有数据库等等,还有一个方法是怎么样去保护自己,就是要多个备份,而且要多地进行加保存,包括在保密的密室,要分开来存放。

还有一点很重要,我们刚才讲到对于网络巨大的威胁趋势是内部人,我们要加强内部的培训,要每天每周每月都要去讲,这样的话会大大提高我们的安全水平,主要的一些结论给大家归纳一下,金融业2016年是首要的金融目标,为了我们的安全态势达到足够的深度,我们的落脚点都是威胁的情报,我们在战略、运营的方面对威胁,另外就是更新更新再更新,给所有的系统打上补丁,资金充裕的企业正在开发恶意软件,各个行业都要受到影响,所以我们要对此多重加密备份。我的报告到此结束,非常感谢大家,希望大家今天过的愉快