TDR威胁检测与响应
企业数字化发展的过程中,网络边界越来越模糊,业务向线上平台转移,网络威胁日益增加,重视网络安全建设是企业数字化转型的必经之路。大数据、AI技术被攻击者利用,网络环境愈加严峻,各行各业都面临数字时代的安全挑战,这其中,金融行业一直是网络攻击的重灾区。如今,网络威胁越来越复杂,金融机构更需要时刻保持警惕。
华清信安深耕金融领域,先后发布《金融保险网络安全白皮书(2022)》和《金融保险云安全运营技术白皮书》,为金融行业数字化发展提供切实有效的解决方案。在安全建设过程中,华清信安总结了以下几个典型攻击事件,为金融机构提供参考。
针对Web应用程序/API的攻击
攻击方式:
1.跨站脚本攻击(XSS):攻击者将恶意代码植入到提供给其他用户使用的页面中,盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。
2.跨站请求伪造(CSRF):攻击者通过诱导用户触发已经设好的陷阱,自动发送HTTP请求,其中包含嵌入好的攻击代码。用户的浏览器或客户端触发陷阱代码后,浏览器在用户不知情的情况下执行攻击者预设定的一系列操作。
3.SQL注入攻击:攻击者通过访问Web应用,把攻击代码插入,利用Web应用执行恶意SQL语句。
4.OS命令注入攻击:与SQL注入攻击类似,攻击者通过访问Web应用,把攻击代码插入,利用Web应用执行恶意操作系统命令。
攻击趋势:金融行业持续数字化发展,攻击者对漏洞的利用速度加快,攻击持续增加。
攻击案例:假设有一个名为"evil.org"的恶意网站,它通过电子邮件或HTTP页面诱导用户访问伪造的某银行的网址链接。该链接中附加了恶意的脚本。当用户访问该链接并进入到真正的银行网站时,嵌在HTTP页面中的脚本被用户的浏览器执行,并收集用户的cookie和session信息,然后发送给恶意攻击者。恶意攻击者可以使用偷来的session信息,伪装成该用户进入银行网站进行非法活动。
针对内部人员的钓鱼攻击
攻击方式:通过将钓鱼邮件伪装成合作公司或机构的合作信息、系统管理员的通知、内部通知或公告等,欺骗员工用户点击链接或执行操作,从而入侵用户账户获取企业相关信息实施攻击或欺诈。
攻击趋势:钓鱼攻击持续增长,其中二维码网络钓鱼攻击数量激增。
攻击案例:某金融机构遭受钓鱼攻击。攻击者向内部员工发送带有病毒链接的电子邮件,诱骗员工点击链接并下载病毒软件,从而获取金融机构内部重要数据,并利用数据实施进一步攻击行为,给企业造成了巨大的经济损失和声誉损失。
以赎金为目标的勒索攻击
攻击方式:
1.利用漏洞攻击:攻击者利用操作系统、数据库等基础平台的漏洞,或者利用操作人员安全配置不当造成的安全缺陷,窃取用户账户并非法获取敏感信息。
2.恶意软件感染:攻击者将恶意软件植入用户系统中,获取控制权限或者窃取用户信息。
3.供应链攻击:攻击者通过攻击供应链中的薄弱环节,使供应链下游用户受到影响,在不知情的情况下重要信息和数据被攻击者窃取。
攻击趋势:金融行业由于其具有大量的隐私数据信息,一直是勒索攻击的重灾区,勒索软件泛滥促使更多的勒索攻击发生。根据《2023年勒索软件现状报告》显示,金融行业的攻击率逐年上升,从55%上升到64%。
攻击案例:某银行遭遇勒索攻击,最初遭到攻击的是财务部门,攻击者在系统中安装了恶意软件,获取了企业大量数据,其中包含客户信息和交易信息等敏感数据,将这些数据进行加密,然后索要赎金,银行被迫关闭系统,受到严重影响。
金融行业长期面临严峻的网络威胁,随着金融行业的数字化发展,越来越多的金融机构将IT外包并采用云技术,也给金融机构带来了新风险。在安全建设过程中,也有许多需要注意的安全事项:
- 建立完善的安全监控系统:包括实时监测、预警决策、应急处置等功能,对整个网络进行全面安全审核,确定各个网络节点的安全状态。
- 建立网络安全规章制度:为防止内部威胁,特别是商务邮件入侵等,企业要确保员工能够遵守内部和行业规章制度。
- 强化网络安全人员的培训:人员安全意识是网络安全非常重要的一项,金融网络安全的防范需要专业的技术支持,需要针对网络安全工作人员进行技术和应急响应演练等方面培训工作,对内部人员进行钓鱼邮件等常见的网络攻击进行培训。要不断扩充其安全意识和知识面,增加网络安全技能,以应对各种复杂的网络攻击。
- 定期检查系统及漏洞:为防止黑客利用漏洞进行攻击,金融机构需要定期对系统进行核查,在不影响正常业务的情况下对安全缺陷及时进行修复,对于可能会对正常业务造成影响的,需要采取其他缓解手段,尽可能减少其影响范围。
- 网络加密:通过在传输过程中和存储过程中的加密来保护网上传输的数据、文件、口令和控制信息的安全。
- 做好数据备份:对重要数据和信息进行备份,以防止数据丢失或损坏。
- 建立应急响应机制:制定应急响应计划,以应对可能出现的网络安全事件,确保在发生安全事件时能够迅速响应并采取措施。
- 满足安全合规性要求:金融机构需要遵守相关法规和标准,如《网络安全法》、《信息安全技术基本要求》、《互联网金融信息科技服务管理办法》、《移动应用程序信息收集与使用规范》、《个人信息保护法》、《数据安全法》等,确保网络安全建设的合规性。
- 供应链安全:对供应商进行安全审查,确保其产品和服务的安全性和可靠性,并采取额外手段进行安全防护,防范供应链攻击。
- 持续监测和改进:定期评估网络安全建设的有效性,及时发现和改进存在的问题。
TDR智能安全运营解决方案
华清信安TDR智能安全运营服务解决方案属于混合XDR式的解决方案,既提供原生全面的NDR网络威胁检测响应能力、EDR主机威胁检测响应能力、ADR应用威胁检测响应能力的防护检测响应组件,又具备Open XDR扩展能力,可精准适配第三方数据,进行统一威胁行为分析与自动化告警处置,TDR还提供安全防护能力和安全报表,支持集中安全审计和管控及全局安全态势感知,并提供7x24安全专家应急响应,保障客户安全无忧。
