金融安全资讯精选 2017年第五期：WireX 僵尸网络袭击全球，金融企业如何选择安全的云

<div class="iteye-blog-content-contain" style="font-size: 14px;">
<p class="blog-summary" style="margin-top: 30px; margin-bottom: 10px; padding: 16px 30px; font-size: 16px; line-height: 32px; color: #333333; table-layout: fixed; overflow: hidden; font-family: PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif; background: #f9f9f9;"><span style="font-weight: bold;">摘要：</span> 2017年金融安全威胁演进趋势，纽约发布金融安全新政策，WireX 僵尸网络袭击全球，金融企业如何选择安全的云</p>
<div class="content-detail" style="margin: 0px; padding: 40px 0px; font-size: 16px; line-height: 32px; overflow: hidden; color: #333333; font-family: PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif;">
<p style="margin-bottom: 10px; text-align: center;" align="left"> </p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"> </span></p>
<div style="margin: 0px; padding: 0px; text-align: center;"><span style="font-size: large;"><img style="vertical-align: middle; max-width: 100%; cursor: pointer;" src="https://yqfile.alicdn.com/3d4fd1956f53474cc9939731e71719b550aad415.jpeg" alt="3d4fd1956f53474cc9939731e71719b550aad415" width="800" height="600"></span></div>
<p style="margin-bottom: 10px;"> </p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px; text-align: right;" align="right"><span style="font-size: large;"><span style=""> </span><span style=""> </span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="color: #33cc99; font-size: x-large;"><span style="font-weight: bold;">【金融安全动态】</span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="text-align: left;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">2017年金融安全威胁演进趋势</span><span style="font-weight: bold;">。</span><span style="font-weight: bold; color: #33cccc; background-position: 0px 0px;"><a style="color: #00c1de; background: 0px 0px;" href="http://www.bobsguide.com/guide/news/2017/Aug/21/the-cybersecurity-risks-to-financial-services-that-are-making-the-biggest-impact-in-2017/" target="_blank">点击查看原文</a></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style=""><span style="font-weight: bold;">概要：</span></span>IT资讯服务公司Data Art的全球金融行业总监分享2017年金融行业的网络安全风险演进趋势。文章提出，金融行业里专业安全人才日渐短缺（当然，这个现象也存在于其他行业中），而安全运营的工作量日益增大，这之间的矛盾，让企业“自己做好安全”这件事变得越来越难。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style=""><span style=""><span style="font-weight: bold;">点评：</span></span></span>结合文章和我们的看法，2017年，针对金融行业的网络攻击将有两大趋势：网络犯罪的专业化：攻击不再是个人逐利行为或者黑客寻求曝光度，很多网络犯罪都是有组织有纪律，筹谋已久，下手快很准的（上周乌克兰国有银行遭受黑客攻击就是一例）。在未来，针对金融行业的网络攻防对抗会上升到国家层面，由政府、企业、第三方共同来做好安全这件事。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;">第二个趋势，是信任的崩塌。随着钓鱼、金融诈 骗、信用卡盗刷和数据泄露的加剧，银行需要花更多的心思在建立信任上，也对安全工作增加了难度。尤其是，当互联网金融逐渐兴起，有一些金融企业并没有成熟的安全机制，也没有足够的安全投入（人力+物力），解法就是银行应该加强与监管、警方、第三方的合作，用“借力”的方式补足自身的安全能力。另外，招懂行业的安全人才也非常关键，可以从现有IT人员中培训。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #33cc99; text-align: center;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"> </p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">纽约发布金融安全新政策，强调加密。</span><span style="font-weight: bold;"><a style="color: #00c1de; background: 0px 0px;" href="https://blog.thalesesecurity.com/2017/08/28/new-york-states-new-financial-services-cybersecurity-policy-relies-encryption/" target="_blank"><span style="color: #33cccc;">点击查看原文</span></a></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"><span style="font-weight: bold;">概要：</span>从8月28日开始，一部分纽约金融机构必须符合新的网络安全要求： 23 NYCRR 500。新政策在今年3月1日开始生效，并给了金融机构3个月的缓冲期去改善安全状况，并会在接下来的两年不断有新的合规要求推出，例如要求纽约金融机构在2018年9月之前制定加密策略，另外一些要求包括雇佣CISO，访问控制策略，有效的漏洞评估执行等等。没有在规定时间内符合要求，继续暴露安全风险的公司，将会受到相应处罚。</span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;">纽约是全球金融中心之一，金融行业是纽约的经济命脉，而过去一两年，很多金融企业因网络犯罪而遭受的损失巨大，让相关部门将安全体系建设提上了强制要求的日程。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-weight: bold;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"> </p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">点评：</span>和中国的信息安全等级保护一样，规章制度的建立是在短时间内提升行业安全水准最有效的办法，从长远来说，会帮助金融行业更好地减少损失。对于金融企业来说，也可以通过“过合规”这个过程，梳理自身安全方面</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #33cc99; text-align: center;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style=""><span style=""><span style="color: #33cc99; font-size: x-large;"><span style="font-weight: bold;">【相关安全事件】</span></span></span><br style=""></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #33cc99; text-align: center;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-weight: bold;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">WireX 僵尸网络袭击全球，IP数量峰值接近14万</span><span style="font-weight: bold;">。</span><span style="font-weight: bold;"><span style="color: #33cccc; background: 0px 0px;"><a style="color: #00c1de; background: 0px 0px;" href="https://blog.cloudflare.com/the-wirex-botnet/" target="_blank">点击查看原文</a></span></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<span style="font-size: large;"><span style="font-weight: bold;">概要：</span><span style="">2017年8月17日，多个内容传送网络（CDN）和内容提供商遭受来自僵尸网络（WireX）的重大攻击。这是自Mirai之后，业界联合发现的又一次较大规模的DDoS攻击，集中表现在HTTP Flood攻击，攻击中使用的真实IP数量峰值接近14万。攻击手法并非新奇，但与以往攻击相比，此次攻击控制了许多新的IP。</span><br style=""><span style=""> </span><br style=""><span style="">来自</span><span style="">Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ和Team Cymru的研究人员发现，DDoS攻击者利用被感染Android App来发起攻击。</span><br style=""> <br style=""><span style="">恶意程序多潜藏在媒体</span><span style="">/视频播放器/铃声/存储管理器等工具App中，这些应用程序还利用了Android服务架构的功能，允许应用程序即使在后台也可以使用系统资源，因此能够在应用程序未被使用时发起攻击。防病毒扫描仪目前将此恶意软件识别为“Android Clicker”特洛伊木马。最新消息称，Google已经下架了300款被植入恶意程序用以发起攻击的App。</span><br style=""></span>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"><span style="font-weight: bold;"><span style=""><span style="font-size: large;"> </span></span></span></p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"> </p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="color: #33cc99; font-size: large;"> </span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="color: #33cc99; font-size: x-large;"><span style="font-weight: bold;">【云上视角】</span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">云安全方法论：如何验证你的数据在云上是否安全，以及如何让你的数据更安全？</span><span style="color: #33cccc; background-position: 0px 0px;"><span style=""><span style="font-weight: bold;"><a style="color: #00c1de; background: 0px 0px;" href="http://www.eetimes.com/author.asp?section_id=36&amp;doc_id=1332085" target="_blank">点击查看原文</a></span></span></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #000000;"><span style="font-size: large;"> </span></span></p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"> </p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"><span style="font-weight: bold;">概要：</span>这篇文章站在云使用者的角度，提出了用户安全的“验证”机制和方法论：如何消除上云时对安全的担忧，放心上云。首先，作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系，CSA STAR认证，FedRamp（FedRamp是美国联邦风险和授权管理计划，对云产品和服务进行安全性评估、授权和持续监控。在中国，企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级）。</span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;">其次，数据可用性是另外一个标准，包括数据冗余，用户是否能比较容易地从云上卸载数据等。数据加密默认功能和给企业所提供的工具也是一部分；最后，作者认为，光去验证云平台的数据安全是不行的，毕竟企业还有自己的责任在。对此，作者指出，46%的数据泄露都是因为企业内容不按规矩执行安全策略和规定。建议上云企业别把数据放在一个篮子力，重视访问控制，把安全提到更重要的上云战略高度。</span></p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"> </p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"> </p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"><span style="font-weight: bold;">点评：</span>文章提出的标准和建议值得参阅。国内金融企业在选购云平台时，对资质的考察通常会关注的资质是对等级保护的满足情况，ISO27000系列的满足情况，部分企业，例如支付行业的客户还可以看看云平台是否具备PCI-DSS的认证情况；同时，也可以了解一下云平台的运营方自身对数据安全的重视程度。在使用了云平台之后，通过云安全产品去增强自身业务的安全性也是安全运营重要的一个部分。</span></p>
</div>
</div>