美東時間11月8日,“宇宙第一大行”中國工商銀行股份有限公司在美全資子公司——工銀金融服務有限責任公司(以下簡稱“ICBCFS”)被“網絡狂徒”盯上了。
日前,ICBCFS在官網發布聲明稱,由于遭勒索軟件攻擊,導致部分系統中斷。ICBCFS表示,發現攻擊后立即切斷并隔離了受影響系統,已展開徹底調查并向執法部門報告,正在專業信息安全專家團隊的支持下推進恢復工作。
圖片來源:ICBCFS網站
至于業務受影響程度,ICBCFS在聲明中提到,已成功結算周三執行的美國國債交易和周四完成的回購融資交易。中國工商銀行及其他國內外附屬機構的系統未受此次事件影響,中國工商銀行紐約分行也未受影響。
這起事件的主角之一,所謂的“勒索病毒”是什么?鋼筋混凝土打造的銀行,能防得住網絡攻擊嗎?
日前,工行在美全資子公司ICBCFS在聲明中提到,“由于遭勒索軟件攻擊,導致部分系統中斷。在遭遇勒索病毒攻擊后,已隔離系統。”北京明朝萬達科技股份有限公司助理總裁兼研發中心總經理安鵬向記者解釋稱,病毒都會有攻擊鏈路,一開始黑客只能攻擊外圍系統,比如某一臺辦公電腦、郵箱系統等。因為這些外圍系統暴露面較多,很容易入侵進去。
但是繼續入侵,IDS系統(入侵檢測系統)或防火墻可能就會起到作用。此次事件中,可能ICBCFS末端設備的一些殺毒軟件、沙箱或者蜜罐技術已經檢測到入侵行為,并及時進行阻斷,以降低損失。
“病毒的傳播是從一臺設備到另外一臺設備,這個過程是通過網絡通信進行的。傳播的過程,首先惡意軟件會有一個掃描系統,探測與之相同網絡域里有哪些IP地址。然后,向這些IP地址發送探測報文,根據探測報文返回的結果,確定哪些系統有脆弱性,比如操作版本比較低,或沒打‘補丁’。而后針對性地攻擊這個系統,利用漏洞遠程執行代碼,將這個系統變為跳板機,再去探測攻擊與之有網絡連接的設備,一步步滲透到系統內部。所以,只有當系統內部確實有漏洞和脆弱性,病毒才能進得去。”
此外,安鵬進一步補充,“如果采取物理隔離的方式,病毒失去了傳播途徑,再怎么傳播也只能局限在外圍,無法進入系統內部。所以通過網絡隔離的方式,肯定是可以阻止勒索病毒進入到內部系統的。”
上海銀聯的王工程師告訴《每日經濟新聞》記者,“目前銀行的核心系統,一般情況下都會采用‘主+備’的機制,系統不會設置在同一個地方。雖然不清楚此次工銀美國系統為何受攻擊,以及受攻擊后采取了哪些應對措施,但銀行系統的應對流程大差不差。從官方聲明來看,業務沒有受太大影響,很可能是災備系統起了作用。此時勒索軟件再去攻擊的話,由于無法及時獲取到災備系統的IP信息和網絡策略,從而失敗。”
值得注意的是,這起事件的主角之一,“勒索病毒”究竟是什么呢?有業內人士比喻稱,“如果自己存放重要資料的抽屜被他人上了鎖,鎖上貼著字條——‘交贖金拿鑰匙’,這就是‘勒索病毒’。”
安鵬在接受《每日經濟新聞》記者采訪時表示,“勒索病毒”其實是一種惡意軟件,與普通計算機的病毒傳播類似,勒索病毒也可以通過網絡傳播,感染計算機。勒索病毒發作時,可以加密用戶的文件,也可能阻止用戶訪問計算機操作系統,或文件目錄。黑客將本來用于保護用戶數據的加密技術,反向用于勒索,用戶只有通過交贖金的方式獲取密鑰,才能解開被加密的數據。
記者注意到,近年來勒索病毒肆無忌憚四處攻擊,不少金融機構都成為其下手目標。深圳市網絡與信息安全行業協會在其公眾號上發布,僅在2022年,全球多家保險、銀行乃至央行成為勒索病毒的攻擊目標。例如:2022年1月,印尼央行遭勒索軟件襲擊,超13GB數據外泄;2022年3月,保險業巨頭AON遭網絡攻擊,不過該事件并未對公司業務、運營和財務狀況產生重大影響;2022年5月,贊比亞央行遭勒索軟件攻擊,部分系統中斷服務;2022年11月,澳大利亞醫療保險巨頭Medibank遭勒索軟件攻擊,網絡犯罪團伙有關的攻擊者已經泄露了大量公司的敏感信息,包括客戶的個人信息和健康數據等。
如今,隨著加密貨幣興起,這一病毒更加難以溯源,至今仍然活躍異常。安鵬表示,勒索病毒的“活躍”與比特幣等通過區塊鏈技術制作的支付貨幣有關。
以前,黑客要收贖金就要提供賬號,容易在這個環節暴露身份;現在,黑客要求用比特幣的方式支付,因為比特幣是一種加密貨幣,可以在互聯網上以匿名的方式交易,所以很難溯源。據介紹,在區塊鏈的系統內,所有交易信息都以哈希值(用以標識加密信息的字符串)的形式呈現,不可篡改也難以溯源。
難以溯源,犯罪成本就變得很低;比特幣等可以交易,存在利益鏈條。但這也不是完全無法追蹤,安鵬指出,“比如,由比特幣轉換成實際貨幣的過程,會留下交易記錄,可以針對一些異常線索,展開追蹤。”
此次事件發生后,記者采訪了某大行渠道部陳經理。陳經理告訴記者,近期,他所在的銀行總行專門下發郵件,要求全行加強網絡安全意識。郵件指出,要加強銀行核心系統病毒庫的升級、及時更新,并著重強調各級機構加強網絡安全監控,務必做到互聯網終端與內網的隔離。同時,進一步提升員工安全意識,比如日常工作中不要點擊來歷不明的郵件鏈接、安全使用U盤等事項。
除了“勒索病毒”外,金融機構還容易受到哪些網絡方面的攻擊?
安鵬介紹,除“勒索病毒”外,金融機構還容易遭受DDOS攻擊(分布式拒絕服務攻擊),或遭受攻擊導致數據泄露。安鵬介紹,黑客通過跳板攻擊的方式惡意掌控大量“肉雞(受控服務器)”,不停地訪問機構的服務接口,導致服務器過載,正常的服務請求中斷。
“‘肉雞’可能分布在全球各地,所有者甚至對此毫不知情。”安鵬舉例稱,“比較典型的是,(比特幣)‘挖礦’的礦機被黑客掌控,作為跳板;還有很多企業內部有一些服務器,這些服務器如果不及時打“補丁”、升級病毒庫,很有可能自己的系統被黑客利用而不知情。”
DDOS攻擊的目的是什么?安鵬表示,“假如兩家企業業務重合,其中一家業務癱瘓,另一家就會獲得用戶。也可能用于國家間的對抗,如果想讓整個金融系統癱瘓,黑客就可能對這個國家的金融系統發起DDOS攻擊。”
此外,機構面臨的另一種網絡安全威脅是數據泄露。安鵬表示,“造成數據泄露的原因是多方面的。一部分來自內部,一部分來自外部。來自內部的情況下,內部人員有意無意情況下造成數據泄露。來自外部的情況下,例如,受到黑客攻擊,包括勒索病毒等,將數據加密以后發到暗網上去售賣也是有的。”
現實中,銀行等金融機構的網絡遭受黑客、木馬攻擊導致崩潰等情況是否常見?
上述某大行渠道部陳經理告訴記者,偶爾會有網絡卡頓的情況,但系統遭受攻擊的情況沒遇到過,總體很安全。“唯獨有一次,在辦理業務時,系統白屏了,短暫中斷,當時還有很多網絡說法。”該人士笑稱,說明銀行系統中斷的情況還是很罕見的。
不過,銀行系統遭遇黑客入侵、勒索軟件、木馬等導致崩潰或中斷的情況也真實發生過。某城商行分行楊行長回憶說,有一次,他們的系統就遭遇了這樣的危機。“啊!系統斷了,怎么回事?!”他還原了當時的情況,“在辦業務途中,因為木馬植入,全行系統都中斷了,但時間比較短。”
此外,還有一些很特殊、很戲劇化的情況,也會造成銀行網絡中斷。“比如,我行的網絡曾因老鼠咬斷網線而中斷過,監管部門還過來檢查了。”陳經理向記者補充道,“當然了,老鼠不會泄露銀行信息,但黑客入侵的話,存在客戶信息被盜用的風險。”
出現網絡中斷時,對于正在辦理的業務有影響嗎?
陳經理舉了兩個例子,說明系統中斷對業務的影響很有限。“一種情況是,假如客戶正在進行柜面取款業務,剛刷完卡,系統就中斷了,那么在系統恢復后,繼續辦理即可,沒什么影響。另一種情況是,如果客戶已經確認了交易,提交了信息,這個時候如果網絡中斷的話,那么系統恢復后會提示辦理人員立即核對流水,有沒有重復交易。這個可以理解為系統內置的一種防護措施,保障柜面資金和客戶資金安全。”
他表示,當系統中斷恢復后,系統自身和銀行相關部門都會提醒進行業務流水檢查,發現異常交易并及時處理,不存在利用系統漏洞盜取銀行資金的情況。他還透露,銀行系統的風險識別機制越來越智能了,同樣的業務在30分鐘內重復提交,系統會提示,或直接拒絕。這樣可以避免因為網絡延遲或者系統故障而造成的重復交易。
對于系統中斷是否會影響正在辦理的業務,上述某城商行分行楊行長向記者表示,“沒有影響,客戶不必擔心這一點。我們的系統每個月都會進行更新修復、查找不足、打“補丁”等。技術始終在進步,如果系統落后,就會增加被入侵的風險。”
那么,網絡攻擊對金融業有何危害呢?
安鵬表示,數據泄露對機構造成的危害主要表現在聲譽損失上面,但其實對業務開展沒有什么影響。因為數據本身就具有可復制的屬性,遭遇泄露,系統里依然有這些數據,還可以繼續使用。DDOS攻擊,可能意味著短暫的交易中斷,例如,網銀如果遭受攻擊,用戶將暫時無法查詢存款或進行交易;勒索病毒的危害可能比數據泄露更大一些,因為會影響業務開展。數據如果全被加密,網上交易就全部中斷了。
陳經理坦言,“系統白屏事件”也引發了一些輿論的質疑,有人懷疑銀行系統是否存在安全隱患,是否會泄露客戶信息。他說,他們也及時向客戶和社會解釋了事件的原因和處理結果,強調了銀行系統的安全性和穩定性,以及銀行對客戶信息的保密性和尊重性。同時,還會定期向客戶推送一些網絡安全知識和防范措施,提醒客戶注意保護自己的信息和資金安全。
楊行長也持有同樣的觀點。“銀行系統被入侵導致中斷的事件,即使沒有造成什么實際損失,也會給銀行帶來一些潛在的影響,從經濟效應、社會效應等方面,都有可能產生風險。例如,客戶資金可能會因突發事件而流失,還可能由于客戶恐慌而造成聲譽風險,這對銀行而言是難以承受的。”
那么,金融機構面對這些網絡威脅,該如何抵御呢?
安鵬認為,數據是關鍵之一。“實際上,業務系統的數據,相對來講是在系統內部的,一般在數據中心內一些核心的服務機房里面。所以對于這些系統的防護,是可以有一些監測和防護手段的。有了這重防護,即使某個辦公人員的筆記本數據被加密,重裝系統再同步一下數據庫里的數據即可。數據保護好了,外圍系統被攻擊,就格式化系統。”
“備份也是應對勒索病毒很好的辦法,但備份的成本也很高。要將全部數據備份,需要單獨采購一個服務器。”
對于如何防止病毒入侵,安鵬表示,“從網絡安全的角度來講,還是要做到不能有漏洞,而且要有一個整體的設計和規劃,就是所謂的‘點攻面防’。什么是‘點攻面防’?就是在整個系統里不能有‘軟柿子’,只要病毒找到一個‘軟柿子’就可以攻擊成功。所以,為了應對‘點攻’,要開展‘面防’,不能頭痛醫頭腳痛醫腳。”
“病毒入侵時,都是找系統漏洞。無論是操作系統,還是應用軟件,都可能會有一些漏洞。這個漏洞可能會讓黑客遠程執行一些具備破壞性的代碼,比如加密文件。但前提是,病毒一定是先利用了漏洞,成功執行了這部分代碼,才能做到這一點。”
“銀行網絡的風險防控措施,從大的方面來看,可以分為內部管理和外部維護兩個層面。”楊行長告訴記者,內部管理主要是加強內部傳輸管理和內部軟件管理,防止內外部人員利用U盤或其他移動終端植入病毒和木馬;外部維護主要是定期更新軟件,檢查系統漏洞、打“補丁”,以及設置防火墻、實時更新病毒庫等,監測和攔截可疑的訪問和交易,防止黑客入侵和攻擊。
“銀行人員要通過內部系統進行溝通往來,如果沒有嚴格的內部管理,沒有統一的傳輸要求,很容易植入病毒。”該行長表示。他坦言,銀行的系統雖然安全系數很高,但也存在被黑客入侵的風險。隨著病毒越來越“高明”,銀行要盡量前移風險防控關口,發現系統漏洞及時打“補丁”,如果內部修復和應對機制滯后,出現大面積病毒感染時才重視,為時已晚。
大行和中小銀行在網絡安全和危機處理方面有哪些優勢和劣勢?
陳經理認為,對于大行來說,系統大多經歷了不斷發現“BUG(程序錯誤)”而后修復“BUG”的過程。由于積累了足夠的經驗教訓和各地案例,“錯題庫”豐富一些,可以搭建起部分中小銀行尚未了解到的防控措施。
而楊行長認為,對于中小銀行來說,優勢在于組織結構和業務架構相對更簡單,更扁平,遇到網絡安全危機時能夠及時傳導至各級,解決問題的效率更高。
此外,銀行網絡安全防控要有應急演練和備用網絡,做到內外隔離。
“我們的系統是不識別外部U盤的。”陳經理介紹,該行主要通過局域網、外來網絡接入、移動終端管理等方面來布局網絡安全風控措施,以防止外部病毒和木馬的入侵。
“銀行機房是重地,隨進隨出都要登記。”從物理層面,銀行會對網絡進行定期巡檢維護和風險漏洞排查。銀行機房也是開業前監管部門現場核查的重點區域之一。
銀行系統,主要分為對外辦理業務的系統,和對內辦公的OA系統。“我行已經整合成一個系統了,統稱核心系統,但用的局域網不同,對外的稱為生產端,對內的稱為辦公端,二者嚴格隔離,這也是風控手段之一。”他表示。
據悉,針對網絡中斷這種突發情況的應急演練,是銀行網絡安全防控措施之一。陳經理介紹道,應急演練又分了很多層面,營業網點主要針對網絡用戶終端,對于銀行渠道部等部門來說,要安排部署系統中斷期間銀行的運營流程,對于技術部門,則主要針對網絡突然崩潰等情況,同時啟用防止災害的備用網絡,俗稱防災備線,“相當于銀行系統的一個Plan B(第二行動方案、備選方案)”。
他透露,他們的系統有多個備用網絡,如果主網絡出現故障,就會自動切換到備用網絡,保證系統的連續性和穩定性。這些備用網絡都是經過嚴格測試和驗證的,不會出現數據丟失或者不一致的情況。
銀行系統的“Plan B”,可能也是此次工銀美國化解危機的法寶。上海銀聯的王工程師告訴《每日經濟新聞》記者,“主流的銀行都會采用類似‘兩地三中心’這樣的系統配置。正常情況下,會在主營的主機上進系統,如果發現自然災害或黑客入侵等網絡災害的情況,會立即切斷主系統,將業務切入到災備系統中。”他分析道,就此次工銀美國系統受攻擊的情況而言,可能是將現在正在運行的系統主動切換到其他災備系統上。
“根據監管要求,銀行至少要每隔兩年完成一次災備切換演練,并報告演練結果。”王工程師說,雖然監管要求是至少兩年要進行一次災備演練測試,但銀聯每年都會將信息傳導給銀行,進行主備機的切換演練,驗證整個業務運行流程。
以信用卡業務為例,為了確保業務能夠在災備系統中有效運行,一般情況下,銀行會將80%以上的主營業務放在主運行系統上進行交易接收,將很少一部分安全性要求不太高、交易成功率要求沒有那么高的業務放在災備系統運行。“這樣的話,有問題就能及時發現。”
他表示,一般情況下,銀行會通過一根或多根專線來進行業務處理和系統之間的交互,總體還是很安全的,受網絡攻擊的概率很低。網絡前端有一道防火墻,并定期和實時更新病毒庫。比如陌生IP頻繁訪問,就能實現一系列監控。
在網絡的外圍,系統都需要設計相應的IP。為什么會通過專門的線路?“正常情況下,即使你知道銀行系統的IP地址,但在訪問系統之前,對于專線來說,IP是陌生的,可能直接就被防火墻阻斷了。”王工程師舉例道,比如銀行的系統要和銀聯的信用卡系統進行交互,要開通網絡策略,那么,銀行會將系統IP提供給我們,我們把IP部署到防火墻策略中,相當于雙方約定好,將銀行IP地址寫入我們的防火墻白名單。
每日經濟新聞
月12日晚,“比特幣勒索”病毒在全球范圍內爆發。被攻擊者的電腦文件會被黑客鎖定,而只有向黑客支付一定的贖金之后才能解鎖。
目前,統計數據顯示,國內已經有超過2.8萬家機構中招,主要集中在企業、高校等內網環境下,致使許多實驗室數據和畢業設計被鎖。同時一些諸如加油站、鐵路售票系統也成為勒索病毒的攻擊對象。
遺憾的是,安全專家表示,中毒后要想恢復文件,目前除了交贖金外毫無辦法,如果文件特別重要可以嘗試交贖金,以免過期被“撕票”,但誰也無法保證一定能恢復。
而受感染計算機想要徹底根除勒索病毒,除了重裝系統外,沒有更保險的辦法,并且需要在重裝后及時安裝微軟發布的緊急安全修復補丁。
于高等院校的互聯網勒索病毒防范策略與應急方案綜述
勒索病毒近年來在數量上呈爆發式增長,嚴重影響全球眾多關鍵信息基礎設施,成為網絡安全中的一個關注熱點。文章介紹了勒索病毒的現狀,結合高校的網絡環境,綜合多種勒索病毒防治手段,提出了一系列通用的勒索病毒預防和應急響應措施。經浙江大學網絡安全工作的實踐證明,合理應用這些措施,能有效提高勒索病毒的防護水平。
關鍵詞: 勒索病毒; 預防; 應急響應; 高校;
勒索病毒是在僵尸網絡基礎上的一種控制形式的升級。黑客在控制了用戶計算機以后,將用戶數據加密,并勒索用戶用虛擬貨幣為數據解密支付贖金[1]。
對勒索病毒的研究最早始于1996年[2]。在之后的二十多年間,眾多勒索病毒如TeslaCrypt[3]、VaultCrypt[4]、NanoLocker[5]、Android Simplelocker[6]、OSX/KeRanger-A[7]、NotPetya[8]、Cerber[9]等陸續出現在人們視野中。
近三年是勒索病毒又一個爆發高峰期。2017年5月12日,WannaCry勒索病毒[10]在短時間內席卷全球,大量的政府部門、企業單位及教育機構受到病毒侵害,中國高校成了此次勒索病毒事件中被感染的重災區[11]。2017年6月27日晚,烏克蘭、俄羅斯、印度及歐洲多個國家遭遇Petya勒索病毒[12]襲擊,政府、銀行、電力系統、通訊系統、企業以及機場都不同程度受到了影響[13]。2018年8月21日起全國多地發生GlobeImposter勒索病毒事件。2018年10月27日凌晨,杭州某衛生信息系統黑屏,數據庫文件被加密,業務系統無法啟動,初步判斷系感染GandCrabV5.0.4勒索病毒。2019年3月11日起,勒索病毒GandCrab V5.2對我國有關政府部門和高校開展釣魚郵件攻擊。這些勒索病毒在全球范圍內,給政府、教育、醫院、能源、通信、制造業等領域造成了前所未有的重大損失。
由于勒索病毒變種多、攻擊形式多樣,且成功運行后解密較為困難,而高校存在網絡環境復雜、上網用戶多、服務器分散等問題,因此要特別重視勒索病毒的預防和應急處置工作。
勒索病毒的攻擊手段之一是通過偽裝病毒程序和代碼,誘導計算機用戶在不知情的情況下啟動病毒程序,進而植入勒索病毒[14],主要感染途徑為網頁掛馬、垃圾電子郵件、捆綁惡意程序等。日常使用網絡時要具備以下安全意識:
⑴不訪問色情、博彩等不良網站,不輕易下載陌生人發來的郵件附件,不點擊陌生郵件中的鏈接;
⑵不隨意使用陌生U盤、移動硬盤,不輕易解壓不明壓縮文件;
⑶不輕易運行陌生的腳本文件和可執行程序,陌生文件運行前使用殺毒軟件進行查殺;
⑷定期對全盤進行病毒查殺,清理可疑文件,備份數據。
增強安全意識的培訓工作應落實到高校網絡安全工作的日常宣傳、線上線下安全培訓等活動中。