为了有效应对“钓鱼”攻击,应该全面评估“钓鱼”攻击可能利用的各种弱点,以及相关产业链条各个环节可能带来的影响,基于“事前—事中—事后”循序改进的防护思路,建立一个覆盖立法监管、培训和教育、举报和反馈,以及技术监控等多个层面的反“钓鱼”体系。
如果把“钓鱼”网站的发现到关闭定义为“事中阶段”,包含至少一次完整的“钓鱼”攻击,这个阶段主要考虑控制“钓鱼”攻击的影响。在“钓鱼”网站真正产生危害之前,即便“钓鱼”网站已经存活,但没有发现,这个阶段定义为“事前阶段”,主要解决如何及时发现“钓鱼”网站,并通知用户的问题。“钓鱼”攻击的后续处理阶段,则统称为“事后阶段”,包括案例总结分析、专项整改等事项,以避免同类事件再次发生。
(1)事前及时预警
本阶段可以考虑综合使用业务安全风险评估、业务环境脆弱性评估,以及“钓鱼”风险实时监测等多种方法,及时找到可能被“钓鱼”攻击利用的弱点,第一时间启动紧急预案,做出响应,以确保预警工作的完备性。
1)业务安全风险评估。业务流程的设计失误会引入网络“钓鱼”等各类风险,如网银系统虽然采用了双重用户身份认证手段,但如果没有考虑登录和交易两类业务单元的逻辑顺序以及相互依赖性,“钓鱼”者利用窃取到的用户账号、密码对,就能够即时完成登录和转账等操作,直接导致用户个人财产损失。因此,及时找出业务流程中存在的问题,既有助于保障业务系统的正常运转,又能防范“钓鱼”攻击等安全事件的发生。
业务安全风险评估是一种基于安全目标的业务流程分析方法,从目标业务系统的关键流程步骤分解入手,分析每个步骤具有的安全风险,以及防范风险所采取的安全措施,判断各项功能的安全措施是否符合为实现安全目标所要达到的安全要求。同时,对业内为达到该安全要求普遍采取的安全手段与现有安全措施进行对比分析,主要关注两个方面:安全措施是否有缺失、安全措施是否有效,最终提出对现有流程的安全建议,对流程进行客观评价。
采用业务流程安全风险评估的方法,可以让金融机构清楚地识别出业务流程每一个关键步骤可能面临的风险,在对业务目标以及现有安全控制措施做出客观评价后,最终形成安全现状报告,能够更加清晰地认识到网上银行的整体安全状况,给下一步流程整改和优化带来融合业界最佳实践的指导意见。
2)业务环境脆弱性评估。“钓鱼”攻击的一种常见方式,是首先利用网站自身的弱点,或是业务系统运行环境(包括承载业务系统的平台、操作系统,以及相关应用系统等)存在的缺陷,进行渗透,然后再发起“钓鱼”攻击。如果能解决上述安全问题,一方面可以保护金融机构的网站不被攻击,另外一方面也能在一定程度上,降低“钓鱼”攻击发生的几率。
无论是网站的XSS、SQL注入漏洞,还是引自第三方内容的数据隐患,以及客户端环境的技术弱点,都可以通过安全技术评估来提前发现。一种传统的思路,是使用漏洞扫描软件进行弱点检查,但需要兼顾评估能力和资源等方面的因素。
金融机构运营的网站、业务系统,由于一般处于持续改进的状态,所以针对业务环境的脆弱性评估工作应该固化下来,定期进行,并予以阶段性的调整和完善。
3)异常交易监测与风险警示。“钓鱼”攻击最终将通过一系列“异常交易”来获取非法利益,那么对网上银行在线交易的过程,特别是针对所谓“异常交易”的监测,是非常有必要的。
加强网上银行风险防控工作已经成为金融机构需要高度关注的一项工作,金融机构应该尽快建立一套“异常交易”监测预警机制,进一步研究和建设完善的网上银行等电子交易的风险监测系统,加强对新签约后迅速转账、同一额度以及大额频繁转账等可疑交易的识别、事中干预和处置,从而进一步防范其他以网上银行为渠道的非法资金流动。
(2)事中主动防御(www.xing528.com)
在发现“钓鱼”网站后,要综合考虑多方面的因素,采用多种方式控制“钓鱼”攻击,主要包括关停域名、阻断终端用户对“钓鱼”网站的访问、在线未授权交易的及时发现和处理,还包括对非法“钓鱼”网站的分析、调查、取证,甚至是反制等。最有效的方法是同时把几种技术手段和服务结合在一起,以便尽快降低“钓鱼”攻击带来的影响。
1)关停“钓鱼”网站。控制“钓鱼”攻击,最有效方法的就是直接关停“钓鱼”网站,从根本上杜绝“钓鱼”攻击的发生。例如,APAC在处理这一类问题时,主要通过协调中国互联网信息中心(CNNIC)来关停CN域名的“钓鱼”网站。
关停“钓鱼”网站还存在一些技术上的难度和局限性。如境外注册的“钓鱼”网站,无法快速阻止;“钓鱼”网站生存周期短,成本低,可快速复制,关停力度凸显不足。
2)从客户端及时阻断钓鱼威胁。尽管关停“钓鱼”网站能够从根本上解决“钓鱼”攻击问题,但这个过程往往花费时间较长。因此在尝试关停“钓鱼”网站的同时,还可以同步实施从客户端阻断可能发生的对“钓鱼”网站访问的行为,以减少“钓鱼”攻击所造成的损害。
客户端防护仍然沿用传统的,基于黑名单的访问控制策略,在发现终端用户即将访问存在钓鱼风险的页面时,终端系统将弹出一个警示对话框,以提示当前用户行为的安全隐患。为了避免干扰用户的正常互联网访问行为,终端系统所加载的“钓鱼”网站黑名单必须是可靠且能够持续更新的。
结合主动、准确的“钓鱼”网站检测和发现机制,将最新的“钓鱼”网站信息,通过客户端提示的方式,快速告知客户,可以很好地加强终端客户的风险防范意识,提高“钓鱼”网站识别能力,并最终提升安全应对的时效性。
(3)事后整改和教育
处理完“钓鱼”网站后,一方面要基于当前案例的分析结论,修补业务流程、业务环境存在的缺陷;另一方面要加强终端用户的安全意识培训力度,以减少同类事件的发生几率。
1)专项整改行动。专项整改有着明确的目标和改进对象,金融机构可结合定期安全评估的结果,以及在实际“钓鱼”攻击事件中突现出来的问题,执行有针对性的改进措施,包括业务流程优化、可管理的安全服务实施等。
专项整改虽然能减小“钓鱼”攻击再次发生的几率,但不能完全杜绝“钓鱼”攻击。尤其对于部分短期内无法修补的缺陷,如业务逻辑设计缺陷,仍需加强相关方面的日常监测工作。
2)多样化的安全意识教育。网络“钓鱼”并非单纯的技术问题,加强用户对网络“钓鱼”攻击手法的认识,是解决此类攻击的最好方法之一。对于为终端用户提供高质量的电子商务服务的企业来说,有义务为广大用户普及防“钓鱼”的相关知识。因此,在网站或相关页面建立专项的“反钓鱼”知识栏目,提供丰富的“钓鱼”案件实例分析,是一种值得应用和推广的方式。为了最大化地吸引用户对知识的学习,可以通过游戏的方式模拟遭遇网络“钓鱼”的经历,教会用户如何识别可疑站点。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。