RSA專家揭示企業級在線網絡欺詐發展和趨勢
原創【51CTO.com 獨家特稿】早在去年,RSA公司就曾預測未來12-18個月的幾大網絡欺詐趨勢,其中 “企業級欺詐將會增加”的趨勢引起了包括中國企業在內的眾多IT部門經理的注意。
IT經理之所以關注網絡欺詐,與近幾年網絡犯罪給企業帶來了日趨嚴重的安全威脅不無關系。網絡罪犯每日每夜的工作竊取個人網絡身份、在線憑證、信用卡信息,或他們能夠有效轉化為金錢的其它任何信息。并且網絡犯罪涉及的領域也是空前的廣泛,他們針對了幾乎所有領域的企業、組織,以及使用互聯網的任何個人。
同時,IT經理們發現想解決這些令人頭疼的問題并不是一件容易的事情。在攻與防的長期斗爭中,在線網絡犯罪作為一種攻擊手段也是不斷進化發展的,除了攻擊者和行騙者不加任何區別地攻擊任何組織或個人以外,IT經理們驚恐的發現,目前在線攻擊涉及的網絡釣魚(網頁欺詐)、域名劫持和特洛伊木馬等手段,已經成為世界范圍內最有組織化、最高深復雜的技術犯罪潮流之一。而企業想從容的應對這種情況,卻要花費以前幾倍甚至幾十倍的物力和財力才能減少風險,顯然,對于在線網絡欺詐,企業的IT經理們往往束手無策。
針對這種情況,51CTO.com記者與EMC信息安全事業部RSA身份驗證和防護專家Sean Brady先生,一同就企業級網絡欺詐的手段和防御措施進行了深入的探討。
作為長期戰斗在反在線欺詐第一線的反欺詐專家,Brady先生認為,現在的用戶已經對惡意軟件、木馬以及釣魚技術有所了解,可以說在意識上認識到這些手段給企業帶來何種的安全威脅,但Brady認為,造成上述情況的根本原因在于,可以很容易獲得在線欺詐技術和工具,這使得在線欺詐的技術門檻變得相當的低,幾乎略懂些安全技術的初學者也能夠針對目標實施一次成功的欺詐行為。
另一方面,在線欺詐技術經過不斷的演變,不斷地推陳出新,使得舊有的攻擊以更加新穎的方式在一些新的領域和地方得以成功實施,也成為IT經理們面對在線欺詐很頭疼的原因之一。據Brady介紹,諸如“語音”“移動電話”等原本可靠受信的渠道也正在遭受侵害,演變成全新的攻擊形式:語音釣魚和短信釣魚等。
當前在線網絡欺詐的發展趨勢和特點:
除此攻擊以新的形式出現以外,在談到目前在線欺詐的趨勢和變化時,Brady還向51CTO.com記者總結了以下特點:
◆欺詐工具更容易得到,欺詐變得更加簡單
◆欺詐目標更明確,攻擊渠道多樣化
◆欺詐已經從收集階段演變到實時獲取階段
(51CTO.com注:目前的大部分攻擊已經變得具備相當強的交互性,并能自動完成注入,如中間人攻擊。)
◆攻擊者追求高風險,高回報的大買賣
◆針對IP和企業賬戶的攻擊和欺詐越來越嚴重
◆瞄準非金融機的攻擊逐漸增加,大量的敏感數據
◆網絡欺詐越來越隱蔽,具有相當強的欺騙性,很難被企業發現
◆未來針對移動平臺的欺詐行為將會盛行
目前流行的欺詐手段
在眾多的欺詐手段當中,在51CTO.com記者看來,網絡釣魚和木馬傳播是目前最為流行,也是最主要的在線欺詐手段。這一點也得到了Brady先生的認同,他認為大多數的攻擊分子或者欺詐分子會仍然使用木馬和釣魚的攻擊方式,因為這是他們最熟悉的攻擊方式。
但Brady強調,除此之外還有其他一些更為復雜的欺詐者組織,因為他們有錢可以投資,而且有相應的技術資源可以攻擊一些更大的目標。同時,Brady也表示,作為企業最敏感的數據集散地,數據庫也是目前很多黑客攻擊的目標,也是目前企業最大的攻擊目標。
而在欺詐手段的演進過程中,中間人攻擊目前是最為流行的攻擊手段,也是在線木馬欺詐金字塔中的塔尖部分。如下圖:
圖:在線欺詐木馬的演進
Local Pharming(域名劫持)叫域名欺詐:比如某人要進入一個網站,但通過這種技術可以把某人引到假的網站。
Keylogger也叫鍵盤記錄:這也是非常常見的技術,在鍵盤上輸入的信息可以被輕易的取走。
Form Grabber形式攫取:現在木馬也越來越復雜,這個木馬知道自己要攻擊的網站,而且只會從某些特定的領域去抓取特定的信息,這需要欺詐者對自己所要攻擊的網站有所了解,有網絡知識,他們需要寫一些腳本。
HTML Injection網頁注入:HTML注入是指瀏覽網站時,將目標網站生成的網頁進行修改,要求輸入一些額外的信息。
MITB(Man-in-the-browser)中間人攻擊:就是從黑客客戶端實時獲取相應的交易信息。
應對方案:分層次的安全是最佳的保護
事實上,企業在線欺詐還處于萌芽時期,而且網絡罪犯只是剛開始認識到其潛在的收益。永遠要領先于網絡罪犯一步,并且在它們來敲門的時候就解決新威脅是阻止欺詐的關鍵。
企業的IT經理們應當考慮采用一個分層次的方法實現安全,顯然對于降低網絡罪犯造成的整體風險是至關重要的。
一個分層次的安全方法有以下3個核心要素:
• 了解威脅的局面
• 利用多因素認證系統來保護登錄
• 監控用戶的活動和交易
了解威脅的局面
企業必須了解到威脅都針對他們的業務和他們所受的相對風險。通過這樣做,他們能夠緩解網絡欺詐的風險或者甚至完全阻止欺詐的發生。通過收集并共享情報和開發一個廣泛的威脅知識庫,企業IT經理們能夠更好的評估他們自己的漏洞并實施安全解決方案來解決這些漏洞。
利用多因素認證系統來保護登錄
用戶名和密碼的認證系統還不足于保護敏感信息的訪問,而今天的威脅局面有著更先進的自然屬性。此外,許多國家施加了多個法規要求組織采取第二個強認證形式來保護用戶賬戶和個人信息的訪問。多因素認證是防止未經授權的訪問獲取用戶敏感信息和個人信息的重要方法。
監控登錄后發生的交易和活動
除了認證系統解決方案能夠在用戶登錄的時候質詢他們來確保他們的身份,企業還應當考慮實施一種交易監控解決方案在登錄發生后再來分析并質詢高風險的交易。交易一般需要更多的細查,并且對組織和他們的客戶多提出風險,而不是僅僅是登錄到一個賬戶中的行為。交易監控能夠幫助設備可疑的登錄后活動并對他們進行標識以便開展進一步的檢查。
不過即便是如此嚴密的防范措施,不一定所有的企業都適用,需要IT經理解決的問題也依然很多,企業面臨的障礙也相當明顯,如怎樣解決企業和非企業能遠程訪問資源?難以確定訪問資源的機器(內部和外部) 是否被惡意軟件所侵害,員工在網上沖浪和遠程連接時,難以掌握他們的行為和風險……
顯然,這些都是目前很多企業IT經理所關注的重點,可以說反在線欺詐的道路還和遠,在長期的斗爭中,此消彼長的趨勢還將繼續下去,作為企業神經中樞IT部門應根據自身情況確定反在線欺詐的措施和方法。
