意念在前、出手在先?針對金融企業安全漏洞進行黑客預演
黑客向企業發動攻擊已並非新鮮事,因此企業亦早已準備,並部署了一系列防禦方案。不過現時黑客多通過在進行攻擊活動前先行針對目標作深入調查,從而進行一些針對性的攻擊,亦就是所謂的 APT 攻擊。
面對 APT,單靠傳統的防禦方案明顯不足夠,因此近年來 Ethical Hacking 成為了熱門、薪高糧準的學科。通過以黑客手段模擬攻擊,從而找出企業的安全漏洞,並加以修正。不過並非每家企業都能聘請內部的 Ethical Hacker,所以坊間便出現了一些專門提供相關攻擊測試服務的公司。
近日英國電信(BT)亦推出針對金融業的 BT Assure Ethical Hacking for Finance(BT 金融黑客預演安全服務),為測試曝露於網絡攻擊的金融服務機構能否抵禦攻擊而設計。持有零售商、投資銀行以及保險公司等大量極具價值的個人敏感資料之金融服務機構,多年來均成為意圖不軌的黑客及網絡罪犯之主要攻擊目標。近幾年,隨著越來越多的零售金融服務擴展至互聯網、電子交易平台迅速崛起,此風險也隨之與日俱增。
而 BT 提供的金融黑客預演服務主要以模仿「黑帽(black hats)」技術或惡意攻擊者的行為,從而針對銀行 IT 系統的不同入口點以及機構中已知的弱點進行一系列測試。測試範圍包括向流動裝置及硬件,由膝上型電腦以至打印機、內部及外部網絡,數據庫及複雜的企業資源規劃系統發動釣魚詐騙攻擊。除了測試與驗證可能存取網絡的系統之外,BT 的服務更會檢測人為故障所導致的風險,例如借助社交工程測試員工對相關政策是否有適當的應用。
根據 BT 資料,她們提供的服務可在契約規則所允許的範圍內針對數以萬計的社交安全與信用卡卡號進行數據庫轉儲、攔截與修改流動支票存款數據、逆轉工程師專屬加密流、生成大量來自其他測試帳戶的包含詳細支付資訊的有效禮品卡、讓員工通過打開郵件簡單地創建管理員帳戶、退出遠端存取會話並對系統進行外殼訪問(包括後續建立公司通道)、在未授權測試帳戶之間轉移資金或通過攻擊裝置間通訊獲得所有使用者的完整帳戶數據等。
服務的最終目標是識別可能對機構主要業務流程甚至品牌和聲譽造成威脅的行為。
機密的財務資訊對於黑客們有著強大的誘惑,因此,沒有什麼公司比銀行更吸引網絡犯罪。嚴重的黑客攻擊在帶來直接經濟損失的同時,更可能對企業聲譽帶來無可挽回的負面影響。人們更多關注的是零售銀行業務的風險行為,但對為大型企業客戶提供貨幣兌換和大型貿易交易的投資銀行或批發銀行來說,這種風險帶來的威脅同樣值得關注,因此針對金融系統進行模擬黑客攻擊的確是有需要的。