金融领域勒索软件攻击频发 MDR平台或成关键防护手段

随着网络空间安全面临的形势持续复杂多变、对抗趋势逐渐突出，同时云计算、大数据、物联网、人工智能等新兴技术的发展，导致网络威胁持续进化、攻击手段更为多样。网络攻击者为寻求最大化利润，创建了勒索软件即服务(RaaS)框架，使得从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动，致使勒索软件市场泛滥。
 
RaaS是一种恶意软件销售商及其客户的盈利模式，只需支付少量费用即可访问RaaS后端并开展自己的业务。其为其他威胁行为者、攻击组织和个人提供了一个涵盖了勒索软件攻击所需的所有功能的平台，从文件加密和存储到支付。RaaS 平台不断适应网络环境变化，以便不被终端或网络安全工具检测到。
 


虽然就目前而言，勒索软件无法完全避免，但通过托管检测和响应（MDR）能够有效抑制RaaS 地侵扰，通过对数字环境的深层次分析建立强大且全面的预防及保护措施。MDR通常是企业本地安全运营中心(SOC)方案的延伸，企业利用具有MDR平台专业知识和相关技能（例如事件响应、根本原因分析和威胁狩猎）来调查潜伏在客户攻击面中的威胁和漏洞，并集中有限资源更专注有效地响应安全事件。
 
• 威胁狩猎多为安全精英从业人员，他们结合直觉和对最新对手策略、技术和程序 （TTP） 的深刻理解，主动建立防御措施，消除部分潜在威胁。
• MDR威胁狩猎和事件响应人员全天候检测，时刻监测网络是否出现异常状况，随时共享威胁情报，以确保持续处理最新信息。
• 由于MDR提供商为全球数千个客户群提供服务，因此其还拥有比普通企业更深层次的数据库的可见性。这意味着，如果他们在全球某个角落检测到威胁，可以立即通知可能受影响的客户以及价值链下游可能受到影响的其他客户。
 
金融服务部门面临重大勒索软件攻击
 
由于金融机构管理和存储着大量数据和关键服务，因此也成为了勒索软件攻击的最主要目标。根据网络安全提供商 Sophos 在 2022年进行的一项调查显示：

• 金融服务行业的勒索软件攻击事件数量提高：2021年有 55% 的企业遭到了勒索软件攻击，高于2020年的34%。
• 52%的金融服务企业选择支付赎金来恢复数据，高于全球平均水平46%。
• 金融服务业的赎金支付率增加了一倍多：从2020年的25%上升到2021年的52%。
• 金融服务行业的平均补救成本为159万美元，高于全球平均水平140万美元。
 
除了Sophos的调查数据以外，其他的相关机构和提供商也对金融行业目前面临的违规风险和网络攻击做出了类似调查：
 
• Verizon的2022年数据泄露调查报告显示，金融行业在过去一年中出现的数据泄露事件比其他任何行业都多。
• 根据HealthITSecurity的数据，2022年消费者数据泄露相关事件中，金融数据泄露占49%。
•  FS-ISAC在其年度全球情报威胁报告中称，随着世界时局愈加动荡，金融业面临的网络威胁增长加速。基于金融行业特点，金融市场信息化数据出现集中化、数据交互频繁化等特点，风险面和攻击事件成倍增长。
 
面向金融服务业的MDR

MDR结合了技术和人类专业知识来执行威胁搜寻、监控和响应，其主要好处在于有助于快速识别和限制威胁的影响，而无需额外的人员配置。这也是为何大多数金融机构都会选择MDR来对抗勒索软件和RaaS。
 
1、获得多样化的安全专业知识
 
网络安全技能的持续短缺会导致预算紧张的企业极易受到数据泄露的影响，即使是内部已经拥有安全专家团队的企业，随着时间的推移，面对海量繁杂的警示信息也不免感到疲劳和倦怠。但借助MDR，企业可以在不增加员工人数的情况下提高专业知识和安全技能，通过一个网络资深专家社区，可以解析告警并将真正的威胁与噪音区分。
 
2：主动威胁情报
 
MDR 提供商持续向客户传递威胁情报，提供每周和每月的网络活动报告，并定期上报值得客户注意的安全调查结果或警报见解。MDR 提供商还可以为客户提供仪表板访问权限，客户可以查看实时警报、计划报告以及威胁情报等。同时，提供商还能够对例行账户的运行状况进行扫描，明确客户网络中端点的基本设置和配置。
 
3：XDR 和遥测技术
 
MDR 提供商将扩展检测和响应工具（XDR）与强大的遥测技术相结合，以获得对企业整个信息环境（包括端点、云资产、网络数据、用户身份等）的持续可见性和自动化分析。此外，上下文对于识别可疑行为也至关重要，MDR 提供商可以利用第三方遥测技术来检测基本工具集中的威胁，从而全面掌握各种上下文数据。另外，如果 MDR 在一个客户环境中检测到了漏洞，就可以在其他所有存在该漏洞的客户环境中修复该漏洞。
 
4：MDR 提供商拥有整合和理解第三方工具的专业知识

勒索软件攻击和工具还在持续演变，目前金融服务业已经可以通过购买第三方安全工具组合来应对。但有时这些工具无法相互集成，大大降低了企业响应勒索软件攻击的效率。MDR 提供商可以帮助企业集成第三方工具，即使这些工具并不属于该提供商。
 
5：全天候监控和响应速度
 
MDR服务提供商可提供24/7全天候的威胁监控、检测和响应结果，提供知识和能力来帮助组织提升流程的成熟度，形成一个预防－检测－反应－预测的闭环，能够在数据或服务受到损害之前立即阻止攻击。
 
Gartner在其发布的《中国托管检测和响应服务市场指南》中指出，MDR服务市场在中国仍处于扩张状态，预计到2026年，中国60%拥有安全运营中心的组织都将会使用MDR服务增强安全运营能力。并认为“中国的MDR服务有别于全球市场，更倾向于远程和现场服务团队相结合的混合交付模式。”安全419长期关注MDR服务市场领域，梳理出了几家代表性的MDR提供商可为金融行业建立安全防护体系提供一定参考：
 
奇安信

作为奇安信网络安全分析与可视化领域的核心产品，其天眼MDR安全托管服务方案拥有高级威胁检测、异常行为检测、告警响应处置和攻击追溯分析等核心功能，可7*24小时远程托管运营服务、周期性运营情况及威胁态势汇报。据了解，此前奇安信天眼MDR安全托管服务远程分析团队还发现了一起极难被有效监测和清除的“金眼狗”APT攻击事件，并帮助多位客户及时发现隐蔽难防的“金眼狗”APT病毒，真正实现“单点发现，全网排查”的服务效果，及时清除了客户侧存在的所有恶意样本。
 
新华三

新华三MDR服务是集运营团队、平台工具、流程机制于一体的一站式安全运营服务，依托于青丘安全运营中心，围绕资产、漏洞、威胁、事件四要素提前建立“事前威胁预警，事中协同响应、事后溯源优化”的纵深防御体系。面向客户“N个实际智能应用场景”提供多元化、宽领域的“10大安全能力输出”，协助客户构建自身安全能力，达到能力共建的目标。新华三拥有丰富的行业实战经验，贡献CNVD漏洞数累计54600+，协助客户处置关键服务器资产8000+台，实际解决了客户日常安全运维中遇到的发现难、分析难、处置难、闭环难的痛点。
 
天融信

天融信安全运营服务结合客户自身的安全运营成熟度，基于“对抗性安全运营体系”，将平台、产品与人员（专家）、技术、流程融合联动，从事件驱动、情报驱动、对抗驱动、狩猎驱动四方面综合考虑，量身打造符合需求的运营方案。通过“云端+本地”联动服务，形成覆盖全国的“线上+线下”联动工作模式，打造“线上实时监测、分析预警、指挥协调”和“线下本地化服务、应急响应、快速处置”相结合的集约化安全运营服务。