金融网络安全风险管理指南（二）：脆弱性分析

信息就是力量 —— 窃取数据

信息 在每个组织中都以多种形式存在，并且在价值方面可能有很大差异。信息的价值通常可以从其对业务的关键性和敏感性的角度来考虑。然而，信息可以沿着数据、信息和知识的连续性进一步表征，这些数据、信息和知识反映了信息对企业的含义和相关性的差异（如下表所示）。

观察到的世界事实和状态可以被描述为数据。数据通常是明确的，缺乏歧义。正如彼得·德鲁克（Peter Drucker）所描述的那样，“当数据被赋予相关性和目的性时”，它就变成了信息。例如，应用于特定业务事务的数据变得更有意义。随着信息进一步内化到个人手中，并在组织文化中根深蒂固，它越来越可能被定性为知识。专有设计、方法、市场理解、客户历史和其他数据是更深入地了解组织及其环境的一部分，这些示例可以被视为知识。

信息盗窃有许多潜在的动机，包括随后的资金盗窃，对机构或个人的破坏，或建立进一步信息盗窃的能力。无论动机如何，威胁都代表着对价值的潜在攻击。窃取信息的动机可能各不相同，但通常是为了个人或竞争利益而窃取企业价值，并可能威胁到受害者。有时，数据本身可以具有直接的商业价值。在2005年的一个众所周知的案件中，一家调查公司的老板被发现向许多银行的雇员支付了报酬，以换取客户信息，显然是为了建立一个数据资源，以方便他为付费客户完成调查。

虽然金融或实物资产的价值通常是清晰和可量化的，但各种形式的信息的价值更难衡量。

攻击者可能会追求数据，例如消费者身份或特定交易的详细信息，或者他们可能针对客户如何使用特定服务或产品之类的信息，并且同样可能针对捕获知识产权元素之类的知识，包括分析模型和观察如何使用这些模型。进一步考虑信息连续体，我们可以设想，根据攻击者选择分别追求数据、信息或知识，策略可能会有很大不同。因此，虽然可以通过试图从受害者组织中快速删除数据的直接攻击来实现数据盗窃，但窃取信息和知识需要更长时间，持续的活动，攻击者不仅要观察动态数据，还要设法瞥见数据的使用方式。如前所述，APT可用于实现这一目标。

与其他类型的资产盗窃相比，信息盗窃是独一无二的。这种唯一性的主要原因与以下事实有关：信息盗窃通常不会导致资产所有者被剥夺资产，因为盗窃通常作为数据副本执行，或者作为旨在剥夺合法用户访问系统或数据的行为执行。相比之下，盗窃实物资产确实会将标的资产从所有者手中夺走，从而剥夺其资产的价值。因此，与信息盗窃有关的价值损失特征并不像实际盗窃那样直接观察到。简而言之，如果实体零售店的所有者遇到库存被盗，他们将无法执行其核心业务功能，直到恢复足够的资产基础。但是，攻击者复制了其客户信息文件的银行在攻击发生后仍能正常运行。事实上，银行甚至可能不会注意到它们被破坏了，这与实物资产盗窃的受害者显而易见的损害形成鲜明对比。此外，这些独特的方面还造成了潜在的信息盗窃，这些潜在的信息盗窃可能对组织中的某些人可见，但不会向管理层，董事会或客户披露。

阻塞工作——颠覆的威胁

攻击者可能采用各种策略来破坏系统或数据，以使预期的系统用户无法获得资源。这包括高度复杂的攻击策略，例如构建僵尸网络环境，将俘虏的“无人机”主机转变为强大的分布式攻击部队，以及低技术操作，例如断电甚至对人员或财产的虚假物理威胁。此类攻击的共同目标是组织中断，例如阻止客户使用服务或阻止员工执行正常工作职能。相比之下，对手寻求破坏的原因可能会有很大差异。

在商业环境中，合乎逻辑地认为竞争组织可能对其他市场参与者构成威胁。Knight Capital事件中，失控的交易算法导致股价暴跌，最初许多人认为这是一次故意的网络攻击。从战略上看，这种市场中断可能使竞争无法提供货物或服务，并且此类事件可能分别产生短期和长期影响。从短期来看，如果客户无法从竞争对手那里购买，那么他们至少有可能选择从导致中断的企业购买 。一个重要但不太直接的好处是，破坏性攻击可能会损害竞争对手的声誉，因为他们无法对潜在买家做出反应。破坏也可能是一种用于促进勒索和其他赎金支付要求的策略。商业公司可能会发现自己面临经济决策，导致他们支付赎金以避免短期和长期的业务中断，从而最大限度地减少系统漏洞的影响。

在企业内部，一个狡猾的或可能心怀不满的内部人员可能会引发破坏。设法首先获得对系统和数据资源的内部访问权限的攻击者可能会发现自己处于有利于发起破坏性攻击以进行勒索或赎金的位置。当采取消极行动作为情绪或态度变化的反应时，内部人士也可能面临特别严峻的挑战，也许会驱使他们走向报复。2016年7月，花旗银行一家关键数据中心的一名激动的员工因故意删除路由器配置信息，导致广泛的网络中断而被判处21个月联邦监禁。该事件显然是在员工收到糟糕的绩效评估时触发的。政治和社会行动主义可能是破坏努力的驱动力。据报道，2016年5月，希腊银行的网站因“金融腐败”而受到匿名组织的攻击。同样，潜在的更高影响威胁可能来自民族/国家行为者，其动机是对感知到的对手和竞争对手造成破坏。

还应考虑其他潜在的激励因素。攻击者可能会试图将破坏性攻击用作欺骗手段，将注意力和资源吸引到一个明显的事件上，同时执行单独的、影响更大的攻击。对手还可以选择使用欺骗性的分心来启用可能被检测到的密集侦察。最后，还应考虑实验的可能性。发现攻击者执行各种方法来利用物联网（例如，增加其知识库并将其用于新攻击）也就不足为奇了。

面对威胁

金融机构面临的网络威胁复杂、多样且可能产生重大影响，需要进行深入分析，以形成企业网络安全策略、运营计划和最终战略的基础。威胁建模可以构成对主要威胁特征进行持续识别和定期重新评估的全面方法的基础。

对于任何组织来说，有两个程序对于甚至有机会应对网络威胁环境的现实至关重要：威胁情报和威胁建模。威胁情报是收集有关当前网络问题和活动的信息，包括对事件，策略和潜在响应机制的见解。它代表了外部视角，为企业提供了观察网络事件和企业边界外活动的能力。第二个程序是威胁建模，旨在将潜在的威胁方案应用于组织的环境。当然，合理的威胁场景可以通过威胁情报来识别，也可以从组织自己对违规和违规尝试的观察中识别出来，也许还可以从有关未遂攻击的数据中识别出来。该组织还可能从观察可能的对手的不成功策略中得出见解，也许暗示未来的目标和策略。

威胁情报

有许多潜在的有价值的威胁情报渠道被认为是“开源情报”（OSINT）。这包括已发布的研究报告，媒体报道，网页，博客，视频和其他现成的信息。OSINT 有相对较高的可用性和易用性。然而，挑战来自数量。在当前流式传输“大数据”的时代，随着与开源监控相关的资源需求程度的提高，这个问题已经变得严重。嵌入在社交媒体系统中的信息量不断增长，导致创建了一种新型OSINT，称为社交媒体情报（SOCMINT）。SOCMINT作为威胁情报具有很高的潜在价值，因为发布内容可以提供上下文和描述的重要方面，从而为威胁数据基础增加丰富性。例如，发布有关其战术、技术和操作目标的帖子的对手可能会为安全分析师提供有价值的线索，这些线索可用作改进控制和对策的基础。然而，挑战依然是不断更新的大量数据。但是，有一些方法和工具正在出现，可以帮助导航和优化开源数据，包括高级分析功能以及第三方服务，这些服务可以在提供与企业密切相关的见解之前筛选大量潜在威胁信息。

威胁建模

威胁建模活动从识别组织最有价值的企业系统和信息资源（通常称为资产）开始。应标识许多资源属性，包括它们各自的形式，例如纸张或电子。应确定资源的位置、设备或储存设施以及各自的地理位置。一旦收集了系统和信息资产的清单和性质，组织就应举办交互式研讨会，以识别和考虑反映当前体系结构属性的各种攻击媒介，例如网络边界、应用程序、标识和身份验证系统以及设备配置等因素。除了技术体系结构之外，还必须考虑企业级别的体系结构，包括人员方面的各个方面（例如系统用户、连接的合作伙伴和支持人员）和业务操作过程体系结构，以便能够尽可能完整地了解动态和静止的信息资产的位置和性质， 以及系统基础架构 — 在任何组织中都不是一件小事。

正如桑迪亚国家实验室的研究人员所指出的那样，“威胁通常比描述更容易列出，描述起来比衡量容易得多。因此，许多组织都会列出威胁。使用有用的术语描述它们的人更少，以有意义的方式衡量它们的人也更少。部分挑战可能归因于威胁的相对复杂性，但也可能是由于对前面描述的威胁基本原理普遍缺乏了解（如下图所示）。桑迪亚报告将核心威胁特征分解为一个实用框架，该框架确定了与对手的承诺和资源基础相关的威胁属性。承诺可以通过强度或持久性，隐身的使用以及专门用于计划或执行攻击的时间来观察。资源属性包括技术人员的可用性和技能、知识和访问权限。还确定了威胁倍增因素，并包括诸如获得资金，支持攻击计划的资产和技术基础等因素。可以直接或间接地观察这些属性，因此可以构成威胁指标的基础，从而提高威胁模型的质量和实用性。

网络威胁

实现

NIST 草案标准 SP 800-154，以数据为中心的系统威胁建模指南，为专注于数据资源安全性的企业威胁建模计划奠定了基础。本指南概述了以下步骤：

1、识别和表征感兴趣的系统和数据。应详细描述每个数据元素。这应该包括对“静态”数据性质的总结，包括对存储数据的数据库和主机系统的描述。应描述处理期间数据在主机成员中如何存在的一些指示。同样，模型应将数据描述为“传输中”，指示数据可能在企业内外传输的潜在途径。此外，还应描述数据流入机制，包括来自前置系统的集成以及设备/键盘数据输入。结果应该是描述数据如何流经系统，了解安全目标以及对授权用户的见解。

2、识别并选择要包含在模型中的攻击向量。攻击向量是攻击者可能对系统采取的潜在路径。潜在向量的范围是巨大的，因此确定要包含在建模练习中的合理攻击向量至关重要。这就是威胁情报的价值开始出现的地方，因为过去的攻击历史以及SOCMINT中记录的有关策略和动机的潜在见解对于构建合理的潜在攻击路径阵列非常有帮助。

3、表征用于缓解攻击媒介的安全控制措施。下一步是将已实施的风险处理与已识别的媒介相匹配。风险可以通过引入控制措施来处理，以减少事件发生的机会或减少其影响，将风险转移给另一方，例如通过网络保险，通过架构决策避免，或者接受企业已经认识到风险，但尽管潜在的负面结果选择推进计划。此步骤的结果是识别针对每个攻击媒介采取的所有已部署的风险处理。

4、分析威胁模型。本练习的最后一步可以被视为一种“差距分析”形式，它揭示了尚未得到充分处理因此需要注意的攻击媒介。风险处理不充分的实例可能是显而易见的，例如，当组织发现攻击媒介存在根本没有考虑的风险时。然而，在大多数情况下，控制措施是需要部署的，因此分析变得越来越复杂，试图估计部署的处置方案是否足够或有效。为攻击向量分配严重性分数或权重，并同样对风险处理进行评级，可以实现此目的。理想情况下，分析需要定量和定性的观点。

NIST标准中描述的威胁建模与传统的风险评估方法非常一致。但是，威胁分析的关键区别在于，它基于对实际发生或被认为非常可能发生的非常具体的攻击场景的考虑。传统的风险评估可以针对一般威胁，例如违规威胁，而威胁评估则将分析带到更深层次的分析以及方法的粒度。这样可以对企业做出的风险处理选择进行更现实的评估。

向前迈进

很明显，金融机构面临的网络安全风险管理挑战是巨大而复杂的。在将威胁建模与传统的风险评估方法进行比较时，考虑威胁和风险之间的根本差异至关重要。正如兰德公司所描述的那样，威胁代表着可能选择以符合其战略目标的方式行事的行为者。另一方面，风险包括对系统脆弱性和潜在后果的估计。威胁建模的结果应为组织提供一种回答基本问题的方法，即他们是否部署了可预期将风险有效降低到可接受的残余水平的控制措施。