【51CTO.com 独家特稿】早在去年,RSA公司就曾预测未来12-18个月的几大网络欺诈趋势,其中 “企业级欺诈将会增加”的趋势引起了包括中国企业在内的众多IT部门经理的注意。
IT经理之所以关注网络欺诈,与近几年网络犯罪给企业带来了日趋严重的安全威胁不无关系。网络罪犯每日每夜的工作窃取个人网络身份、在线凭证、信用卡信息,或他们能够有效转化为金钱的其它任何信息。并且网络犯罪涉及的领域也是空前的广泛,他们针对了几乎所有领域的企业、组织,以及使用互联网的任何个人。
同时,IT经理们发现想解决这些令人头疼的问题并不是一件容易的事情。在攻与防的长期斗争中,在线网络犯罪作为一种攻击手段也是不断进化发展的,除了攻击者和行骗者不加任何区别地攻击任何组织或个人以外,IT经理们惊恐的发现,目前在线攻击涉及的网络钓鱼(网页欺诈)、域名劫持和特洛伊木马等手段,已经成为世界范围内最有组织化、最高深复杂的技术犯罪潮流之一。而企业想从容的应对这种情况,却要花费以前几倍甚至几十倍的物力和财力才能减少风险,显然,对于在线网络欺诈,企业的IT经理们往往束手无策。
针对这种情况,51CTO.com记者与EMC信息安全事业部RSA身份验证和防护专家Sean Brady先生,一同就企业级网络欺诈的手段和防御措施进行了深入的探讨。
作为长期战斗在反在线欺诈第一线的反欺诈专家,Brady先生认为,现在的用户已经对恶意软件、木马以及钓鱼技术有所了解,可以说在意识上认识到这些手段给企业带来何种的安全威胁,但Brady认为,造成上述情况的根本原因在于,可以很容易获得在线欺诈技术和工具,这使得在线欺诈的技术门槛变得相当的低,几乎略懂些安全技术的初学者也能够针对目标实施一次成功的欺诈行为。
另一方面,在线欺诈技术经过不断的演变,不断地推陈出新,使得旧有的攻击以更加新颖的方式在一些新的领域和地方得以成功实施,也成为IT经理们面对在线欺诈很头疼的原因之一。据Brady介绍,诸如“语音”“移动电话”等原本可靠受信的渠道也正在遭受侵害,演变成全新的攻击形式:语音钓鱼和短信钓鱼等。
当前在线网络欺诈的发展趋势和特点:
除此攻击以新的形式出现以外,在谈到目前在线欺诈的趋势和变化时,Brady还向51CTO.com记者总结了以下特点:
◆欺诈工具更容易得到,欺诈变得更加简单
◆欺诈目标更明确,攻击渠道多样化
◆欺诈已经从收集阶段演变到实时获取阶段
(51CTO.com注:目前的大部分攻击已经变得具备相当强的交互性,并能自动完成注入,如中间人攻击。)
◆攻击者追求高风险,高回报的大买卖
◆针对IP和企业账户的攻击和欺诈越来越严重
◆瞄准非金融机的攻击逐渐增加,大量的敏感数据
◆网络欺诈越来越隐蔽,具有相当强的欺骗性,很难被企业发现
◆未来针对移动平台的欺诈行为将会盛行
目前流行的欺诈手段
在众多的欺诈手段当中,在51CTO.com记者看来,网络钓鱼和木马传播是目前最为流行,也是最主要的在线欺诈手段。这一点也得到了Brady先生的认同,他认为大多数的攻击分子或者欺诈分子会仍然使用木马和钓鱼的攻击方式,因为这是他们最熟悉的攻击方式。
但Brady强调,除此之外还有其他一些更为复杂的欺诈者组织,因为他们有钱可以投资,而且有相应的技术资源可以攻击一些更大的目标。同时,Brady也表示,作为企业最敏感的数据集散地,数据库也是目前很多黑客攻击的目标,也是目前企业最大的攻击目标。
而在欺诈手段的演进过程中,中间人攻击目前是最为流行的攻击手段,也是在线木马欺诈金字塔中的塔尖部分。如下图:
图:在线欺诈木马的演进
Local Pharming(域名劫持)叫域名欺诈:比如某人要进入一个网站,但通过这种技术可以把某人引到假的网站。
Keylogger也叫键盘记录:这也是非常常见的技术,在键盘上输入的信息可以被轻易的取走。
Form Grabber形式攫取:现在木马也越来越复杂,这个木马知道自己要攻击的网站,而且只会从某些特定的领域去抓取特定的信息,这需要欺诈者对自己所要攻击的网站有所了解,有网络知识,他们需要写一些脚本。
HTML Injection网页注入:HTML注入是指浏览网站时,将目标网站生成的网页进行修改,要求输入一些额外的信息。
MITB(Man-in-the-browser)中间人攻击:就是从黑客客户端实时获取相应的交易信息。
应对方案:分层次的安全是最佳的保护
事实上,企业在线欺诈还处于萌芽时期,而且网络罪犯只是刚开始认识到其潜在的收益。永远要领先于网络罪犯一步,并且在它们来敲门的时候就解决新威胁是阻止欺诈的关键。
企业的IT经理们应当考虑采用一个分层次的方法实现安全,显然对于降低网络罪犯造成的整体风险是至关重要的。
一个分层次的安全方法有以下3个核心要素:
• 了解威胁的局面
• 利用多因素认证系统来保护登录
• 监控用户的活动和交易
了解威胁的局面
企业必须了解到威胁都针对他们的业务和他们所受的相对风险。通过这样做,他们能够缓解网络欺诈的风险或者甚至完全阻止欺诈的发生。通过收集并共享情报和开发一个广泛的威胁知识库,企业IT经理们能够更好的评估他们自己的漏洞并实施安全解决方案来解决这些漏洞。
利用多因素认证系统来保护登录
用户名和密码的认证系统还不足于保护敏感信息的访问,而今天的威胁局面有着更先进的自然属性。此外,许多国家施加了多个法规要求组织采取第二个强认证形式来保护用户账户和个人信息的访问。多因素认证是防止未经授权的访问获取用户敏感信息和个人信息的重要方法。
监控登录后发生的交易和活动
除了认证系统解决方案能够在用户登录的时候质询他们来确保他们的身份,企业还应当考虑实施一种交易监控解决方案在登录发生后再来分析并质询高风险的交易。交易一般需要更多的细查,并且对组织和他们的客户多提出风险,而不是仅仅是登录到一个账户中的行为。交易监控能够帮助设备可疑的登录后活动并对他们进行标识以便开展进一步的检查。
不过即便是如此严密的防范措施,不一定所有的企业都适用,需要IT经理解决的问题也依然很多,企业面临的障碍也相当明显,如怎样解决企业和非企业能远程访问资源?难以确定访问资源的机器(内部和外部) 是否被恶意软件所侵害,员工在网上冲浪和远程连接时,难以掌握他们的行为和风险……
显然,这些都是目前很多企业IT经理所关注的重点,可以说反在线欺诈的道路还和远,在长期的斗争中,此消彼长的趋势还将继续下去,作为企业神经中枢IT部门应根据自身情况确定反在线欺诈的措施和方法。
