书名:金融网络安全
ISBN:978-7-115-56606-5
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 [阿联酋] 厄尔达•奥兹卡亚(Erdal Ozkaya)
[阿联酋] 米拉德•阿斯兰纳(Milad Aslaner)
译 杨乐涵 马 伟
审 校 钱晓斌
责任编辑 胡俊英
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
Copyright ©2019 Packt Publishing. First published in the English language under the title Hands-On Cybersecurity for Finance.
All rights reserved.
本书由英国Packt Publishing公司授权人民邮电出版社出版。未经出版者书面许可,对本书的任何部分不得以任何方式或任何手段复制和传播。
版权所有,侵权必究。
本书围绕网络安全话题展开,涉及网络安全与经济、网络攻击手段、恶意软件、金融诈骗、威胁及漏洞管理、银行业面临的网络安全问题、风险管理、事件管理、数据保护、区块链技术、人工智能与网络安全、量子技术等热点,全面而系统地分析了全球网络安全态势,揭示了金融行业面临的网络安全挑战。
本书从金融视角全面解读网络安全,适合金融服务领域的安全架构师、风险管理人员、渗透测试人员阅读,也适合对网络安全感兴趣的读者阅读。
很荣幸,受人民邮电出版社之邀审校《金融网络安全》一书。
网络安全是一个广谱的技术体系,覆盖了从密码学、VPN(虚拟专用网)到网络攻防、社会工程学、法律文化的方方面面。尤具挑战性的是,网络安全不可能超越现实而抽象存在,它必须深植于社会各行业的各种应用场景之中。而我们需要应对与解决的安全问题,究其背后的原因,可能是政治军事、经济利益、文化差异,也可能是意识薄弱、代码质量参差不齐、协议漏洞、管理纰漏,诸如此类,更有“道高一尺、魔高一丈”的谶语,让网络安全变得更加错综复杂、千变万化。
因此,面对日新月异的网络安全形势,网络安全从业者就需要不断学习、持续积累、因地制宜、实事求是。如何结合自己的行业专业背景,强化网络安全思维与实战能力,也显得非常重要。上述需求也将行业化的网络安全理论知识与实战技能总结提上了日程。
在审校过程中,我作为第一读者,对人民邮电出版社选译的这本《金融网络安全》进行了仔细研读。总体上,我认为这本书在网络安全与金融行业的交叉领域作了系统、有益的探索,对于非网络安全专业人员来说,可以据此一窥网络安全的门径,对金融行业的网络安全从业者来说,则可以通过本书更全面地掌握金融网络安全的主要脉络。
本书的写作风格是“既见树木,又见森林,深入浅出、平易近人”。两位作者将网络安全的各个分支条分缕析,叙述层次极为分明,文字内容要言不繁。同时,将金融行业中的常见网络安全问题与安全技术应用贯穿全书,进行了完整刻画与总结分析,如信用卡欺诈、金融木马、ATM(自动柜员机)与POS(销售点)攻击、金融诈骗、网上银行系统攻击等,书中不乏精彩的案例。
显然,两位原著作者认为,金融技术的快速发展会让网络安全的前沿技术得到 广泛应用,因此,全书最后3章展开讨论了区块链、人工智能、量子技术等与 网络安全相关的前沿技术。
本书未对金融网络安全重大技术内容展开深入讨论,据我个人揣摩,很大程度上是受本书篇幅与定位所限。当然,目前这种内容深度的把控很容易让本书成为金融网络安全入门读本。
最后,审校者提醒本书读者:网络安全是一个内容庞杂的领域,正在日新月异地发展,著者与读者在政治、法律、文化甚至技术等多个方面的学识与立场难免存在种种差异,译者为忠于原著而在本书中保留下来的某些著者观点请读者认真辨析。
钱晓斌(笔名“文武”)
2021年3月28日
杨乐涵,思特沃克(ThoughtWorks)高级安全咨询师,拥有7年信息安全行业经验与开发经验,专注于内建安全、企业安全攻防与建设,是一名应用安全漏洞挖掘爱好者。
马伟,思特沃克(ThoughtWorks)中国区信息安全团队负责人,资深安全咨询师,OWASP开源项目代码贡献者。长期专注于应用安全技术与实践,对如何将安全实践融入到敏捷开发之中有深入的研究和实践经验。
钱晓斌,国内知名网络安全专家,原华为安全研究部部长、企业网络产品线首席安全架构师,现任国卫信安CTO、中国工程院中国电子与信息工程科技发展战略研究中心专家委员会特聘专家、教育部高等学校网络安全专业教学指导委员会秘书。长期关注网络安全前沿技术,网络安全人才培养。
谨以本书献给我的妻子和孩子!感谢我的妻子,因为她,我才能成为今天的我;感谢我的儿子,他是我最好的朋友和支持者;感谢我的女儿,她是我最好的朋友和能量的来源。
——厄尔达•奥兹卡亚(Erdal Ozkaya)
谨以本书献给我生命中最重要的3个女人:我的母亲,她一直照顾着我;我的妹妹,她帮助我成为一个更好的人;我的妻子,她让我意识到生命中什么才是真正重要的。
——米拉德•阿斯兰纳(Milad Aslaner)
随着网络犯罪给关键商业基础设施、全球经济和金融稳定带来的威胁不断增长,所有的行业、地区和部门都需要保持警惕并妥善应对。金融服务企业可以借助许多工具和技术来保护其基础设施、数据和人员,使其不受损害。对大型的全球性企业来说,可用的解决方案数量非常庞大,即使对那些处于发展中、资金不充裕、安全部门人员不足的企业来说也是如此。久而久之,人们就会以为这类技术和工具似乎已经过剩。在本书中,两位作者全面探讨了如何防御全球金融企业当前面对的和正在出现的安全威胁。他们关注网络弹性和网络卫生(Cyber Hygiene)的基础,并给出实际的建议以降低复杂性。随着全球安全威胁的数量和复杂性不断增加,做好基础工作往往很重要。先进的工具固然是有价值的,然而在构建和运行可扩展的、可持续的安全的应用程序的过程中,流程、人员和工具的配合是我们能够长期获得成功的关键。两位作者都分享了与之相关的、具体实施的经验,我鼓励读者以务实的态度来阅读这本书,同时将其视为在未来成功构建安全的应用程序的基石。
——安•约翰逊(Ann S. Johnson)
微软副总裁
厄尔达•奥兹卡亚(Erdal Ozkaya)博士是一位网络安全专业人员,擅长业务开发、管理和学术研究。他致力于保护网络空间安全,并以安全顾问、演讲者、讲师和作者的身份分享自己的知识。Erdal非常热衷于参与社区中与提升网络安全意识相关的活动。他利用创新的方法和技术来解决世界各地的个人和企业对信息安全以及隐私的需求。他与其他人合著了许多与网络安全相关的书籍,并编写了针对不同供应商的安全认证课件和试题。同时,Erdal还是澳大利亚查尔斯特大学的兼职讲师。
非常感谢我的家人和朋友,你们与我分享反馈并帮助我变得更好。当我回首至今的人生时,你们永远是我回忆中最美好的一部分。我向你们保证,无论你们何时需要我,我一定会在你们身边,正如你们一如既往地陪伴我那样。我不会特别提到某个人的名字,因为我不想遗漏你们中的任何一个,但你们一定知道我说的是谁。
米拉德•阿斯兰纳(Milad Aslaner)是一位安全专家,在项目管理和软件工程方面拥有10多年的丰富经验。他曾编写过多部与社会工程、网络安全的实际应用以及金融服务行业中的网络安全相关的资料与图书,技术涉及端点检测和响应(EDR)、威胁及脆弱性管理(TVM)、事件响应、攻防技术。他在2012年加入微软,领导了Surface Book和Laptop的商业软件开发团队,并建立了Surface企业管理模式(SEMM)等安全功能。作为一名高级安全项目经理,他致力于实现新方案以应对战略性企业客户的需求,从而保护微软的客户免受不断发展的安全威胁。
爱因斯坦曾经说过:“当你停止学习,你就会开始‘死亡’。”我很赞同这句话,这也是我开始写作的动力之一。我还记得我在写第1章时,就想象着读者会如何消化这些知识并由此取得更大的成功,而我也因此感到自豪和骄傲。当然,这一切都离不开我的家人、朋友和同事。
阿迪亚•穆克吉(Aditya Mukherjee)博士是一名资深的网络安全专家,拥有超过11年的行业经验,曾为多家财富500强企业和政府实体提供安全咨询服务,管理专注于客户关系的大型团队,并建立服务线路。他的职业生涯始于一名企业家,他的专长是实施网络安全解决方案/网络转型项目,并应对与安全架构、框架和政策相关的挑战。在职业生涯中,他获得了各种行业的认可和奖项,其中最近的是2018年最具创新力/最具活力的CISO、年度网络护卫,以及卓越的管理领域荣誉博士。
我要感谢所有支持我的人,尤其是我的母亲,如果没有她的支持,我难以获得这些成就。感谢本书的两位作者,他们辛勤地工作和奉献,才创造了书中优秀的内容。另外,非常感谢Packt团队营造了一个非常棒的学习环境,以及德拉什蒂(Drashti)的大力支持,在他们的付出下,本书才能最终呈现在你的面前。
库纳尔•塞加尔(Kunal Sehgal)在过去15年里一直在金融机构担任重要的网络安全角色,同时他也是热心的博客作者和议题分享者,经常在亚洲发表与网络相关的话题。他拥有旁遮普大学计算机应用专业的学士学位,以及格鲁吉亚信息与网络安全学院的硕士学位。他还拥有众多与网络安全相关的认证,包括国际认证信息系统审计师(CISA)、信息系统安全专业认证(CISSP)、认证信息安全经理(CISM)、Tenable Nessus审计师认证(TCNA)、云计算安全知识认证(CCSK)、ISO 27001首席审计师、Offensive安全专家认证(OSCP)、CompTIA Security+等。
谨以本书献给我亲爱的女儿。
本书将带领读者循序渐进地了解金融网络安全,并学习如何保护企业免受这些威胁。本书将通过一些真实场景的案例,讲解如何应对和解决金融网络安全威胁。读者在阅读的过程中,将了解到不同类型的安全漏洞和缺陷(包括人为风险因素),并可以从安全专家的角度剖析攻击者。在本书的最后,读者将获得洞察网络安全未来的能力,以及在保护金融服务和相关基础设施方面的实践经验。
如果你是一名安全架构师、网络安全风险管理人员或想要保护企业网络安全的渗透测试人员,那么本书正适合你。
第1章,网络安全与经济。本章将概述当前与金融行业相关的技术、基础设施,以及成为网络犯罪主要目标的整体金融行业。
第2章,网络的攻击者。本章将对攻击者和网络犯罪给出深入的解释,并涵盖相关的案例研究。
第3章,成本计算。本章主要分析网络安全专家的报告,涵盖与网络攻击和网络安全相关的成本计算。
第4章,威胁态势。本章简要讨论对最终用户和金融机构的威胁。
第5章,利用网络钓鱼、垃圾邮件以及金融诈骗窃取数据和资金。本章将为读者深入介绍恶意技术是如何被攻击者用来获取敏感信息的。
第6章,恶意软件。本章将介绍不同的恶意软件类别,并解释它们是如何传播的,这有助于规划防御策略。
第7章,漏洞和漏洞利用程序。本章将深入探讨不同的漏洞利用技术,如缓冲区溢出、竞态条件、内存破坏,并解释攻击者是如何实现这些漏洞利用技术的。
第8章,攻击网上银行系统。本章将关注在线金融系统,包括黑客是如何渗透和攻破目标程序的,以及我们该如何实施保护。
第9章,脆弱的网络和服务——入侵入口。本章将介绍网络传输与网络协议对于网络安全的重要性。
第10章,应对服务中断。本章将深入介绍什么是网络安全事件以及如何建立事件响应计划。
第11章,人为因素——失败的治理。本章将介绍影响整个网络安全实施的人为因素,包括标准、策略、配置、架构等。
第12章,安全边界和资产保护。本章将深入介绍最常用的IT外围设备安全模型(单信任网络模型),然后分享对双重信任网络模型的见解,最后介绍零信任网络模型。
第 13 章,威胁及漏洞管理。本章将介绍企业在威胁和漏洞管理中的 3 个关键的流程。
第14章,审计、风险管理以及事件处理。本章将介绍如何使用威胁模型、分析、测试、软件生命周期来保护资产,并实现对软件工程过程的监控以确保质量。
第15章,用于保护数据和服务的加密与密码学技术。本章将介绍早期的加密方法以及后来的发展,同时介绍各种技术以及相关的挑战。
第 16 章,区块链的兴起。本章将介绍当前全球经济面临的重要变化——区块链和加密货币。
第17章,人工智能与网络安全。本章将评估人工智能(AI)的使用增加所带来的影响,这也许会很快成为下一个游戏规则改变者。
第18章,量子与未来。本章将讨论量子计算未来会给区块链带来的改变。
对网络安全工具及其使用方法的基本了解将帮助你充分利用本书。
读者可以在异步社区下载与本书配套的彩图。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区,按书名搜索,进入本书页面,点击“提交勘误”,输入勘误信息,点击“提交”按钮即可。本书的作者和编辑会对您提交的勘误进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们;有意出版图书的作者也可以到异步社区在线投稿(直接访问www.epubit.com/selfpublish/ submission即可)。
如果您所在的学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”是人民邮电出版社旗下IT专业图书社区,致力于出版精品IT技术图书和相关学习产品,为作译者提供优质出版服务。异步社区创办于2015年8月,提供大量精品IT技术图书和电子书,以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。
“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌,依托于人民邮电出版社近40年的计算机图书出版积累和专业编辑团队,相关图书在封面上印有异步图书的Logo。异步图书的出版领域包括软件开发、大数据、人工智能、测试、前端、网络技术等。
异步社区
微信服务号
随着网络攻击的增多,网络安全与经济之间的关系变得越来越紧密。网络攻击使人们逐渐意识到网络安全的重要性。如今,网络攻击已经变得十分广泛且普遍,甚至对某些公司而言,遭受攻击是预料之中的事情。新的攻击在短时间内层出不穷,地下经济的存在是其重要原因,在那里,专业黑客为排队等待中的网络罪犯制造恶意软件并向其售卖。人们已经明显感受到网络攻击的影响,并且有报道称,这些攻击只会变得更恶劣,甚至可能对全球经济造成破坏。在这里,我们将介绍网络安全,并将其与网络攻击和全球经济联系起来。在本章中,我们将讨论以下主题:
网络安全可以概括为旨在维护计算机系统的机密性、完整性和可用性所做出的
努力,它是为保护网络和系统免受网络攻击的实践。
根据网络安全的定义,网络安全是指保护系统、网络和程序免受数字化攻击的实践。这些攻击通常旨在访问、更改或破坏敏感信息,敲诈勒索用户,以及中断正常的业务流程。
如今,实施有效的网络安全措施尤其具有挑战性,因为设备的数量比人还要多,而攻击者也变得更具创新性。网络攻击一直呈上升趋势,其目标是访问、更改或删除数据,甚至出现敲诈勒索和中断正常服务等现象。由于信息技术已被广泛采用以提升业务运行的效率,因此网络安全已成为当今企业非常关注的问题。当前的业务环境包括许多的设备、系统、网络和用户,所有这些都成为网络罪犯的目标,并且网络罪犯们开发并使用了很多有针对性的技术。网络攻击只会变得越来越高效且复杂。因此,对许多企业而言,网络安全正在成为一种生存机制,而不再是可有可无的选项。网络安全具有多个层次,涵盖设备、网络、系统和用户。每一层旨在确保与之相关的目标不会被攻击者破坏。在企业中,这些层可以被概括为3类:人员、流程和技术。
这一类主要包含用户。众所周知,用户是网络安全链中尤其薄弱的一环。不幸的是,网络罪犯也意识到了这一点,并且在攻击时将用户而非系统作为攻击目标。设置弱密码、下载恶意电子邮件中的附件,甚至易于陷入骗局,这些问题都是由用户引发的。
此类别涵盖了企业使用的所有流程,其中可能包括业务流程(例如供应链),攻击者可以利用这些流程将恶意软件植入公司内部。有时,供应链针对的目标是那些能够很好地抵御其他攻击方法的企业。
技术涉及企业使用的设备和软件,它们一直是网络罪犯的首要攻击目标,并且罪犯们已经开发了许多技术来攻击它们。虽然安全公司试图跟上当今技术的进步,但网络罪犯似乎总是占据上风。网络罪犯可以从暗网获取新型恶意软件,并将其用于针对不同技术的攻击。
网络安全的重要性怎么强调都不为过。世界处于相互连接的状态,因此对单个主机或用户的攻击很容易演变成对许多人的攻击。从窃取个人信息到针对目标的敲诈勒索,皆属于网络安全的范畴。对公司而言,很多事情总是处于危险之中。因此,不论是对个人还是对企业,网络安全涵盖的范围都很广,接下来让我们更详细地了解网络安全。
关键基础设施是指面向公众提供服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的系统设施。为了满足当前的需求,这些基础设施必然会被数字化。这无意间使它们成为网络罪犯的目标。因此,必须定期对这些关键系统进行脆弱性评估,以便能够预先避免或减轻可能遭受到的攻击。针对关键基础设施的网络攻击在各地时有发生,常见的被攻击的目标部门涉及交通、电信、能源和工业部门。其中最令人印象深刻的是针对伊朗核设施的攻击,攻击中用到了恶意软件——震网病毒(Stuxnet),该病毒对核设施造成了毁灭性的破坏,这凸显了网络攻击对关键基础设施所造成的影响。
以下内容摘录自一篇描述计算机恶意软件攻击某个核设施的文章。
一旦恶意软件感染了他们的系统,进而有人将受到破坏的数据带入工厂(那里没有直接的互联网访问权限),那么引发混乱则是迟早的事情。尽管你可能会怀疑这一点,但也有证据表明首次入侵并非源自USB驱动器。研究人员发现,在病毒传播到系统的几个小时之前,震网病毒的创造者才将其编译出来,除非有人在那里等着病毒编译完毕并立马通过USB驱动器将其传染到工厂所依赖的某家供应商,否则病毒在侵入工厂之前必定已经在互联网上传播开了。
现如今,没有网络就无法开展业务。由于当前全球经济的很大一部分都由互联网提供支持,因此将自己和互联网隔离的国家或地区在经济上会较为落后。然而,和网络互联也有其自身的缺点,即个人和公司网络会很容易受到未授权访问、恶意软件以及拒绝服务等攻击。一些技术可以被用于在网络上执行某些操作,而这些操作在不使用入侵检测系统等工具的情况下,网络管理员几乎无法检测到。其他网络攻击还包括在传输过程中嗅探数据包、盗窃和污染数据。用来防御网络安全威胁的工具被淹没在需要它们进行过滤的大量网络通信之中。与此同时,这些工具也面临着误报的挑战。正因如此,安全公司正在转向研究诸如机器学习之类的新技术,以使它们能够更有效地检测恶意和异常流量。
云计算是正在被大量采用的新技术之一。云使得企业可以使用到原先由于受到获取和维护资源方面的财务限制而无法使用的资源。与其他备份选项相比,云的可靠性和可用性使其成为首选的备份选项。但是,云在安全性方面也面临着一系列挑战。企业和个人都担心其云存储的数据被盗,且云端早已发生过数据被盗事件。云安全确保云用户的数据受到保护并限制可以访问这些数据的人员。
根据McAfee安全研究结果来看,每4个企业中就有一个成为云数据盗窃的受害者,参见以下信息。
根据网络安全公司McAfee的第三份年度云安全报告,大量企业正在将其数据迁移上云,但并不是每个企业都确信云的安全性。部分原因在于有四分之一的公司遭受了云数据被盗窃的打击。
许多业务流程需要应用程序或系统的支持才能运行。然而,这些系统给企业带来了薄弱环节。如果这些系统被黑客入侵,则可能导致服务或生产活动的中断、商业机密被盗,以及财务损失。Trustwave SpiderLabs在2017年进行的一项研究表明,所有的被随机选择和测试的Web应用程序都至少含有一个安全漏洞。因此,在许多制定了网络安全策略的企业中,应用程序安全正在受到关注。
如前所述,用户是最薄弱的环节,而且由于攻击者使用社会工程学技术来针对他们,因此也特别难以被保护。这些社会工程学技术难以被安全工具阻止。攻击者使用电话、电子邮件或面对面交互等正常互动来接触用户。企业因员工被社会工程学攻击而遭受了大量财务损失。因此,用户安全意识计划已被纳入大多数网络安全策略当中。
物联网(The Internet of Things,IoT)是一种受到安全威胁困扰的新兴技术。尽管存在安全挑战,但物联网技术已被许多企业所采用。处于不安全状态的物联网设备对企业和个人持续构成了威胁。因此,网络安全的范围也被扩展并涵盖此威胁领域。
以下是一些与网络安全相关的术语。
网络安全的目标是确保数据和系统的保密性、完整性和可用性。本节将讨论网络安全的重要性。
自从互联网诞生以来,网络安全一直至关重要。企业中的许多业务流程离不开互联网技术的支持。然而,技术在渗透到日常工作和生活的同时,也给人们带来了安全威胁。随着技术的进步,网络攻击的威胁也在增加,物联网等新技术面临着网络犯罪的严峻挑战。与此同时,网络安全技术也在努力确保使用者不受网络犯罪的危害。基于以下几点原因,企业和个人对网络安全越来越重视。
随着科技的快速发展,网络攻击的数量呈指数级增长。网络安全报告显示,每年发现的新威胁数量在不断上升。地下黑市的一些专业技术人员专注于制造新型恶意软件,然后出售给黑客。网络罪犯花费大量的时间对个人和企业进行背景调查,以找出他们的脆弱点。他们利用社会工程手段完善入侵策略,以攻击更多的受害者。与此同时,用户却并没有为他们自己和他们工作的企业的安全做出改进和承担责任。随着网络攻击技术的发展,确保个人数据、资金和系统安全的唯一希望在于加强网络安全,网络安全的重要性迅速凸显。
和过去相比,网络犯罪的形式发生了改变。如今,网络犯罪的后果往往是毁灭性的,从那些沦为网络攻击受害者的公司状况就可以看出这一点。在确认网络犯罪分子入侵了雅虎的系统并窃取了几十亿用户的数据后,雅虎股价下跌。Ubiquiti Networks公司因攻击者对其员工实施社会工程学攻击而损失了4000多万美元。许多其他顶级公司的敏感数据也曾被黑客窃取,个人也不能幸免。WannaCry勒索软件对150多个国家或地区的企业和个人的计算机进行了加密。总地来说,网络犯罪越来越严重,涉及的资金量也越来越大,大量敏感数据被窃取。网络犯罪的目标并不局限于小型企业,例如优步和雅虎等大公司也已成为受害者。因此,网络安全对企业和个人都至关重要。
网络攻击对全球经济的影响逐渐凸显,全球企业每年因此而遭受的损失多达数十亿美元。《福布斯》杂志提到,在2019年,网络犯罪已经给全球造成约100亿至200亿美元的损失。在2015年,这一数字只有4亿美元。在2015年的估算之前,2013年的早期估算报告称,全球网络犯罪带来的损失仅为1亿美元。可以看出,网络犯罪造成的损失一直在增长。世界经济论坛已经注意到这一点,并对此表示关注。该组织警告称,由于大部分网络犯罪未被发现,这一数字实际上可能会更高。它将工业间谍活动定义为一种犯罪,在这种情况下,许多受害者甚至不知道自己已经沦为受害者。
根据史蒂夫·摩根(Steve Morgan)对网络犯罪成本的估算,从2013年到2015年,网络犯罪带来的损失增长了3倍,而且从2015年到2019年,可能还会再翻两番。Juniper公司认为,截至2019年,消费者生活和工作的快速数字化将使数据泄露带来的损失在全球范围内增加至21×1011美元。
网络犯罪带来的经济损失是网络安全投入所无法比拟的。网络安全的投入变化不大,但网络犯罪带来的经济损失却每年都在增加。据估计,2017年的网络攻击数量较2016年增加了27.4%。
埃森哲(Accenture)对企业在2017年的平均网络犯罪成本估算如图1-1所示。
图1-1
这些数字不仅仅是对当前情况的统计,同时也预测了 2018 年成为网络犯罪受害者的企业数量较2017年还会有所增长。目前,企业遭到网络入侵或恶意软件攻击的平均损失为 240 万美元。然而,这个数字只是一个平均值,部分企业遭受的损失远不止于此。以2015年索尼遭受的攻击为例,该企业因攻击而损失了1500万美元;在Ubiquiti Networks公司的案例中,已经造成超过4000万美元的损失。因此,网络犯罪的平均损失不应被用来描述现实,因为一些公司的损失是平均水平的好几倍。
解决网络攻击问题所需的时间比以往任何时候都要长。目前,从勒索软件攻击中恢复平均需要23天;遭受内部威胁攻击需要50天才能恢复;遭受DDoS攻击只需要几天就能恢复,但到那时已经造成了极大的损害。一般来说,攻击持续时间增加的同时,对受害者造成的影响也在增加。暴露在攻击者面前的时间越长,经济损失就会越严重。
在全球范围内,美国是网络犯罪成本最高的国家。自2017年以来,该国的平均水平一直高于全球平均水平,当时估计为2100万美元。这一估计值比2016年的1700万美元有所增长。网络犯罪成本第二高的国家是德国,从2016年的780万美元增长至2017年的1150万美元。日本位居第三,预估网络犯罪带来的成本为1000万美元。英国、法国和意大利紧随其后,分别为800万美元、790万美元和630万美元。
图1-2所示是埃森哲对网络犯罪成本的估算。
图1-2
网络犯罪还会造成其他无法直接估算的经济损失。客户忠诚度的丧失可能会带来经济上的损失,客户的减少会直接导致收入的减少。失去声誉是导致经济损失的另一个因素,客户不会选择与一家没有安全保障的公司做生意。用户数据丢失后相关案件的法律费用也是公司必须面对的处理黑客攻击的财务支出之一。因此,各类支出使网络犯罪对企业来说代价极高。
网络安全和经济之间有着密切的关系,这表现在两个方面:第一,资金可以用于采购预防网络犯罪的网络安全产品;第二,网络攻击造成了直接的经济损失,一些攻击甚至专门以企业的财务部门为目标。除此之外,首席财务官(Chief Financial Officer,CFO)还必须与企业中的首席信息安全官(Chief Information Security Officer,CISO)密切合作,以确保他们为网络安全工作提供足够的资金支持。如今,经济与IT之间的联系比以往任何时候都更加紧密。
如今,大部分业务的运作都是基于计算机系统的,计算机系统协调来自不同业务线的流程,同时使各个流程更加高效。例如,在一家生产公司中,供应部门必须与生产部门相联系,然后生产部门必须与销售部门相联系。这种类型的链条将确保供应部门在生产部门物料消耗完之前及时补给,生产部门将根据销售情况控制产量,以避免过度生产。为了确保这3个部门持续顺利地运作,企业可能需要集成企业资源规划(Enterprise Resource Planning,ERP)系统。企业资源规划系统将确保当生产部门需要更多物料时自动通知供应部门,生产部门也将获知实际和预测的销售量,以确保不会过度生产。ERP解决方案将为各部门之间的此类协调提供支持。
该案例是企业中实际发生的情况的一个缩影。IT系统将不同的部门连接在一起,当这些系统出现故障时,不同业务线中的业务流程也将受到影响。因此,企业需要确保IT系统在任何时候都能按照预期运行。部门之间的另一个关键联系是内部网络,在不同地区设有分支机构的企业通常希望确保可以轻松访问存储在不同物理位置的数据。为此,企业将建立广域网以让所有分支机构保持连接,如果该网络瘫痪了,许多操作就无法进行。企业中IT基础架构的其他组件对于日常运营也同样重要,如果这些组件处于离线状态,则操作将无法照常进行。为了在当前的商业环境中生存,必须将IT作为一种资源,这已成为大多数企业的常态。在某些行业中,企业拥有的IT系统甚至会决定企业的竞争力。
了解了企业当前对IT基础设施的依赖性之后,就能理解基础设施组件发生故障或受到攻击时会产生的后果。如果没有一些关键组件(例如ERP系统、网络和计算机),业务运营就会被迫停止。IT系统瘫痪的主要原因是网络攻击,当然还有一些其他原因,例如自然灾害、人为错误和正常故障。尽管如此,目前主要关注的还是针对IT基础设施的攻击。攻击者不仅可以造成运营的停止,还可以蓄意破坏基础设施,这会对企业造成严重的影响。因此,企业不得不尽力保护IT基础设施,以避免承受故障所带来的严重后果。
由于网络犯罪的成本上升,全球和地方的经济都蒙受了大量损失。根据McAfee在2018年年初的估计,在这一年,全球经济的国内生产总值(Gross Domestic Product,GDP)将因为网络犯罪而损失0.8%,估计为6000亿美元,预计这一经济损失在2019年会达到万亿美元。在2014年,这一估计值为0.7%,这表明网络犯罪对经济的影响只会越来越大。美国报告的网络犯罪数量相对持续增长,而欧洲的网络犯罪人数上升最快。网络罪犯似乎并不特别关注美国以外的地区,随着时间的推移,黑客活动大量涌入并蔓延到欧洲地区。另外,由于美国一直以来都受到网络犯罪的侵害,因此企业一直在为防范网络攻击做准备。欧洲现在正面临着网络犯罪带来的巨大经济损失,据估计,其区域0.84%的国内生产总值损失在网络犯罪上;而在美国,这一比例为0.78%。
网络犯罪造成经济损失上升的原因有很多。其中一个原因是更多的网络犯罪工具被发布,这些新的网络犯罪工具更加有效。正如1.4.1小节所述,迄今为止最具破坏性的勒索软件攻击之所以成功,是因为黑客组织使用了事发前3个月从美国国家安全局窃取的漏洞。另一个原因是攻击者采用了新的技术,这些技术使他们能够对加密的文件进行解密,并绕过安全防护工具,在不引起警报的情况下获得系统权限等。黑客攻击手法的变化也是造成经济损失上升的原因之一,网络钓鱼就是一个很好的例子。网络钓鱼的攻击手法在不断地发生变化。多年前,网络钓鱼是通过纯文本电子邮件完成的,邮件中往往叙述了一个不幸的事件,并请求收件人为处于危险中的人提供一些帮助。早期的钓鱼邮件常会包含拼写和语法的错误,以及含糊不清的描述。然而,如今的钓鱼邮件伪造成类似合法公司的HTML电子邮件的内容,并包含指向假冒网站的链接,这些假冒网站的外观和交互与合法网站高度相似。受害者并未意识到他们已经把信息交给了黑客,甚至已经将钱转给了黑客。这种攻击技术的革命性发展在其他类型的攻击中也有体现,这导致大量的攻击案例发生,例如2017年美国国税局(Internal Revenue Service,IRS)欺诈的受害者人数约为17万人。这在之前并没有先例,因为当时这类钓鱼攻击还没有发展出来。
银行和金融系统一直是网络犯罪的目标。地下黑市有一些恶意软件可以用来攻击自动取款机,让它们吐出现金;一些恶意软件可以用来拦截用户和银行服务器之间的通信,窃取会话内容或登录信息;一些恶意软件可以在用户访问某些银行网站时,对其进行监视;还有一些网络钓鱼诈骗专门针对某些网上银行和支付系统的用户。这些仅仅是银行所面临的威胁中的一小部分,它们已经改变了银行在风险和安全方面的意识。图1-3所示是PayPal钓鱼邮件的截图。
图1-3
银行不得不升级用于控制其自动取款机的操作系统,以避免出现金钱被盗的恶意攻击。银行认识到,有一些黑客熟悉自动取款机所使用的系统,他们可以轻易地闯入这些系统并直接从机器中窃取金钱。银行也开始意识到,在互联网上以明文形式传输数据存在安全隐患,因此需要切换到安全的HTTPS,以确保从源到目标对数据进行加密,避免用户的登录信息在传输过程中被窃取。这些风险银行过去不必应对,但现在却被迫不得不采取应对措施。反病毒公司正在研发可以和普通浏览器集成的插件,以检测和删除间谍软件,或防止用户在进入网站期间产生任何间谍活动。在过去,间谍软件并不构成威胁,但如今安全公司却必须对此做出回应。至于网络钓鱼诈骗,银行一直在努力提升用户的安全意识,以防止用户陷入网络诈骗陷阱。现在到处可见与PayPal相关的骗局,使用类似于合法PayPal的网站或电子邮件,令许多用户遭受了损失。多年前,这些骗局还不存在,但在如今,银行必须引起重视并确保用户的安全。总之,银行和金融系统发生了许多变化,以应对过去不存在或不那么严重的安全威胁和新的风险。
当企业受到攻击,数据被窃取和泄露时,最终的结果是损失金钱。黑客利用窃取到的数据要挟受害者支付赎金,以此作为不在地下黑市发布或出售数据的条件。这样的案例曾多次发生,一家迪拜银行曾经遭到黑客的威胁,黑客威胁称他们将公布从银行网站上窃取到的数据,银行拒绝支付赎金,结果黑客将这些敏感信息发布到了Twitter上。黑客利用数据泄露赚钱的另一种方式是把数据卖给第三方。当雅虎遭到黑客入侵,几十亿用户的数据被盗时,这些数据被列入黑市出售。暗网上的黑市几乎总是会有被盗的数据出售,即使数据被加密过,也有买家愿意购买。这些买家往往是广告商或其他网络罪犯。广告商将使用窃取到的数据创建用户的档案,以便对某些产品做定向推广;另外,网络罪犯会试图获取用户的详细信息(例如登录凭证),并以此来对用户展开进一步的攻击。
数据泄露也会对企业造成经济损失。如果发生数据泄露,且用户数据或个人身份信息丢失,则用户可以起诉受害企业。收集用户数据的企业有责任保护数据和防止数据被盗。曾有用户在数据泄露后将公司告上法庭的案例,法院通常会站在用户这一边,因为当个人数据被盗时,用户是受害最严重的一方。受害企业也会失去信誉并因此而遭受财务损失。
网络攻击损害公司声誉的一个很好的例子是雅虎。雅虎被网络攻击事件导致了几十亿个账户数据被盗,该公司的声誉和价值显著下降。想要收购雅虎的威瑞森(Verizon)公司将收购该公司的出价削减了3.5亿美元,大量用户从雅虎转向Gmail等竞争对手。如今,由于该事件对人们的影响,愿意成为雅虎用户的人越来越少。雅虎给诸多企业上了一课,让这些企业知道网络攻击会对一个企业的声誉造成多么严重的损害。
因此,黑客入侵造成的声誉损失确实会为企业带来经济的影响,并且比其他类型的攻击(例如物理盗窃)更为严重。声誉损失的第一影响是顾客的流失。雅虎如今已难再拥有该事件发生之前曾占有的市场份额。用户担心自己的数据被黑客窃取,而雅虎一再遭到黑客攻击,让用户不得不怀疑其保护系统和数据安全的能力。该企业处理黑客攻击的方式是造成客户流失的另一个原因,它并没有立即警告用户大量账户数据已被盗。相反,它似乎在对用户隐瞒事实,告诉他们黑客只影响了一小部分账户。当最初的数据发布时,据说只有500个账户被攻击。然而,事实证明,有几十亿个受影响的账户。用户感觉到被欺骗了,攻击并没有得到应有的处理。
数字经济是指通过信息技术进行广泛的经济活动和商业交易。部分传统经济正逐渐向数字经济演变,这使得数字经济在不断地增长。传统经济和数字经济之间的界限是模糊的,许多企业已经开始采用信息技术,使它们的业务能够更快、更高效、更有竞争力地运作。个体也可以成为数字经济的一部分,参与到以前无法参与的任务和交易中。新技术使更多的个体和企业加入这种经济体,物联网、大数据、云计算、无线网络和社交媒体网络的出现,持续吸引着更多的人参与到这种经济中。
然而,在这种经济中也存在着网络安全威胁。除去物理入侵和盗窃,还可以使用与之相似的技术来破坏这种经济。尤其需要注意的是,如果安全防护措施不足,可能导致其无法正常运作。在这种脆弱的经济模式中,网络威胁已成为其面临的最大挑战。在过去的几年里,数字经济面临的网络威胁不断增加,并且其中的一些攻击还会给数字经济带来损失。数字经济面临的威胁似乎只会越来越严重。接下来介绍数字经济面临的威胁的趋势。
随着基于物联网和云计算的智能设备的普及,相应的新型网络威胁也正在出现。由于物联网设备在经济中属于新生事物,尚未对互联网上已存在的威胁进行强化,因此它们受到的攻击更多。如同许多其他的设备,物联网也被连接到互联网中,但由于缺少安全功能,因此它们成为黑客攻击的首选目标。云计算技术也被大量企业广泛采用,黑客也将其专业知识迁移到了这一新领域。云与本地服务器不同,在本地服务器上,企业可以密切监视其应用程序和敏感信息的安全性;如果云供应商遭受攻击,则将造成巨大的损失。
黑客已经证明,他们用一个勒索软件就可以干扰数字经济的正常运行。WannaCry勒索软件就是一个例子,这是一次全球范围的攻击,此次攻击影响了150多个国家或地区。专家称,若不是因为勒索软件的编码者不够谨慎,就无法及时开发出解决方案以避免造成全球范围的恐慌。在短短24小时内,这一勒索软件就造成了公司损失、医院伤亡、个人文件丢失等重大的损失。在那次攻击之后,勒索软件依然是数字经济所面临的严重威胁。据估计,勒索软件的威胁一直在增长,这值得引起全球的关注。
图1-4所示是计算机被WannaCry加密后的画面。
图1-4
对数字经济来说,关键的基础设施若被攻击,就会造成严重的后果。各国越来越多地向公众提供数字化的关键基础设施,这些基础设施可能会受到攻击并导致服务的中断。例如,2017年的WannaCry勒索软件攻击使英国国家医疗服务体系(National Health Service,NHS)瘫痪,医院系统受到影响,医疗预约和手术不得不被推迟,直到攻击得到解决才得以恢复。
本章介绍了网络安全和经济,解释了网络安全的范围、网络安全使用的术语以及网络攻击中的相关参与者。本章还探讨了网络安全的目标,概述了网络安全的重要性及其对全球经济的影响,其中强调了网络威胁带来的经济影响,描述了网络攻击造成的破坏。最后,本章重点讨论了数字经济及其面临的威胁,这些威胁包括智能设备威胁、勒索软件攻击和针对关键基础设施的攻击,所有的这些威胁都可能被大规模实施,从而干扰数字经济的正常运行。
在第2章中,你将了解不同的威胁参与者群体及其动机。