威达发现金融服务组织的一份新报告在全球范围内正面临着越来越多的复杂的网络攻击的黑客使用隐藏的隧道挖掘到公司网络和远程窃取有价值的数据。威达2018聚光灯的报告“一个Equifax-sized数据违反还会再次发生吗?”图表各行业安全漏洞,包括金融服务,尽管网络安全公司花巨资。
六个月,威达Cognito cyberattack-detection平台收集元数据覆盖数以百万计的个人设备除了云从数据中心的工作负载和企业环境。威达的研究发现黑客正在继续追求弱点导致了去年Equifax数据泄露。
金融服务公司在面对隐藏指挥控制隧道的风险明显高于其他产业结合,有超过两倍的隐藏data-exfiltration隧道每10000设备在金融服务和其他行业。在金融服务公司为每10000设备,威达发现23隧道伪装成加密的网络流量。
在报告的发布,SmartBrief赶上克里斯·莫拉莱斯威达安全分析主管,了解更多关于这些发现意味着什么金融服务公司:
为什么有那么多隐藏隧道比在其他行业在金融服务公司吗?
隧道是用来创建一个内部系统和外部主机之间的网络连接限制网络连接时由于使用防火墙、网络地址转换和严格的访问控制。这些都是技术高度采用内部金融机构实施严格控制的运动组织的内部和外部数据的应用程序。隧道提供了一种方法,应用程序可以交流,可以传输的数据在这些环境控制不受阻碍。
隧道还可以使用一个协议,允许通信通常不会限制网络的支持。隐藏的隧道难以检测,因为通讯是隐藏在多个连接,使用正常,一般允许协议。例如,通信可以嵌入文本在get请求,以及头,饼干和其他领域。请求和响应是隐藏在消息在允许的协议。
为什么会有更少的可疑HTTP指挥控制通信在金融服务?
可疑HTTP发生在软件内部主机上启动一个或多个未经批准的web请求一个恶意的网络领域,形成一个模式通常观察到指挥控制通信一个糟糕的演员。
金融服务公司通常有很强的安全访问控制和网络周边监控功能能够发现可疑的HTTP通信,比如与IP防火墙声誉列出已知的不良网站和周边沙箱技术寻找恶意沟通的组织基于先前见过恶意软件。其中大部分在周长可疑通信受阻。这些技术不会抓住每一个可疑的连接,但它们确实大大降低恶意连接的总量。
从内容的角度来看,Equifax违反似乎网络安全专业人士的不断奉献的礼物。你认为什么是最大的教训吗?
最大的教训是,尽管尽了最大努力来阻止攻击,攻击者仍然能够成功地渗透网络。重要的是发现和应对袭击发生时,才造成损害。探测攻击发生时需要监控整个攻击生命周期的能力在最初的感染,包括指挥控制、侦察、横向运动和数据漏出攻击者的行为。
隐藏的隧道存在在所有金融行业客户我们取样使用这些隐藏的隧道合法应用程序在日常业务。这些应用程序需要很好的理解和映射的组织。如果合法应用程序能够绕过企业防火墙,那么攻击者很容易做同样的和隐藏的攻击在正常交通,以避免检测。金融机构应制定使用应用程序和这些是如何工作的。组织还应该监视他们的加密流量(以及加密流量)来识别交通通过恶意行为和滥用的存在隐藏的隧道。
