最近本港多間銀行相繼出現駭客非法入侵網上證劵戶口的個案,情況實在不容忽視。有個案顯示駭客藉以入侵,試圖測試銀行的資訊安全系統。一旦發現重大漏洞便可利用,以發動分散式阻斷服務(DDoS)攻擊影響銀行運作為由敲詐利益。更甚者,駭客利用攻擊影響銀行服務運作作煙幕,吸引網絡保安人員的注意趁隙非法入侵銀行系統,竊取重要資訊及擅自調動資金進行未經授權的交易。
根據國際電信聯盟(ITU)的2015 年全球網絡安全指數(Global Cybersecurity Index)排名中,香港仍落後於多個國家,得分僅為 0.617。這不僅 與榜首的美國(0.824)有相當差距,而且不及亞太地區多個國家。香港金管局最新數據亦顯示,銀行遭受 DDoS 攻擊的相關案件有上升趨勢,企業管理者必須正視網絡安全的重要性。
國際網路駭客組織匿名者今年五月宣布將重新啟動伊卡洛斯(Icarus)行動,揚言將對壟斷的全球金融體系作發動攻擊。當各國央行及誇國銀行成為頭號目標時、希臘中央銀行及倫敦證劵交易所經已相繼遭受 DDoS 攻擊,亞洲多間銀行及央行絕不能夠輕視目前激增的網絡攻擊風險。可是,銀行很多時都忽視為系統漏洞作定期測試的重要性。銀行需要在系統安全評估、防護設備、網絡監控及應變處理方面作檢視,實行相關措施防範將會突如其來的攻擊:
- 根據修補程序管理標準,定期為 DDoS 漏洞作安全性修補
- 遵循安全編碼標準,確保網上應用程式設計和開發的安全性。
- 透過監測網絡流量及面向互聯網的系統使用率(例如 CPU 使用率,內存使用,HTTP 連接使用)來檢測異常行為
- 備有攻擊監測系統,採用針對 DDoS 攻擊的防護或者 Cleanpipe 服務的供應商,以無間斷運行方式實時偵測攻擊及過濾惡意流量
- 預留及分配額外資源處理 DDoS 攻擊緩解,例如撥備足夠人手處理網絡安全威脅。
- 備有知識及經驗處理不論攻擊的行為和向量(大小和方向)的 DDoS 攻擊
- 備有額外的網絡和系統資源(例如伺服器,設備,頻寬容量等),能夠承受由大規模攻擊所帶來的破壞作好準備。
- 定期進行針對攻擊應變程序的測試,以確保程序的有效性及加強相關人員的培訓
隨著國際恐怖主義的威脅與日俱增,香港作為國際金融中心也無法獨善其身。我們樂見金管局推出網絡防衛計劃,提升銀行的網絡防衛水平,尤其是防衞能力特別薄弱的中小型銀行。不單是金融業,其他受攻擊高危的行業也可效法防衛計劃,主動管理網絡安全,幫助業界制定資訊安全指引及培訓人才,提高香港整體的網絡防衛的意識及水平。企業管理者必須主動防範網絡恐怖主義,防患於未然。
作者:張運達 Donny Chong
Nexusguard 亞太區產品總監
