如何打击网络犯罪？:网络犯罪的打击

　　与金融服务行业的许多IT领导人一样，IT和营销部门高级副总裁Kevin Dougherty同样遇到了垃圾邮件和网络钓鱼骗局。不过，最近一次的遭遇却让他感觉完全被犯罪分子盯上了。
　　那封电子邮件上的发件人姓名让Kevin Dougherty脊背发凉：这封信来自他所在的中部佛罗里达教师联邦信用合作社（CFEFCU）的一名董事会成员。
　　电子邮件言之凿凿地声称：换用新的Visa信用卡的过程出现了问题，当时这名董事会成员在向该信用合作社的顾客推销这种信用卡，一个欺诈邮件督促顾客点击一个链接输入账户信息――其实指向了犯罪分子建立的假冒网站。
　　但真正把Dougherty吓坏的却是星期五下午晚些时候发生的一幕：下午2时左右，信用社网站突然被黑掉，之前，Dougherty已从网站上清除了信用卡换用信息，并发布警示，提醒顾客防范骗局。
　　这时，Dougherty意识到自己遇到了从没见过的问题，这不是传统的网络钓鱼或者垃圾邮件惯用的伎俩，而是有组织的犯罪集团在攻击他的银行。他说：“这种攻击不是随机性的，他们知道我们在处理信用卡，就对我们发动了猛烈攻击。”
　　Dougherty的网站因灾难性的分布式拒绝服务（DDoS）攻击而陷入了瘫痪。高峰时期，攻击者调用全球各地的大批计算机，向他的服务器发送的虚假服务请求每秒钟超过60万个数据包。犯罪分子具有一定的技能，能够同时对Dougherty及其顾客两头发动攻击，这清楚地表明网络犯罪在过去几年里得到了迅猛发展。调研公司Gartner声称，如今网络犯罪成了产值达28亿美元的行当。
　　虽然这个黑色行当的目标基本上是金融服务公司，但有迹象表明犯罪分子开始盯上了新的对象。据反网络钓鱼工作组声称，自今年1月以来，有案可查的网络钓鱼者一直在觊觎“通常不会被盯上的多种类型的网站”，譬如社交网站和赌博网站。
　　随着网络犯罪迎来第二波狂潮，没有编程经验的犯罪分子也能买到非法的套装软件，从而发动狡猾的攻击。单单使用防火墙再也不足以满足信息安全的需要。这不仅仅成了一种IT风险，还成了业务风险。威胁扩大到了IT系统之外，影响着营销、顾客关系、政府法规遵从、保险成本和法律责任等各个方面。要确保信息安全，除了IT人员和一群值得信赖的安全厂商和顾问外，还需要公司各个级别的所有人员了解情况、参与进来、达成共识，这样才能避免问题发生。对付网络犯罪的安全措施应成为公司的灾难和业务连续性方案的一部分，要根据网络犯罪构成的总体威胁来确定安全开支。
　　如果公司只是把安全看成是IT部门的成本和责任，那么根本不会真正准备好应对面临的风险。网上经纪公司Scottrade的CIO Ian Patterson说：“要是你果真遇到了攻击，绝对不是数据丢失或者顾客遭殃这么简单，攻击还会对其他各方面，比如营销、顾客服务以及整个公司带来更大的影响。”
　　
　　网络犯罪的嬗变
　　
　　骗子们仍以获取金钱为目标，不过他们正在设计更高明的手法来达到目的。他们愿意逗留更长的时间，把目标对准不能立即获利的地方。譬如说，今年年初，零售商TJX披露的安全泄密事件经历了一年多之后才浮出水面，犯罪分子曾多次访问TJX的系统，获取顾客的信用卡号码，使用的技术“使我们迄今为止还无法确定去年失窃的文件中有什么内容。”TJX向证券交易委员会提交的年报声称。美国司法部计算机犯罪和知识产权部门的首席副主管Chris Painter说：“新的攻击并不是大张旗鼓地发动的。”
　　网络钓鱼攻击日益使用巧妙的方法来获取信息，就连见多识广的计算机用户也不清楚这些方法。据Gartner声称，随着攻击手段越来越高明，贸然点击的消费者其比例从2004年的18.6%增加到了去年的24.9%。安全顾问兼印第安纳大学的信息科学副教授Markus Jakobsson说：“随着更多的人使用非直接攻击手法，网络犯罪会从金融服务业扩大到其他领域。譬如说，你上了假冒的卡通网站后，该网站可能要求你输入信息，随后利用该信息在eBay上冒充你进行交易。”
　　这种威胁在与日俱增。据Gartner声称，从2004年到2006年，知道自己遭到过网络钓鱼攻击的人的数量翻了一番，从5700万人增至1.09亿人。虽然遭受经济损失的受害者比较少，但每个受害者的损失自2005年以来增加了四倍多，追回经济损失的比例也从2005年的80%下降到了2006年的54%。就算受害者没有遭受经济损失，也面临成本。联邦贸易委员会估计，消费者平均需要30~60个小时才能清理因身份失窃而遭破坏的信用记录。
　　对企业而言，看不见的成本更高。Ponemon Institute曾对56家遇到过顾客个人数据丢失的公司进行了调查，结果发现：与发现攻击、通知顾客、然后帮助顾客解决问题所需的总成本相比（平均而言，每条安全问题的记录为128美元，总共为260万美元），公司因安全泄密事件而遭受的损失超过了40万美元。
　　与此同时，由于消费者担心安全问题，当初对公司来说很有吸引力的使用网络渠道可以节省费用的优点也在渐渐消失。Gartner的一项近期调查发现，23%的网上银行消费者远离了这种渠道，原因是担心安全问题；近2400万人甚至由于担心安全而不考虑网上银行业务。安全软件公司TriCipher的产品解决方案副总裁Tim Renshaw说：“这意味着，你要派员工在银行进行交易，每笔费用的成本为15美元；如果在网上进行交易，那么每笔只需要几美分。”另外，人们对电子邮件的信赖急剧下降，结果电子邮件成了一种靠不住的顾客沟通工具。接受Gartner调查的人员有85%以上声称，对于可疑电子邮件，自己根本不会打开，而是立马删除。Dougherty说，CFEFCU索性放弃了电子邮件。他说:“我们只好重新使用原来的普通邮件。”他强调，普通邮件的成本要比电子邮件高90%，而且速度和灵活性都远远不如后者。
　　
　　对付突如其来的攻击
　　
　　Dougherty在那个恐怖的星期五下午遇到了这些风险，当时一心想窃取Dougherty众多会员身份的那个不法网站成了他当时通向网络世界的惟一窗口。
　　显然，Dougherty要做的第一件事就是阻止攻击。他赶紧请来相关厂商和顾问帮忙，然后设法使CEO相信需要采取重大措施――将使顾客暂时无法通过网络使用账户，直到问题得到完全解决为止。
　　Dougherty希望自己的电信服务提供商BellSouth暂时把那个网站加入黑名单，避开攻击，减轻网站的负担，让他有时间并灵活地采取应变措施来保护自己。但CEO不愿意这么做――没有遇到过攻击的人可能都这样。他说：“CEO希望让网站继续运行，以便可以为会员提供服务。”
　　到了深夜11点，经过一个晚上的对付攻击者、制订策略后，Dougherty终于说服了CEO，把该网站加入黑名单，暂时停止运营，直到次日早上。如果继续以疲倦、情绪化的状态应对，那只会对攻击者有利。他说：“这是心理战术。”
　　到星期六上午，Dougherty请RSA公司精心部署了“围捕”服务，利用自己的网络棒球，查出并清除犯罪分子的网站（共有30多个）。一开始遭到攻击，他就打电话给这家安全厂商。同时，BellSouth开始加强这家信用合作社网站的安全，设法挫败攻击。他还开始与RSA一起规划，为网站添加多因子验证技术。这些解决方案拿出来后，CEO才逐渐适应把网站加入黑名单的决定。他说：“我们与董事会和执行管理小组一起加强了安全意识。”网站到星期六上午就恢复了正常。他说，最后有22名顾客的信息泄漏给了窃贼，共损失“不到五位数”。
　　防火墙还不够
　　Dougherty还清醒地认识到这一事实：在IT安全及它与银行风险和安全战略的联系方面，需要加强与公司主管和董事会之间的沟通。现在他查看银行会议日程表，找出安全内容，然后鼓励其他主管和董事会成员参加。有时候他会陪同。“我与董事会主席一起参加会议，如果有安全报告会，我会说‘何不一起参加这次会议？’然后，要是他有问题，我会在一旁解答。有时，技术会吓跑他们，你就要让他们对技术感到适应。”
　　Dougherty每个月还向主管和董事会发去三四篇安全文章，鼓励他们阅读。他向RSA订购了反欺诈情报信息服务，了解最新威胁及相应对策方面的信息，他还连同这些信息一同发去。他说：“把安全资料发给我的管理小组，这非常重要。”
　　Dougherty还负责员工的培训工作，并且扩大了教育内容，加入了安全的内容。他要求银行的每期新闻季刊至少登一篇安全文章。
　　他认为自己没得选择，因为审计人员变得更严格了。遭到攻击后，这家银行加强了审计力度，进行测试以查找漏洞，包括网上和网下的。分行中的一项测试发现，骗子用不着上网就能获得数据。Dougherty说：“我们让一些人背着显示器，告诉出纳员需要修理电脑。他们在三家分行的出纳员眼皮底下偷窃数据后扬长而去。不过我宁愿让审计人员而不是别人看到这一幕。”
　　由于事关重大，CIO不能局限于这类传统的防御策略，他们还需要一项策略来保护数据。不怀好意的员工或者承包商导致的安全事件总是存在。Fidelity信息服务公司的首席技术官Joe Nackashi说，现在，外部威胁有所加大，这是由于有了移动设备，数据的移动性更强了。这家公司不但为自己存放数据，还为其他金融服务公司存放数据。
　　2004年，Fidelity开始对所有金融数据进行加密，不但包括内部系统中的数据，还包括进出数据中心的任何设备上的数据，包括笔记本电脑、U盘以及大型机使用的磁带。Nackashi说，这样一来，“即使你丢失了数据，要是有人试图恢复数据，数据也是经过加密的。”
　　但加密成本高昂（因为为数据添加额外的加密代码并非易事）、又很复杂，需要确定什么时候由谁使用什么设备在什么地方进行加密，为什么要加密。另外，加密的效果完全取决于最薄弱的那个环节。要是业务合作伙伴和承包商没有遵循同样的流程、使用同样的加密方法，所有加密工作都是白搭。种种困难也许可以解释为什么接受Ponemon Institute调查的企业当中只有16%表示，自己在整个企业定有加密策略。
　　不过更多的公司（包括金融服务业外面的公司）需要考虑加密技术用于保护最敏感的数据。移动设备的增加以及员工能够自行安装及运行软件，这让数据可以绕过防火墙――Nackashi称之为“飞行数据”。
　　虽然Nackashi不愿透露Fidelity在加密方面投入了多少费用，不过这从他为此投入的管理时间上可见一斑。他说：“两年前，恐怕要占用我100%的时间，因为我们当时在规划策略。如今，我们正在实施当中，所以可能只占用30%的时间。”尽管Fidelity有一名专职的首席信息安全官，他是Nackashi的同事。他估计，总的说来，Fidelity的安全人员在过去两年增加了30%。他说：“从我们的角度来看，在这方面不能妥协。干我们这一行，跟慢一点都不行啊！”
　　
　　获得上司的认可
　　
　　安全人员配备及开支方面的这种大幅增长表明，网络犯罪已从烦人的IT问题变成了业务风险。自2004年以来，Scottrade公司的Patterson手下的安全人员从2人增加到了8人，他估计明年人数还会增加一倍多。
　　Patterson认为，谁要是抵制安全开支方面的增长，就需要考虑宏观大局。“要是一小群顾客当中的泄密事件导致我们失去17万~30万名顾客，那该怎么办？这会对公司带来什么后果？大家要达成共识，不管这个数字是多少，你都要确定投资回报。”
　　Patterson催促Scottrade把信息安全与公司的灾难恢复和业务连续性战略联系起来。Patterson说：“我们在卡特里娜飓风期间损失了几家分行。如果你遇到了DDoS攻击，损失会是一样的。你要重新安排调度人员和电话，确保对情况的沟通简单扼要。”与此同时，在CFEFCU，Dougherty请顾问分析数据泄密对公司业务将造成的影响，并把这种分析与公司的灾难恢复战略联系起来。
　　但是，别让CIO成为风险战略的惟一拥护者，不然战略永远不会成功。执行委员会和董事会必须参与到决策过程。“我向执行委员会讲解网络安全时，会拿出一张克里姆林宫的照片，妥不妥当也顾不了那么多了。”Scottrade的Patterson笑着说。这张照片旨在说明俄罗斯是滋生网络犯罪的温床。“业务人员一定要像我这样清醒地认识到这一点。”
　　他加强安全意识的一个办法就是，每个月向执行委员会介绍一系列安全方面的关键绩效指标。譬如说，给出内外漏洞方面的总体报告，并且跟踪入侵报警、监管安全补丁工作，这些由Scottrade总部以及分行的数据中心和硬件来分析。“十八个月前，我们没有跟踪这些信息。”
　　如今，Dougherty的CEO和董事会同样与作为关键业务指标的安全息息相关。最能表明这一点的是，他的网站在今年夏季再次遭到攻击。Dougherty说，攻击在短短几个小时之内就被击败了，这归功于他落实的新战略，但也要归功于用不着与CEO或者董事会为任何新战略而争论。他说：“他们要了解发生的情况，而且要知道采取了应对措施。”