美国FINRA《2018年网络安全实践做法精选报告》全文翻译

译评者按：

华盛顿时间2018年12月20日，美国金融业监管局FINRA发布了《2018年网络安全实践做法精选报告》，精选了行业内证券公司五个方面的有效网络安全实践做法。这五个方面分别是：（1）分支机构的网络安全管理；（2）限制网络钓鱼攻击的方法；（3）识别和减轻内部（安全）威胁；（4）强渗透测试方案的具体内容；（5）建立和维护在移动设备上的（安全）控制。此外，除了证券业，其对银行业、保险业、互联网金融等领域的金融从业机构的网络安全实践亦有某种程度上的指引意义。

相比《FINRA 2015年网络安全报告》，该报告更为深度和细化。例如，在“分支机构网络安全管理”这一部分，罗列了有关书面监管程序、资产清单、技术控制和分支机构审查方案的三十多个具体有效的实践做法。在“网络钓鱼”这一部分，重点介绍了如何侦测此类攻击，包括来自看似可靠群体的网络钓鱼，如首席执行官或其他高管、公司服务台、客户或朋友。

其中《附录：小型公司的核心网络安全控制措施》，将对证券经纪交易商（包括小型证券公司）进一步改进其网络安全方案将起到帮助和指引作用。证券公司应该依据公司具体情况（如规模大小）确定合适的网络安全实践做法。“网络安全管理没有一刀切的方法，因此FINRA优先为企业提供（指引）报告和其他（参考）工具以帮助他们确定适合于其自身业务的一套正确的网络安全实践做法，”FINRA华盛顿办事处监管部高级官员Steven Polansky说。他建议小型证券公司查阅《附录：小型公司的核心网络安全控制措施》，以及FINRA之前发布的《小型公司网络安全清单》(Small Firm Cybersecurity Checklist)。

FINRA《2018年网络安全实践做法精选报告》共包括《报告》引介部分和“分支机构控制、网络钓鱼、内部威胁、渗透测试、移动设备”五个方面的网络安全实践做法以及附录部分。《报告》引介部分以及前两方面“分支机构控制、网络钓鱼”，译评者曾在数字科技研究院工作期间已经翻译完毕，为了报告呈现的完整性，现在又在工作繁忙之余，将后三方面“内部威胁、渗透测试、移动设备”以及《附录：小型公司的核心网络安全控制》进行补足翻译，以期对行业网络安全实践起到帮助作用。

以下为翻译内容：

三、内部威胁

内部威胁也是一个重要的网络安全风险，因为内部人员可以规避许多公司控制，并可能导致客户信息和公司数据的重大数据泄露。无论是由于恶意行为（例如计划在暗网上销售客户帐户数据）或无意中的错误（例如注册代表丢失了他/她的笔记本电脑或其他存储媒体与未加密的客户PII），内部人员在对组织造成重大损害方面的有独特的风险。为响应2017年和2018年FINRA的风险控制评估（RCA），绝大多数（95-99％）的高收入公司和66％的中级收入公司表示他们在其网络安全计划中强调了“内部威胁”这一部分。其中，内部人员包括因其工作职能或职位有权或早先获得授权访问公司系统和数据的个人，包括全职和兼职员工、合同或临时员工、顾问和实习生等个人，也可能包括第三方供应商和分包商的员工或承包商。

FINRA观察到，有效的内部威胁控制计划通常将以下内容整合到一个基于风险的总体内部威胁控制计划中：

01、行政领导和管理支持;

02、对拥有特权访问权限的个人设置的身份和访问管理政策和技术控制，包括加强控制;

03、技术控制，包括适用于公司的规模和技术复杂程度的安全信息和事件管理（SIEM）和数据丢失防护（DLP）工具;

04、针对所有内部人员的培训;

05、用于识别公司网络中潜在的异常用户行为的措施。

全面的资产清单也是有效的内部威胁控制计划（以及公司更广泛的网络安全计划）的关键要素，我们在本报告的分支部分以及FINRA的网络安全实践报告（FINRA’s Report on Cybersecurity Practices）中更详细地讨论这一点。

行政领导和管理支持

FINRA观察到，行业内证券公司高级管理人员和管理层有以下有效（网络安全实践）做法：

01、通过个人对要求的遵守，证明其对公司网络安全政策的承诺;

02、指定负责公司内部威胁控制的高级管理人员或经理;

03、对违反政策的所有员工施加影响，无论他们在组织中的职位或地位如何;

04、当访问或权限被更改或员工辞职、调职到其他部门或被终止雇佣时，及时通知;

05、识别潜在恶意内部人员，并创建一个中级管理人员可以解决此类问题的流程，包括将问题升级到高级领导层、调整或取消员工权限、终止对员工雇佣（请参阅以下本报告“识别潜在恶意内部人员”部分）。

身份访问管理和用户权利

有效的身份访问管理（IAM）和用户权利流程可以作为第一道防线，以确保为所有内部用户（包括承包商、顾问、实习生和供应商）分配对系统、应用程序、文件和数据库的适当访问权限。“适当访问权限”要求系统授权与特定的工作职能相匹配，并且仅在“有必要知道（need-to-know）”的基础上进行分配访问权限。IAM需要涵盖访问权限的整个生命周期：用户入职（例如，对特定职能和客户账户的访问权限），调岗和晋升到新部门/职能以及及时为离职员工办理离职程序。IAM还应支持前台和后台用户之间适当的职能隔离（例如，分配到交易柜台的个人不应有访问“电汇或转移资产”的权限，而被指派执行对账的个人不应有更新交易系统的权限）

FINRA观察到，行业内证券公司有以下有效网络安全实践做法：

01、建立和维护WSPs，用以管理系统用户访问的全生命周期（包括员工入职及部门和职位调岗、晋升，以及及时终止和员工、承包商和供应商的合同关系），公司通常根据规定的程序批准访问，并使用可审计的工单系统来记录这些批准决定;

02、对用户权利进行定期审查和认证（例如对所有员工的年度审查，对可获得特别敏感信息或系统权限以及具有特殊访问权限的个人的半年度或季度审查）进行适当的职责分离;

03、实施全面的密码策略和控制措施，包括：使用复杂的密码，在指定的时间段后定期更改密码（旧密码不能重复使用）和一定次数的登录尝试失败后锁定密码;

04、通用ID的禁用和更改（例如供应商提供的“默认用户”和“管理员”ID，以及首次系统安装时使用的密码），要求为每个用户提供单独的ID和强密码;

05、实施自动和快速撤销网络和系统访问权限的策略和流程（例如，一些公司从其人力资源系统到其身份访问管理系统建立自动数据反馈机制，以根据访问角色推动创建和删除基本帐户<（例如活动目录和电子邮件帐户）>）。

用户权限控制

拥有特殊访问权限的用户，意味着潜在的内部威胁加剧。通常，这些用户是服务器、网络和数据库管理员，他们可以访问功能强大的系统命令和实用程序，这使得他们能够复制、删除或更改任何数据文件或系统选项和参数（例如，创建具有广泛系统访问权限的新用户，或升级其他用户或其他系统访问公司信息的权限）。这些用户还可以关闭业务应用程序、网络和进程。此外，参与软件开发、测试、部署和维护的个人可能拥有升级的系统权限。例如，作为其工作职能的一部分，开发人员可能需要能够在其工作台上安装软件和驱动程序。虽然这些人支撑起公司的信息技术基础设施，但他们的职位和特权要求公司建立适当的控制措施，以确保他们只拥有工作职能所必要的特殊权限，而不会滥用他们的特殊权限。

FINRA观察到，行业内证券公司有以下有效（网络安全实践）做法：

01、建立WSPs以对监控特权用户的系统访问活动提出要求;

02、建立一致的结构和流程，以识别特权用户;

03、将特权用户分配给特殊管理组并由其检查活动，以确定特权用户是否参与未经批准活动;

04、根据特权用户的角色对其访问权限做出环节细分，包括但不限于开发、部署、维护、变更管理流程等;

05、部署密码管理工具以对为进入管理会话而使用的一次性密码进行核查，以防止密码“泄漏”;

06、使用SIEM和其他工具收集和监控特权用户的活动日志（下面会进一步讨论）;

07、始终要求特权用户登录时进行多重身份验证。

用于安全信息和事件管理（SIEM）以及用户和机构行为分析（UEBA）的工具

SIEM工具收集、汇总、关联来自众多来源的日志信息，包括但不限于：防火墙，入侵检测和防御系统，服务器和网络设备。公司使用聚合日志来监视各种用户活动和事件。一个SIEM系统可以识别并生成关于风险活动和潜在攻击的警报，以便公司可以对之做出响应并防止敏感信息泄露出公司网络之外。在一些先进的网络安全计划中，公司将机器学习与SIEM工具结合使用，以对基准和不规则行为进行学习和建模，从而提高系统识别潜在恶意行为的能力，包括识别有风险的内部活动。

UEBA工具还可以增强公司检测异常行为的能力。这些工具专注于分析个人用户和机构用户的行为，并且通常包括机器学习功能，该机器学习功能使得工具能够随着时间的推移识别正常和异常行为并且标记后者以供进一步审查。

FINRA观察到，行业内证券公司有以下有效（网络安全实践）做法：

01、建立WSPs以要求从源头捕获系统日志并聚合到SIEM工具中;

02、建立基于风险的方法，识别高风险事件，及时提供警报，并根据约定程序来对事件进行升级;

03、建立当日志源停止向SIEM工具发送数据时的及时通知程序;

04、使用行为分析和其他人工智能系统，及时识别新出现的可疑活动;

05、为SIEM相关规则变更建立正式的变更管理程序;

06、维护SIEM日志以执行历史分析和取证

数据丢失的预防（DLP）

强大的DLP计划可创建预防性控制，有助于检测和缓解内部（和其他）威胁。DLP控制可以防止敏感客户或公司信息被无意或恶意传输给未经授权的收件人。DLP控件通常可以根据规则识别敏感客户信息和公司数据，然后通过电子邮件、数据上载或下载、文件传输或其他方法以阻断或隔离数据传输。有些公司在内部运用DLP软件，而其他一些公司则是通过供应商来支持数据丢失的预防工作。

FINRA观察到，行业内证券公司有以下有效（网络安全实践）做法：

01、建立正式的DLP计划和相配套的WSPs，以监控和防止数据泄露;

02、在允许发送出站电子邮件前要求进行用户验证;

03、建立一致的结构和流程来捕获DLP事件，并在发布之前将其置于隔离状态以便进行合规性审查，例如出站电子邮件和附件或包含敏感信息的文件传输;

04、建立健全DLP规则，以便识别、阻止、加密数据传输，例如对客户帐号、社会保险号、交易记录信息和源代码等（如果违反规则，则通过通知警报提醒进行合规性审查）;

05、制定对敏感数据和文件进行印刷的控制规则;

06、限制数据下载到USB、CD驱动器、SD端口和其他移动设备，阻止对个人网业电子邮件程序、云端文件共享服务提供商、社交媒体网站的访问;

07、对使用个人计算机在家工作的员工和承包商实施强有力的控制，例如要求个人使用多重身份验证和安全的虚拟专用网络（VPN）通道进行登录，以及阻止将公司数据打印、复制、粘贴或保存到个人拥有的计算机、智能手机或平板电脑;

08、安装筛选和识别传入客户呼叫的呼叫验证系统，以确保这些号码不属于已知的欺诈者。

培训

如上所述，FINRA发现的许多数据泄露都是因为善意员工或其他用户犯了可预防性错误。建立一个专注网络安全意识、并提供定期网络安全培训的企业文化可以帮助解决这个问题。

FINRA观察到的行业内有效实践做法包括证券公司在以下方面对员工提供持续而非一次性的培训：

01、对客户的用户名和密码更改、汇款和身份验证请求（特别是涉及转移到海外或第三方的大量资金的请求）进行适当处理;

02、打开电子邮件附件和链接的良好实践做法，包括使用模拟网络钓鱼活动，对未通过练习测试的员工由公司进行记录和重新测试;

03、识别黑客的社交工程陷阱活动。

许多公司观察到，使用本公司或同行公司所发生的实际案例进行培训，可以使得培训对参与者来说更有趣和有效。

识别潜在的恶意内部人员

恶意的内部威胁的处理对于企业来说尤其具有挑战性。企业可能过于自信，他们的招聘实践只能确保“只招聘优秀人才”，心怀不满的员工需要管理层通过日常互动识别。此外，恶意内部人员了解公司的组织形式和薄弱环节，并可以尝试规避公司安全控制。识别恶意内部人员的有效程序通常结合了基于人员、基于流程和基于技术的控制措施。特别是，公司可以监控非技术行为指标，包括但不限于以下内容

雇佣状况

工作状态

个性和个人情况

非法活动

只有在收到警告的时候才认真工作，否则不符合“工作所需要的良好资格”和处于终止雇佣的审查当中

工作状态的变化

个性或行为的急剧变化

犯罪活动的通知或证据迹象

担忧没有职位晋升机会

未经批准或未经授权的缺席

报复的威胁

暴力行为或威胁

对离职的进行讨论或发出离职通知

表现的下降

骚扰

破坏财产

寻找新工作

工作时发生冲突

重大债务负担或经常性财务偿还不能

试图绕过/攻击安全系统

在工作时间和出勤方面存在欺诈

伪造报告或记录

盗窃

除了实施上述部分所列的政策和技术措施外，FINRA还观察到，行业内证券公司有以下有效实践做法：

01、培养强有力的合规文化，鼓励对潜在可疑活动进行秘密报告的行为（例如，“如果你看到什么，就说什么”这样的要求）;

02、对拥有具有较高风险的组合性特殊权限的个人进行定期审查，尤其是在难以维持职责分离的环境中。

四、渗透测试

渗透测试是许多公司网络安全计划中的一个重要方面。该测试模拟公司面临的内部或外部计算机网络攻击，以确定恶意行为者可以利用网络漏洞的程度，并评估公司保护措施的有效性。例如，一个特定的渗透测试类型侧重于公司的网页应用程序，以评估其安全设计和相关数据库的安全性（例如，员工、代表或客户可以登录的公司公共网站，进而可以访问帐户和留存痕迹数据，包括PII或其他机密信息）。渗透测试过程需要对公司的网络、应用程序或其他目标进行主动分析，以了解任何系统弱点和技术缺陷、差距或漏洞。此类测试通常涉及自动扫描工具和手动技术，并且可能包括社交工程。任何已识别的安全问题都将和对其影响的评估结果、风险分类、缓解影响的建议以及技术解决方案一起提交给业务所归者和信息技术管理者。

渗透测试可能会对外部攻击者试图渗透公司系统的行为或内部攻击者试图访问他们不应该访问的资产的行为进行针对性测试。两种类型的测试都可以以不同的模式执行：（1）在测试团队了解系统的某些信息（例如一系列IP地址、正在使用的软件包、用户ID）时使用的“白盒”模式; （2）在测试团队对系统一无所知时使用的“黑盒”模式;或（3）在测试团队获得了关于系统的一些有限信息时使用的“灰盒”模式。

根据2018年美国金融业监管局的《风险控制审查报告》（RCA），所有的高收入公司都将渗透测试作为其整体网络安全计划的一个组成部分。然而，渗透测试的使用与公司规模无关，渗透测试更多的是公司商业模式和技术基础设施的一个功能。例如，渗透测试与提供在线访问客户帐户的公司高度相关。FINR