ISACA Journal | 环球银行金融电信协会(SWITF)的客户安全计划：对网络安全社区的启示

2016年2月，全球目睹了一场复杂的网络抢劫案，孟加拉国银行与环球银行间金融电信协会(以下简称SWIFT)通信系统接口的计算机终端通过鱼叉式钓鱼电子邮件被攻破。SWIFT是一家全球会员所有的合作社，为金融交易和一系列相关产品和服务提供安全的报文传送服务。孟加拉国银行的一名员工被一名虚构的求职者发送的钓鱼电子邮件所迷惑，该电子邮件邀请用户从网站下载他的简历和求职信。该员工下载了这些文档和恶意软件。这些恶意软件帮助攻击者在内部网络中浏览了数月，并获取了有关网络、运营和用户密码的信息。在2016年2月采取行动之前，攻击者已经在秘密模式下运行了近一年，并发送经过欺诈性认证的SWIFT消息，指示纽约联邦储备银行将资金从孟加拉国转移到其他亚洲国家的账户。幸运的是，攻击者最初的目标是近10亿美元，最终只抽走了8100万美元。到目前为止，这笔钱的大部分还没有追回。

虽然SWIFT也保护自己的网络，但它依赖于分担责任模式，在这种模式下，除了解决人为因素等薄弱环节外，许多关键安全控制必须由客户和用户维护。这起抢劫案引起了所有人的注意，组织机构惊讶于攻击的速度和复杂程度。这导致许多企业立即开始质疑自身组织环境中的网络安全控制。

在这起抢劫案发生后，SWIFT的系统被仔细检查是否存在潜在的安全漏洞。然而，SWIFT声称，其系统并未作为此次攻击的一部分遭到破坏；相反，用户环境遭到了破坏。2016年5月，SWIFT会见了纽约联邦储备银行和孟加拉国银行的代表，他们发表了一份联合声明，同意追求某些共同目标：追回欺诈的全部收益，将肇事者绳之以法，并保护全球金融体系免受此类攻击。

为了实现这些共同目标，SWIFT推出了一个社区驱动的合规计划，该计划鼓励用户保护他们的环境，并培养对更广泛的金融服务社区和整个社会的共同责任感。其他部门、部门社区/监管机构或政府可以利用该计划的关键功能来开发类似的计划，以监控安全控制级别。

图片来源于公共图片库

SWIFT的客户安全计划(以下简称CSP)帮助客户和用户确保他们针对网络攻击的缓解努力是最新的和有效的。用户将他们实施的安全措施与SWIFT的客户安全控制框架(以下简称CSCF)中详细说明的安全措施进行比较，然后每年向SWIFT提交合规性审查结果。

CSCF由针对SWIFT用户的强制安全控制和建议安全控制组成。强制控制为整个社区建立了安全基线。所有用户必须在其本地SWIFT基础设施上实施这些控制。建议控制基于SWIFT向所有用户推荐的实践，但不是必需的。CSCF每年都在发展，在该框架的后续版本中，建议控制经常被转换为强制控制。强制控制和建议控制为如何实施控制以实现特定目标以及如何处理相关的风险因素提供了详细的指导。这些控制被映射到行业标准，例如国际标准化组织(ISO)ISO 27001。如图1所示，SWIFT CSCF的2021版包括三个总体目标，它们与八项原则相关联，并辅之以31项控制措施(22项强制措施和9项建议措施)。

图1：

图2：

图2概述了SWIFT CSCF的目标和原则。

网络安全社区可以借鉴五个关键启示来建立类似的社区主导项目。

SWIFT的CSCF于2016年推出，要求用户在2017年底前遵守。CSCF的第一版引入了16项强制控制和11项建议控制。从那时起，控制和相关指导的数量每年都在修改，截至2021，有22个强制和九个建议控制。10通过从小处着手，每年修订模型，SWIFT能够应对不断变化的网络威胁形势，以及不同技术和SWIFT自身产品和服务的用户环境的多样性。

任何项目要想成功，利益相关者的认同至关重要。这可以通过从小处着手，向利益相关者社区展示积极的结果和快速的胜利来实现。根据这些初步结果，可以获得额外的支持，以实现更大的目标并扩大该倡议的规模。

孟加拉国银行遭到攻击后，很明显，这不是网络攻击是否会发生的问题，而是何时发生的问题。同样明显的是，安全的所有权不能外包给服务提供商或外包合作伙伴。组织有责任确保其拥有的系统和环境的端到端的机密性、完整性和可用性，包括房地产上的每项资产。

通过CSCF，SWIFT教育其用户如何保护其环境，以及需要注意哪些关键风险因素。这还需要用户向SWIFT报告其合规性。向SWIFT报告合规性的行为产生了一种保护环境的义务感，以及所有用户和客户共同承担保护生态系统的责任。这种方法使各方能够尽其所能保护其控制范围内的环境，并帮助构建一个安全的端到端系统。

图片来源于公共图片库

SWIFT的CSP及其信息共享和分析中心（ISAC）让用户能够交流从网络攻击中吸取的经验教训。通过一个专门的安全情报团队，共享有关泄露指标和已知攻击中使用的手法的最新匿名信息，SWIFT的用户和客户可以随时了解不断演变的网络威胁。此外，SWIFT还要求其客户和用户在发生泄露事件时共享网络威胁信息。通过建立有针对性和即时相关性的威胁信息交流渠道，SWIFT让用户能够在不断变化的网络威胁环境中主动识别、检测和应对攻击。

自2016-2017年CSP成立到2020年，SWIFT允许用户对其是否遵守控制进行自我评估，并将结果提交给SWIFT。然而，从2021开始，这些评估必须由独立方进行。11这让用户和客户有足够的时间实施控制，并获得历史数据点，以证明这些控制的成熟度和成功。通过信任用户保护自己的环境、执行自我评估练习并提交结果，SWIFT允许他们参与该计划并自行遵守，而不是采取涉及外部审查的方法。通过向用户提供这种灵活性，合规计划可以展示更好的结果和更广泛的参与，以实现构建安全生态系统的共同目标。

用户提交的合规结果将与各国各自行业的监管机构和监管机构共享。这些合规结果对与之交换金融报文的交易对手也是可见的。因此，通过一项举措，SWIFT将用户、交易对手、监管机构带到了一个共同的平台上，并提供了相同的数据集，以验证是否符合一套共同的控制措施。这确保了透明度和对彼此的责任感，从而促进了对共同目标的协调响应和共同所有权。

图片来源于公共图片库

在2016-2017年CSP开始时，只有77%的用户向SWIFT提交了合规性审查。这一比例逐渐上升，截至2020年7月，这一比例为96%。这些数字可能意义不大，但这一努力肯定加强了金融服务业的网络防御。在该框架推出之前，孟加拉银行抢劫案的大部分资金尚未追回，这一趋势最近已经逆转，现在通过协调应对，追回其他基于SWIFT的网络攻击中的被盗资金是可能的。此外，从SWIFT的测量和监控实践可以看出，自CSP启动以来，受到攻击的资金数量已大幅减少了三倍，这表明，协调一致地应对网络攻击是成功的关键。SWIFT及其用户社区在2016年计划实现的所有努力(即追回欺诈的全部收益，将肇事者绳之以法，并保护全球金融体系免受此类攻击)现在正在实现。

尽管网络威胁的格局一直在变化，但社区是否做好了检测和应对此类威胁的准备是至关重要的。对于希望建立自己的合规计划的政府和行业论坛来说，SWIFT的CSP是一个很好的模式，可以复制它来实现类似的目标。该计划的原则可以作为建立促进协调响应的计划的基础。只要企业继续沿着这条路走下去，他们的防御就会变得更强，网络攻击的影响就会降低。

编者注：本文出自ISACA Journal 2022年第1期。尾注略。文章内容仅代表作者本人观点。

作者：Ninad Dhavase, CISA, 目前受雇于新加坡一家四大咨询企业，拥有12年的网络安全经验，专注于金融服务领域，包括银行、资本市场、保险和支付领域。

翻译：王彪，CDPSE，CDMP，CDSP，CISP-DSG，OCP，ISO27001LA，Azure Data，信息安全工程师(软考)，ISACA微信公众号特邀通讯员，天融信数据安全治理专家

校对：谭辰菲（William Tan），CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理