金融機構面臨的信息安全挑戰(zhàn)
數據防護
根據Radware最新的應用及網絡安全報告,保護敏感數據是企業(yè)最關注的問題�����。金融機構需要保護各種各樣的敏感數據——PII�、賬戶憑證、信用卡信息���,以及市場預測����、利率分析���、投資組合等等��。敏感數據在黑市中是非常有價值的��,黑市中關于此類交易的記錄也很多����。對企業(yè)和黑客而言���,數據都是有利可圖的�����。這些黑客可以創(chuàng)建復雜的程序來規(guī)避保護機制并獲取敏感信息���。從防御者的觀點來看�,他們必須明確區(qū)分機器人程序和人類活動(利用基線和行為分析)����,并攔截與命令控制(C&C)服務器之間的信息傳送。
手機銀行
如何以最安全的方式確保簡單友好的用戶體驗���?這需要我們誠實面對問題�。有多少企業(yè)需要在保護網絡或基于Web的服務和應用安全的同時�,保護移動應用的安全?這些應用所使用的所有API又如何呢�����?現(xiàn)在���,再想一下手機銀行——復雜性更高了。許多智能手機很容易遭到各類惡意軟件的攻擊,敏感信息(甚至是用戶名和密碼)都可能暴露在數據收集工具中�����。此外��,移動應用通常會通過API與安裝在設備上的社交媒體���、位置應用和其他應用進行交互��。
SSL挑戰(zhàn)
解決問題的答案顯然是使用加密數據���。事實上,當前很多網站和企業(yè)都在使用100%的SSL/TLS進行信息傳送�。然而,由于處理加密流量需要更多的計算資源�����,因此這就需要進行大量的硬件升級投資�。雖然新密碼可能會引發(fā)高延遲并給傳統(tǒng)系統(tǒng)帶來挑戰(zhàn),但舊密碼卻是不安全的���。重要的是���,企業(yè)要明白���,SSL并不是安全的替代品,由于有很多基于SSL的應用攻擊和DoS攻擊(如洪水或密鑰重新協(xié)商)���,因此也必須監(jiān)控SSL����。因為加密攻擊曾成功擊垮過三分之一的金融機構��。
可用性——針對金融機構的DDoS攻擊的特點
眾所周知�,金融機構很容易引來攻擊者,事實每周都有28%的金融機構遭到攻擊����。Anonymous發(fā)起的OpIcarus就是一項針對股票交易所和中央銀行的攻擊活動。突發(fā)式攻擊對多數緩解解決方案都有效��,因此突發(fā)式攻擊也越來越多�。
對不同攻擊類型的準備程度。來源:Radware 2016-2017年全球應用及網絡安全報告
最常見的的網絡攻擊類型���。來源:Radware 2016-2017年全球應用及網絡安全報告
最常見的應用攻擊類型。來源:Radware 2016-2017年全球應用及網絡安全報告
網絡攻擊造成的損失是想象中的兩倍之多
大多數公司并沒有準確地計算出與網絡攻擊相關的損失。那些經過精確量化的損失評估幾乎是那些沒有量化的損失的兩倍���。金融機構估計網絡攻擊的平均成本為50萬美元�����。
您認為網絡攻擊讓企業(yè)付出了多大代價��?來源:Radware2016-2017年全球應用及網絡安全報告
合規(guī)性:FIPS��、PCI DSS��、GDPR
FIPS和PCI DSS只是金融機構必須遵守的幾個標準����。如果這些機構未能通過審計或出現(xiàn)更糟糕的情況���,如存在安全缺口���,他們就得為不能妥善保護系統(tǒng)而付出很高的代價。而黑客發(fā)起攻擊的成本又很低(當前Darknet中簡單的網絡攻擊即服務工具的零售價僅為幾美元)�。為了能夠考慮到所有風險并提供指導意見,金融機構和監(jiān)管機構都必須跟得上敏捷高效的信息共享和跨平臺整合方法的快速演變�,這對他們而言很具有挑戰(zhàn)性�����。
以下是一些關于如何顯著縮小攻擊范圍并減少網絡攻擊和相關成本的建議:
1.加密——TLS可以用來保護客戶端和API之間的信息傳送��,實現(xiàn)傳輸過程中的傳輸機密性和數據完整性���。
2.員工教育——為了防止內部威脅,特別是BEC(商務郵件入侵)��,企業(yè)一定要確認員工能夠遵守內部和行業(yè)規(guī)章制度��,同時要注意可疑郵件和通訊���,并仔細處理數據��。
3.信息交換——如果不清楚接下來會發(fā)生什么���,在集成第三方應用服務時就不能傳遞任何敏感信息。同樣�����,對輸入數據流進行質疑并過濾可能的注入�、利用和攻擊嘗試也很重要��。
4.實體數據訪問——在HTTP請求行為中應用強授權和多因素身份驗證機制。需要仔細分析并確定權限�。
5.緊急響應計劃——了解什么人在事件發(fā)生時都做了什么。確定風險��,了解其影響��,對關鍵人物進行優(yōu)先級排序并提前實踐���。這將大大縮減事件消除周期�,降低品牌聲譽受損并減少罰款和相關成本��。
