RSA,EMC信息安全事業(yè)部全球副總裁 Ann Johnson
在美國�,銀行100%重視客戶的便利程度,所以在美國很少有向客戶發(fā)放令牌的做法,更多的美國銀行是采用基于風(fēng)險的認(rèn)證和強認(rèn)證的方法�。在中國,看起來銀行用戶對令牌的接受程度還是可以的�,但也制約著一部分用戶的使用。如何平衡網(wǎng)絡(luò)銀行的安全性和便捷性?Ann介紹說�,要想?yún)f(xié)調(diào)者兩者之間的關(guān)系,對銀行來說最好是采用分層的安全方法�。比如部署解決方案檢測用戶登錄的情況,并對客戶的交易進行監(jiān)督����。
保障內(nèi)部及外圍安全 構(gòu)建全面風(fēng)險管理體系
現(xiàn)在無論是中國的銀行還是國際的銀行,在防范外部攻擊方面已經(jīng)做得非常好����。但來自銀行內(nèi)部的威脅開始顯現(xiàn),內(nèi)網(wǎng)的犯罪活動越來越多��。“對于 RSA來說�,最好的解決方案就是部署分層的解決方案,在內(nèi)部需要有足夠的身份認(rèn)證和加密�,以及日志、合規(guī)和治理�。除此之外,像RSA的 NetWitness 的解決方案��,也能夠很好的檢測網(wǎng)絡(luò)上發(fā)生的一切行為的變化。”Ann說到���。
Ann進一步說道銀行構(gòu)建全面風(fēng)險管理體系的三個建議����。
第一�����,銀行業(yè)內(nèi)部必須加強合作����,無論是中國的銀行還是國外的銀行,在這樣一個組織結(jié)構(gòu)里�����,共同分享所面臨的攻擊信息�����。根據(jù)這些攻擊的信息來進行合作����,從而最大限度的減少所遭受的損失。
第二���,作為技術(shù)提供商�,也需要跟銀行之間繼續(xù)加強合作�����,技術(shù)廠商需要提供更多�����、更好的解決方案來供銀行使用�。
第三,安全產(chǎn)品的解決方案�,要運用到更多動態(tài)和智能化的技術(shù)。威脅的不斷變化���,需要更主動的防范措施去應(yīng)對���。
針對移動設(shè)備的網(wǎng)絡(luò)銀行安全策略
Ann認(rèn)為,未來三到五年���,網(wǎng)絡(luò)銀行一定會越來越多的采用移動的方式進行交易�����。調(diào)查顯示�,Android系統(tǒng)是第三季度唯一受到所有新型移動惡意軟件攻擊的操作系統(tǒng)。過去一年針對Android系統(tǒng)上的惡意軟件的數(shù)量增長了400%���,黑客已經(jīng)開始把注意力轉(zhuǎn)移到移動設(shè)備上來了��。
一方面我們看到惡意軟件變得越來越復(fù)雜����,釣魚攻擊也會變得越來越復(fù)雜����。這些針對移動支付的攻擊行為,對銀行來說形成新的挑戰(zhàn)���。如何在未來進一步提升自己在銀行領(lǐng)域的競爭力���,一定要吧注意力放在移動領(lǐng)域的應(yīng)用。Ann強調(diào)���,要預(yù)測一些未來針對移動設(shè)備的攻擊�,需要做最好的準(zhǔn)備和打算,比如自適應(yīng)的解決方案��。同時要對解決方案不斷調(diào)整��,針對不斷涌現(xiàn)出來的威脅進行主動的防范和應(yīng)對�����。
“在移動應(yīng)用中采用強大的一次性口令和基于風(fēng)險的驗證���,有助于消除移動支付的擔(dān)憂。”Ann介紹說���,RSA推出為移動應(yīng)用開發(fā)人員設(shè)計的軟件開發(fā)工具包(SDKs)���,作為基于Web的自適應(yīng)認(rèn)證產(chǎn)品,可以檢測設(shè)備本身���,也可以檢測設(shè)備的位置�����,并且可以從全球的智能信息網(wǎng)絡(luò)里抓取信息�,并基于 RSA的風(fēng)險引擎對用戶進行分析。Ann進一步說到��,這種自適應(yīng)的產(chǎn)品����,最重要的功能就是行為分析,采用行為的算法看使用這些設(shè)備的人����,是不是和平時使用人的習(xí)慣相匹配。另外��,和基于軟件的令牌產(chǎn)品��,在移動產(chǎn)品中集成強大的一次口令和基于風(fēng)險的驗證����,因此可以提高安全性和可信性。
果.jpg)