金融機(jī)構(gòu)面臨的信息安全挑戰(zhàn)
數(shù)據(jù)防護(hù)
根據(jù)Radware最新的應(yīng)用及網(wǎng)絡(luò)安全報(bào)告,保護(hù)敏感數(shù)據(jù)是企業(yè)最關(guān)注的問(wèn)題�。金融機(jī)構(gòu)需要保護(hù)各種各樣的敏感數(shù)據(jù)——PII、賬戶憑證�、信用卡信息,以及市場(chǎng)預(yù)測(cè)���、利率分析���、投資組合等等�。敏感數(shù)據(jù)在黑市中是非常有價(jià)值的�,黑市中關(guān)于此類交易的記錄也很多。對(duì)企業(yè)和黑客而言��,數(shù)據(jù)都是有利可圖的��。這些黑客可以創(chuàng)建復(fù)雜的程序來(lái)規(guī)避保護(hù)機(jī)制并獲取敏感信息�����。從防御者的觀點(diǎn)來(lái)看����,他們必須明確區(qū)分機(jī)器人程序和人類活動(dòng)(利用基線和行為分析),并攔截與命令控制(C&C)服務(wù)器之間的信息傳送��。
手機(jī)銀行
如何以最安全的方式確保簡(jiǎn)單友好的用戶體驗(yàn)��?這需要我們誠(chéng)實(shí)面對(duì)問(wèn)題��。有多少企業(yè)需要在保護(hù)網(wǎng)絡(luò)或基于Web的服務(wù)和應(yīng)用安全的同時(shí)�����,保護(hù)移動(dòng)應(yīng)用的安全���?這些應(yīng)用所使用的所有API又如何呢��?現(xiàn)在��,再想一下手機(jī)銀行——復(fù)雜性更高了�����。許多智能手機(jī)很容易遭到各類惡意軟件的攻擊�,敏感信息(甚至是用戶名和密碼)都可能暴露在數(shù)據(jù)收集工具中�。此外,移動(dòng)應(yīng)用通常會(huì)通過(guò)API與安裝在設(shè)備上的社交媒體����、位置應(yīng)用和其他應(yīng)用進(jìn)行交互。
SSL挑戰(zhàn)
解決問(wèn)題的答案顯然是使用加密數(shù)據(jù)��。事實(shí)上�,當(dāng)前很多網(wǎng)站和企業(yè)都在使用100%的SSL/TLS進(jìn)行信息傳送。然而��,由于處理加密流量需要更多的計(jì)算資源���,因此這就需要進(jìn)行大量的硬件升級(jí)投資��。雖然新密碼可能會(huì)引發(fā)高延遲并給傳統(tǒng)系統(tǒng)帶來(lái)挑戰(zhàn)�����,但舊密碼卻是不安全的�����。重要的是�,企業(yè)要明白,SSL并不是安全的替代品�����,由于有很多基于SSL的應(yīng)用攻擊和DoS攻擊(如洪水或密鑰重新協(xié)商)�,因此也必須監(jiān)控SSL。因?yàn)榧用芄粼晒艨暹^(guò)三分之一的金融機(jī)構(gòu)���。
可用性——針對(duì)金融機(jī)構(gòu)的DDoS攻擊的特點(diǎn)
眾所周知��,金融機(jī)構(gòu)很容易引來(lái)攻擊者�����,事實(shí)每周都有28%的金融機(jī)構(gòu)遭到攻擊��。Anonymous發(fā)起的OpIcarus就是一項(xiàng)針對(duì)股票交易所和中央銀行的攻擊活動(dòng)�。突發(fā)式攻擊對(duì)多數(shù)緩解解決方案都有效,因此突發(fā)式攻擊也越來(lái)越多����。
對(duì)不同攻擊類型的準(zhǔn)備程度。來(lái)源:Radware 2016-2017年全球應(yīng)用及網(wǎng)絡(luò)安全報(bào)告
最常見(jiàn)的的網(wǎng)絡(luò)攻擊類型���。來(lái)源:Radware 2016-2017年全球應(yīng)用及網(wǎng)絡(luò)安全報(bào)告
最常見(jiàn)的應(yīng)用攻擊類型。來(lái)源:Radware 2016-2017年全球應(yīng)用及網(wǎng)絡(luò)安全報(bào)告
網(wǎng)絡(luò)攻擊造成的損失是想象中的兩倍之多
大多數(shù)公司并沒(méi)有準(zhǔn)確地計(jì)算出與網(wǎng)絡(luò)攻擊相關(guān)的損失��。那些經(jīng)過(guò)精確量化的損失評(píng)估幾乎是那些沒(méi)有量化的損失的兩倍��。金融機(jī)構(gòu)估計(jì)網(wǎng)絡(luò)攻擊的平均成本為50萬(wàn)美元�。
您認(rèn)為網(wǎng)絡(luò)攻擊讓企業(yè)付出了多大代價(jià)?來(lái)源:Radware2016-2017年全球應(yīng)用及網(wǎng)絡(luò)安全報(bào)告
合規(guī)性:FIPS�����、PCI DSS��、GDPR
FIPS和PCI DSS只是金融機(jī)構(gòu)必須遵守的幾個(gè)標(biāo)準(zhǔn)�����。如果這些機(jī)構(gòu)未能通過(guò)審計(jì)或出現(xiàn)更糟糕的情況,如存在安全缺口���,他們就得為不能妥善保護(hù)系統(tǒng)而付出很高的代價(jià)�����。而黑客發(fā)起攻擊的成本又很低(當(dāng)前Darknet中簡(jiǎn)單的網(wǎng)絡(luò)攻擊即服務(wù)工具的零售價(jià)僅為幾美元)����。為了能夠考慮到所有風(fēng)險(xiǎn)并提供指導(dǎo)意見(jiàn)���,金融機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)都必須跟得上敏捷高效的信息共享和跨平臺(tái)整合方法的快速演變�,這對(duì)他們而言很具有挑戰(zhàn)性���。
以下是一些關(guān)于如何顯著縮小攻擊范圍并減少網(wǎng)絡(luò)攻擊和相關(guān)成本的建議:
1.加密——TLS可以用來(lái)保護(hù)客戶端和API之間的信息傳送�,實(shí)現(xiàn)傳輸過(guò)程中的傳輸機(jī)密性和數(shù)據(jù)完整性���。
2.員工教育——為了防止內(nèi)部威脅��,特別是BEC(商務(wù)郵件入侵)�,企業(yè)一定要確認(rèn)員工能夠遵守內(nèi)部和行業(yè)規(guī)章制度,同時(shí)要注意可疑郵件和通訊��,并仔細(xì)處理數(shù)據(jù)��。
3.信息交換——如果不清楚接下來(lái)會(huì)發(fā)生什么�����,在集成第三方應(yīng)用服務(wù)時(shí)就不能傳遞任何敏感信息�����。同樣����,對(duì)輸入數(shù)據(jù)流進(jìn)行質(zhì)疑并過(guò)濾可能的注入���、利用和攻擊嘗試也很重要�。
4.實(shí)體數(shù)據(jù)訪問(wèn)——在HTTP請(qǐng)求行為中應(yīng)用強(qiáng)授權(quán)和多因素身份驗(yàn)證機(jī)制�����。需要仔細(xì)分析并確定權(quán)限�。
5.緊急響應(yīng)計(jì)劃——了解什么人在事件發(fā)生時(shí)都做了什么。確定風(fēng)險(xiǎn),了解其影響���,對(duì)關(guān)鍵人物進(jìn)行優(yōu)先級(jí)排序并提前實(shí)踐�����。這將大大縮減事件消除周期��,降低品牌聲譽(yù)受損并減少罰款和相關(guān)成本�。
