RSA,EMC信息安全事業(yè)部全球副總裁 Ann Johnson
在美國(guó)��,銀行100%重視客戶的便利程度�����,所以在美國(guó)很少有向客戶發(fā)放令牌的做法,更多的美國(guó)銀行是采用基于風(fēng)險(xiǎn)的認(rèn)證和強(qiáng)認(rèn)證的方法���。在中國(guó)���,看起來(lái)銀行用戶對(duì)令牌的接受程度還是可以的,但也制約著一部分用戶的使用����。如何平衡網(wǎng)絡(luò)銀行的安全性和便捷性?Ann介紹說(shuō)����,要想?yún)f(xié)調(diào)者兩者之間的關(guān)系����,對(duì)銀行來(lái)說(shuō)最好是采用分層的安全方法。比如部署解決方案檢測(cè)用戶登錄的情況�,并對(duì)客戶的交易進(jìn)行監(jiān)督。
保障內(nèi)部及外圍安全 構(gòu)建全面風(fēng)險(xiǎn)管理體系
現(xiàn)在無(wú)論是中國(guó)的銀行還是國(guó)際的銀行�,在防范外部攻擊方面已經(jīng)做得非常好。但來(lái)自銀行內(nèi)部的威脅開(kāi)始顯現(xiàn)�����,內(nèi)網(wǎng)的犯罪活動(dòng)越來(lái)越多����。“對(duì)于 RSA來(lái)說(shuō),最好的解決方案就是部署分層的解決方案��,在內(nèi)部需要有足夠的身份認(rèn)證和加密�,以及日志、合規(guī)和治理����。除此之外���,像RSA的 NetWitness 的解決方案,也能夠很好的檢測(cè)網(wǎng)絡(luò)上發(fā)生的一切行為的變化����。”Ann說(shuō)到。
Ann進(jìn)一步說(shuō)道銀行構(gòu)建全面風(fēng)險(xiǎn)管理體系的三個(gè)建議�。
第一,銀行業(yè)內(nèi)部必須加強(qiáng)合作�����,無(wú)論是中國(guó)的銀行還是國(guó)外的銀行��,在這樣一個(gè)組織結(jié)構(gòu)里�,共同分享所面臨的攻擊信息。根據(jù)這些攻擊的信息來(lái)進(jìn)行合作�,從而最大限度的減少所遭受的損失。
第二�����,作為技術(shù)提供商����,也需要跟銀行之間繼續(xù)加強(qiáng)合作,技術(shù)廠商需要提供更多��、更好的解決方案來(lái)供銀行使用��。
第三����,安全產(chǎn)品的解決方案,要運(yùn)用到更多動(dòng)態(tài)和智能化的技術(shù)�。威脅的不斷變化,需要更主動(dòng)的防范措施去應(yīng)對(duì)����。
針對(duì)移動(dòng)設(shè)備的網(wǎng)絡(luò)銀行安全策略
Ann認(rèn)為,未來(lái)三到五年����,網(wǎng)絡(luò)銀行一定會(huì)越來(lái)越多的采用移動(dòng)的方式進(jìn)行交易。調(diào)查顯示�,Android系統(tǒng)是第三季度唯一受到所有新型移動(dòng)惡意軟件攻擊的操作系統(tǒng)。過(guò)去一年針對(duì)Android系統(tǒng)上的惡意軟件的數(shù)量增長(zhǎng)了400%�����,黑客已經(jīng)開(kāi)始把注意力轉(zhuǎn)移到移動(dòng)設(shè)備上來(lái)了。
一方面我們看到惡意軟件變得越來(lái)越復(fù)雜���,釣魚攻擊也會(huì)變得越來(lái)越復(fù)雜���。這些針對(duì)移動(dòng)支付的攻擊行為,對(duì)銀行來(lái)說(shuō)形成新的挑戰(zhàn)�����。如何在未來(lái)進(jìn)一步提升自己在銀行領(lǐng)域的競(jìng)爭(zhēng)力�����,一定要吧注意力放在移動(dòng)領(lǐng)域的應(yīng)用�����。Ann強(qiáng)調(diào)����,要預(yù)測(cè)一些未來(lái)針對(duì)移動(dòng)設(shè)備的攻擊,需要做最好的準(zhǔn)備和打算���,比如自適應(yīng)的解決方案����。同時(shí)要對(duì)解決方案不斷調(diào)整����,針對(duì)不斷涌現(xiàn)出來(lái)的威脅進(jìn)行主動(dòng)的防范和應(yīng)對(duì)。
“在移動(dòng)應(yīng)用中采用強(qiáng)大的一次性口令和基于風(fēng)險(xiǎn)的驗(yàn)證�����,有助于消除移動(dòng)支付的擔(dān)憂����。”Ann介紹說(shuō),RSA推出為移動(dòng)應(yīng)用開(kāi)發(fā)人員設(shè)計(jì)的軟件開(kāi)發(fā)工具包(SDKs)�����,作為基于Web的自適應(yīng)認(rèn)證產(chǎn)品�,可以檢測(cè)設(shè)備本身,也可以檢測(cè)設(shè)備的位置�,并且可以從全球的智能信息網(wǎng)絡(luò)里抓取信息,并基于 RSA的風(fēng)險(xiǎn)引擎對(duì)用戶進(jìn)行分析�����。Ann進(jìn)一步說(shuō)到,這種自適應(yīng)的產(chǎn)品��,最重要的功能就是行為分析�����,采用行為的算法看使用這些設(shè)備的人����,是不是和平時(shí)使用人的習(xí)慣相匹配。另外�����,和基于軟件的令牌產(chǎn)品��,在移動(dòng)產(chǎn)品中集成強(qiáng)大的一次口令和基于風(fēng)險(xiǎn)的驗(yàn)證��,因此可以提高安全性和可信性����。
果.jpg)