對金融服務(wù)行業(yè)而言,2016年是很艱難的一年。在這一年,金融服務(wù)行業(yè)遭受了4400萬(wàn)次網(wǎng)絡(luò )攻擊,成為了遭受攻擊最多的行業(yè)。
最臭名昭著(zhù)的就是造成孟加拉國中央銀行8100萬(wàn)美元損失的SWIFT漏洞。成功的攻擊鼓勵了犯罪分子們反復發(fā)起攻擊,據報道這些犯罪分子的獲利將近10億美元。與此同時(shí),包括Bitfinex、DAO以及Ethereum在內的比特幣市場(chǎng)也遭到了攻擊。Bitfinix是一家比特幣交易公司,由于多個(gè)錢(qián)包存在的安全漏洞,該公司在一天之內就損失了超過(guò)6500萬(wàn)美元 。
迄今為止,Anonymous也發(fā)起了一項針對金融機構的攻擊活動(dòng),即OpIcarus。活動(dòng)最開(kāi)始只是針對英格蘭銀行和紐約證券交易所的簡(jiǎn)單攻擊,隨后快速演變?yōu)獒槍H貨幣基金組織、中央銀行以及全球證券交易所的成熟多階段DDoS攻擊。今年6月,OpIcarus已經(jīng)進(jìn)入了第五階段。
所有這些攻擊活動(dòng)都將金融服務(wù)行業(yè)推向了Radware攻擊活躍程度圖的中心,而通常處在這一位置的都是政府和服務(wù)提供商。
Radware 2016-2017年全球應用及網(wǎng)絡(luò )安全報告
金融機構面臨的信息安全挑戰
數據防護
根據Radware最新的應用及網(wǎng)絡(luò )安全報告 <https://www.radware.com/social/ert-report-2016/>,保護敏感數據是企業(yè)最關(guān)注的問(wèn)題。金融機構需要保護各種各樣的敏感數據--PII、賬戶(hù)憑證、信用卡信息,以及市場(chǎng)預測、利率分析、投資組合等等。敏感數據在黑市中是非常有價(jià)值的,黑市中關(guān)于此類(lèi)交易的記錄也很多。對企業(yè)和黑客而言,數據都是有利可圖的。這些黑客可以創(chuàng )建復雜的程序來(lái)規避保護機制并獲取敏感信息。從防御者的觀(guān)點(diǎn)來(lái)看,他們必須明確區分機器人程序和人類(lèi)活動(dòng)(利用基線(xiàn)和行為分析),并攔截與命令控制(C&C)服務(wù)器之間的信息傳送。
手機銀行
如何以最安全的方式確保簡(jiǎn)單友好的用戶(hù)體驗?這需要我們誠實(shí)面對問(wèn)題。有多少企業(yè)需要在保護網(wǎng)絡(luò )或基于Web的服務(wù)和應用安全的同時(shí),保護移動(dòng)應用的安全?這些應用所使用的所有API又如何呢?現在,再想一下手機銀行--復雜性更高了。許多智能手機很容易遭到各類(lèi)惡意軟件的攻擊,敏感信息(甚至是用戶(hù)名和密碼)都可能暴露在數據收集工具中。此外,移動(dòng)應用通常會(huì )通過(guò)API與安裝在設備上的社交媒體、位置應用和其他應用進(jìn)行交互。
SSL挑戰
解決問(wèn)題的答案顯然是使用加密數據。事實(shí)上,當前很多網(wǎng)站和企業(yè)都在使用100%的SSL/TLS進(jìn)行信息傳送。然而,由于處理加密流量需要更多的計算資源,因此這就需要進(jìn)行大量的硬件升級投資。雖然新密碼可能會(huì )引發(fā)高延遲并給傳統系統帶來(lái)挑戰,但舊密碼卻是不安全的。重要的是,企業(yè)要明白,SSL并不是安全的替代品,由于有很多基于SSL的應用攻擊和DoS攻擊(如洪水或密鑰重新協(xié)商),因此也必須監控SSL。因為加密攻擊曾成功擊垮過(guò)三分之一的金融機構。
可用性--針對金融機構的DDoS攻擊的特點(diǎn)
眾所周知,金融機構很容易引來(lái)攻擊者,事實(shí)每周都有28%的金融機構遭到攻擊。Anonymous發(fā)起的OpIcarus就是一項針對股票交易所和中央銀行的攻擊活動(dòng)。突發(fā)式攻擊對多數緩解解決方案都有效,因此突發(fā)式攻擊也越來(lái)越多。
對不同攻擊類(lèi)型的準備程度。來(lái)源:Radware 2016-2017年全球應用及網(wǎng)絡(luò )安全報告
最常見(jiàn)的的網(wǎng)絡(luò )攻擊類(lèi)型。來(lái)源:Radware 2016-2017年全球應用及網(wǎng)絡(luò )安全報告
最常見(jiàn)的應用攻擊類(lèi)型。來(lái)源:Radware 2016-2017年全球應用及網(wǎng)絡(luò )安全報告
網(wǎng)絡(luò )攻擊造成的損失是想象中的兩倍之多
大多數公司并沒(méi)有準確地計算出與網(wǎng)絡(luò )攻擊相關(guān)的損失。那些經(jīng)過(guò)精確量化的損失評估幾乎是那些沒(méi)有量化的損失的兩倍。金融機構估計網(wǎng)絡(luò )攻擊的平均成本為50萬(wàn)美元。
您認為網(wǎng)絡(luò )攻擊讓企業(yè)付出了多大代價(jià)?來(lái)源:Radware 2016-2017年全球應用及網(wǎng)絡(luò )安全報告
合規性:FIPS、PCI DSS、GDPR
FIPS和PCI DSS只是金融機構必須遵守的幾個(gè)標準。如果這些機構未能通過(guò)審計或出現更糟糕的情況,如存在安全缺口,他們就得為不能妥善保護系統而付出很高的代價(jià)。而黑客發(fā)起攻擊的成本又很低(當前Darknet中簡(jiǎn)單的網(wǎng)絡(luò )攻擊即服務(wù)工具的零售價(jià)僅為幾美元)。為了能夠考慮到所有風(fēng)險并提供指導意見(jiàn),金融機構和監管機構都必須跟得上敏捷高效的信息共享和跨平臺整合方法的快速演變,這對他們而言很具有挑戰性。
以下是一些關(guān)于如何顯著(zhù)縮小攻擊范圍并減少網(wǎng)絡(luò )攻擊和相關(guān)成本的建議:
- 加密--TLS可以用來(lái)保護客戶(hù)端和API之間的信息傳送,實(shí)現傳輸過(guò)程中的傳輸機密性和數據完整性。
- 員工教育--為了防止內部威脅,特別是BEC(商務(wù)郵件入侵),企業(yè)一定要確認員工能夠遵守內部和行業(yè)規章制度,同時(shí)要注意可疑郵件和通訊,并仔細處理數據。
- 信息交換--如果不清楚接下來(lái)會(huì )發(fā)生什么,在集成第三方應用服務(wù)時(shí)就不能傳遞任何敏感信息。同樣,對輸入數據流進(jìn)行質(zhì)疑并過(guò)濾可能的注入、利用和攻擊嘗試也很重要。
- 實(shí)體數據訪(fǎng)問(wèn)--在HTTP請求行為中應用強授權和多因素身份驗證機制。需要仔細分析并確定權限。
- 緊急響應計劃--了解什么人在事件發(fā)生時(shí)都做了什么。確定風(fēng)險,了解其影響,對關(guān)鍵人物進(jìn)行優(yōu)先級排序并提前實(shí)踐。這將大大縮減事件消除周期,降低品牌聲譽(yù)受損并減少罰款和相關(guān)成本。
關(guān)于Radware
Radware (NASDAQ:RDWR)是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。欲知詳情,請訪(fǎng)問(wèn):www.radware.com.cn <http://www.radware.com.cn>或關(guān)注Radware官方微信:
