2018金融行业网络安全热点与对策

百家 作者:绿盟科技 2018-03-01 10:39:41

过去的2017年对金融行业机构的信息安全主管和企业安全团队来说是一个繁忙且艰难的一年。像WannaCry和Petya勒索软件的袭击表明勒索攻击的猖獗;国内多家机构和Equifax的安全事件表明数据泄露的巨大危害性;政府开发的恶意软件和漏洞泄露让犯罪分子获得了更大的能力;新技术的应用如物联网则带来了新的漏洞和新的攻击方式。我们可以预见在新的一年中黑客会更为聪明,仍将有企业和个人因遭受攻击而损失惨重。尽管如此,我们还是应保持谨慎乐观,只要我们不断的进行反思、跟踪最新的技术解决方案和保持持续地投资建设,我们仍然可以更加有效的应对即将发生网络攻击。以下是绿盟君通过观察思考认为2018年金融行业机构应该予以关注的网络安全热点内容,希望能对行业机构的主管和安全团队有所帮助。

合规性遵从(Regulation Compliance)要求日趋严格

请输入标题     bcdef

2017年6月1日《中华人民共和国网络安全法》的正式实施,标志着我国网络安全战略和合规要求进入了一个新的阶段。此后国家网信办相继协同相关部门颁发了包括《关键信息基础设施安全保护条例(征求意见稿)》在内的一系列配套落地法规。金融行业监管机构也根据《国家网络空间安全战略》以及《网络安全法》的精神与要求发布了相关的监管要求并强调行业机构要开展网络安全等级保护建设、完善网络安全治理体系、夯实网络安全基础,提升网络空间防护能力。根据去年国家网络安全工作的开展和整治情况,我们可以看到将会有更多的国家监管机构加入到网络安全监管活动中。监管的力度、检查工作的频度以及处罚的额度都将迈上一个新台阶。因此金融机构的管理层需要对合规遵从的严峻性有一个新的认识。

请输入标题     abcdefg

-

推荐行动

-

尽快开展合规遵从性评估,分析差距和不足,制订可行的落地实施方案并予以实施。在选择评估服务提供商和解决方案时,建议优先考虑服务商的声誉并考虑方案在合规遵从性上的支持性、覆盖性及经济合理性。


云计算安全(Cloud Computing Security)需求持续升温

请输入标题     bcdef

关于云计算,我们可以看到国务院《关于积极推进“互联网+”行动的指导意见》、人民银行《中国金融业信息技术“十三五”发展规划》以及银监会《中国银行业信息科技“十三五”发展规划指导意见》这三份文件中均明确和鼓励金融机构积极研究和利用云计算技术加快金融产品和服务的创新。这些政策和文件的发布极大地加快了金融行业“互联网+”的战略步伐。尽管存在着相关监管合规要求不明确,云计算技术仍处于起步和摸索的阶段等问题,但大量的机构已经张开双臂接受和拥抱云计算。据统计有26%的金融机构已经使用了公有云服务,其中众筹&投融资和小贷P2P的互联网金融领域是主要的云用户。技术实力和经济基础比较强的大中型金融机构则偏向于私有云建设。2017年公安部网络安全保卫局组织,国家信息中心牵头编制了《信息安全技术网络安全等级保护基本要求 第2部分:云计算安全扩展要求》、《信息安全技术 网络安全等级保护测评要求第2部分:云计算安全扩展要求》、《信息安全技术 网络安全等级保护设计技术要求 第2部分:云计算安全扩展要求》三个标准弥补了以前等级保护标准的不足。可以预计随着金融云计算产品和服务应用的发展,监管机构对云计算安全的监管重视,云计算安全将成为行业机构下一步必须考虑的网络安全建设内容。

请输入标题     abcdefg

-

推荐行动

-

租用公有云(或行业云)以及建设私有云的时候考虑以下云安全威胁并开展针对性的建设:不充分的验证、授权和访问管理;不安全的接口和应用程序接口;系统漏洞;恶意的内部人员;账号劫持;数据泄露和丢失;拒绝服务攻击;不安全的配置和设置;滥用和恶意使用云服务。



犯罪及服务(Crime-as-a-Service)依旧猖獗

请输入标题     bcdef

2017年5月WannaCry勒索病毒的爆发感染了全球约20万计算机,不少金融企业也遭受损失。在机构用户认识勒索病毒的同时,为勒索攻击者提供攻击软件和发起攻击的勒索即服务(Ransomware-as-a-service)通过新闻的曝光后也逐渐为机构用户所知晓。实际上除了勒索即服务还有分布式拒绝服务攻击即服务(DDoS-as-a-Service),国内多家监管机构在2017年还为此相继发出安全预警通告。笔者在这里把它们都归为犯罪即服务(Crime-as-a-service)。目前,以上两种服务是17年中最为显著的两类地下攻击服务并给机构用户造成了巨大的损失。以DDoS-as-a-Service为例,一个不超过300秒,攻击流量带宽在125Gbps的DDOS攻击其实施攻击成本为5至6美元,购买该攻击的服务成本约为20美元,但给受害者带来的损失则可能在20000至100000美元的损失(视机构规模和业务而定)。为此,国外执法机构加大了对此类黑客团伙的打击力度。在2017年美国和英国在13个国家共摧毁并抓捕了34个提供DDOS攻击的犯罪团伙。考虑到这两类攻击的泛滥程度和危害程度,笔者把他们列入今年机构需要着重关注的威胁防护内容。

请输入标题     abcdefg

-

推荐行动

-

建议考虑邮件安全防护(主要检测利用钓鱼邮件方式通过邮件附件、正文链接等方式侵入网络和终端的恶意代码)和组合型抗拒绝服务防护机制(包含本地清洗防护、电信运营商清洗防护和专业云端防护)。



以技能和支持(Skill & Support)为核心的安全策略将是未来趋势

请输入标题     bcdef

面对当前伴随新技术新应用而产生的新安全威胁、层出不穷的安全漏洞、利用AI技术提高攻击效率和攻击成功率的攻击方式革新以及供应链引入的连带安全威胁,相信所有的机构用户在进行安全建设上都会时常产生一种应对乏力的疲态感。因此,Gartner机构提出是时候需要改进一些旧有的安全策略。它认为机构需要把原有单纯依靠防护和保护的策略转向以检测、响应和修复为主的安全策略。而支持这个安全策略实施的关键,绿盟君认为在于技能和支持。这里的技能指的是己方安全团队和安全外包团队人员的安全技能。安全人员技能的高低将直接影响事件判断及分析的准确性以及响应与处置的高效性。支持则包括管理和技术两个层面。管理层面指获得来自于C Level管理层对安全的全面认知、充分理解和充足资源支持。技术层面的支持则包括自有工具平台的支持以及外部的技术支持。在这其中,利用AI技术、机器学习、大数据分析等手段的态势感知平台、大数据分析平台以及外部的威胁情报获取和分析将成为提升安全管理运维管理水平与质量的“力量倍增器“。

请输入标题     abcdefg

-

推荐行动

-

通过技能培训提升安全运维人员的实战能力。为企业网络安全建设提供稳定和充足的资源支持。建设自动化搜集、检测、分析等安全平台,解决在人工难以达到的快速性和高效性。建立威胁情报生态机制,提升在威胁态势感知、响应和修复方面的能力。


网络安全险(Cyber Insurance)将收获更多目光

请输入标题     bcdef

2017年依旧发生了许多的重大安全事件。不少安全事件在给企业带来了巨大损失的同时也导致公司高管引咎辞职。Equifax征信公司客户信息泄露就是这样一个典型案例。随着董事会和高管们经历和见证网络攻击的影响,包括收入减少、业务中断,针对董事和官员的索赔以及高管的被迫辞职,不少企业开始认真考虑并着手制定网络保险政策。随着2018年5月欧盟GDPR(General Data Protection Regulation通用数据保护法规)法规的正式生效执行,国外保险机构预计今年保险行业将有5%的增幅。与此相应的是,我国去年正式实施的《网络安全法》是和GDPR具备重大地域影响力的事件。前面已分析过,该法律及配套落地法规对国内企业机构尤其是属于关键信息基础设施定义的行业与机构提出了在网络安全领域上更为严格的标准要求。目前,不少中小金融机构在短时间内难以完全达标并因而面临诸多网络安全风险。因此通过实施企业网络保险政策将有利于部分降低和转移企业面临的网络风险及潜在的风险损失。在此过程中,企业将更加倾向于量身定制的企业网络保险政策,而不是固化于保险政策中的“默认”组件。

请输入标题     abcdefg

-

推荐行动

-

通过安全评估获知机构在网络安全风险方面可转移的范围、转移的内容和可接受的程度。选择具备良好声誉和灵活保险政策的网络保险承保机构。





请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接