Radware:金融机构如何应对日益猖獗的网络攻击

2017-09-15 14:55:00 作者:ym 分类 : 比特网

  近日,意大利Unicredit银行遭遇了两次安全漏洞攻击。40万名客户的数据被窃取,包括贷款账号和个人身份信息(PII)。有人怀疑这一事件与第三方的互动有关。此事件是对长期以来针对金融机构的网络攻击的最新报道。但每次攻击都可以给我们一个教训。

  对金融服务行业而言,2016年是很艰难的一年。在这一年,金融服务行业遭受了4400万次网络攻击,成为了遭受攻击最多的行业。

  最臭名昭著的就是造成孟加拉国中央银行8100万美元损失的SWIFT漏洞。成功的攻击鼓励了犯罪分子们反复发起攻击,据报道这些犯罪分子的获利将近10亿美元。与此同时,包括Bitfinex、DAO以及Ethereum在内的比特币市场也遭到了攻击。Bitfinix是一家比特币交易公司,由于多个钱包存在的安全漏洞,该公司在一天之内就损失了超过6500万美元。

  迄今为止,Anonymous也发起了一项针对金融机构的攻击活动,即OpIcarus。活动最开始只是针对英格兰银行和纽约证券交易所的简单攻击,随后快速演变为针对国际货币基金组织、中央银行以及全球证券交易所的成熟多阶段DDoS攻击。今年6月,OpIcarus已经进入了第五阶段。

  所有这些攻击活动都将金融服务行业推向了Radware攻击活跃程度图的中心,而通常处在这一位置的都是政府和服务提供商。

  来源:Radware 2016-2017年全球应用及网络安全报告

  金融机构面临的信息安全挑战

  数据防护

  根据Radware最新的应用及网络安全报告,保护敏感数据是企业最关注的问题。金融机构需要保护各种各样的敏感数据——PII、账户凭证、信用卡信息,以及市场预测、利率分析、投资组合等等。敏感数据在黑市中是非常有价值的,黑市中关于此类交易的记录也很多。对企业和黑客而言,数据都是有利可图的。这些黑客可以创建复杂的程序来规避保护机制并获取敏感信息。从防御者的观点来看,他们必须明确区分机器人程序和人类活动(利用基线和行为分析),并拦截与命令控制(C&C)服务器之间的信息传送。

  手机银行

  如何以最安全的方式确保简单友好的用户体验?这需要我们诚实面对问题。有多少企业需要在保护网络或基于Web的服务和应用安全的同时,保护移动应用的安全?这些应用所使用的所有API又如何呢?现在,再想一下手机银行——复杂性更高了。许多智能手机很容易遭到各类恶意软件的攻击,敏感信息(甚至是用户名和密码)都可能暴露在数据收集工具中。此外,移动应用通常会通过API与安装在设备上的社交媒体、位置应用和其他应用进行交互。

  SSL挑战

  解决问题的答案显然是使用加密数据。事实上,当前很多网站和企业都在使用100%的SSL/TLS进行信息传送。然而,由于处理加密流量需要更多的计算资源,因此这就需要进行大量的硬件升级投资。虽然新密码可能会引发高延迟并给传统系统带来挑战,但旧密码却是不安全的。重要的是,企业要明白,SSL并不是安全的替代品,由于有很多基于SSL的应用攻击和DoS攻击(如洪水或密钥重新协商),因此也必须监控SSL。因为加密攻击曾成功击垮过三分之一的金融机构。

  可用性——针对金融机构的DDoS攻击的特点

  众所周知,金融机构很容易引来攻击者,事实每周都有28%的金融机构遭到攻击。Anonymous发起的OpIcarus就是一项针对股票交易所和中央银行的攻击活动。突发式攻击对多数缓解解决方案都有效,因此突发式攻击也越来越多。

  对不同攻击类型的准备程度。来源:Radware 2016-2017年全球应用及网络安全报告

  最常见的的网络攻击类型。来源:Radware 2016-2017年全球应用及网络安全报告

  最常见的应用攻击类型。来源:Radware 2016-2017年全球应用及网络安全报告

  网络攻击造成的损失是想象中的两倍之多

  大多数公司并没有准确地计算出与网络攻击相关的损失。那些经过精确量化的损失评估几乎是那些没有量化的损失的两倍。金融机构估计网络攻击的平均成本为50万美元。

  您认为网络攻击让企业付出了多大代价?来源:Radware 2016-2017年全球应用及网络安全报告

  合规性:FIPS、PCI DSS、GDPR

  FIPS和PCI DSS只是金融机构必须遵守的几个标准。如果这些机构未能通过审计或出现更糟糕的情况,如存在安全缺口,他们就得为不能妥善保护系统而付出很高的代价。而黑客发起攻击的成本又很低(当前Darknet中简单的网络攻击即服务工具的零售价仅为几美元)。为了能够考虑到所有风险并提供指导意见,金融机构和监管机构都必须跟得上敏捷高效的信息共享和跨平台整合方法的快速演变,这对他们而言很具有挑战性。

  以下是一些关于如何显著缩小攻击范围并减少网络攻击和相关成本的建议:

  1. 加密——TLS可以用来保护客户端和API之间的信息传送,实现传输过程中的传输机密性和数据完整性。

  2. 员工教育——为了防止内部威胁,特别是BEC(商务邮件入侵),企业一定要确认员工能够遵守内部和行业规章制度,同时要注意可疑邮件和通讯,并仔细处理数据。

  3. 信息交换——如果不清楚接下来会发生什么,在集成第三方应用服务时就不能传递任何敏感信息。同样,对输入数据流进行质疑并过滤可能的注入、利用和攻击尝试也很重要。

  4. 实体数据访问——在HTTP请求行为中应用强授权和多因素身份验证机制。需要仔细分析并确定权限。

  5. 紧急响应计划——了解什么人在事件发生时都做了什么。确定风险,了解其影响,对关键人物进行优先级排序并提前实践。这将大大缩减事件消除周期,降低品牌声誉受损并减少罚款和相关成本。

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。