大型银行迫切需要进行网络安全改革

VSole2023-06-02 09:39:14

越来越多的大型银行开始担心,它们的零售伙伴可能忽视防止金融崩溃的网络安全保护措施。

网络攻击始于混乱。习惯于对价格和利率的变化迅速反应的很多银行交易员表示有些交易难以完成。寻求帮助的电子邮件没有得到回复,一部分原因是系统瘫痪,一部分原因是IT部门更关心的是似乎在其数据库中肆虐的恶意软件,而不是其交易市场的完整性。可能在几个小时内,关于贷款协议、对冲模型、经常账户余额以及其他更神秘的金融信息的大量数据由于遭到网络攻击而丢失,而银行董事会只剩下希望和祈祷,希望这些记录可能保存在任何存储媒介和任何地方,哪怕只有一小部分。

这是金融领域IT安全专业人员的噩梦:一家大型银行可能由于黑客精心策划的网络攻击而濒临崩溃。这种灾难的后果通常在电影和电视剧中描述,但各国央行现在加强了网络安全方面的行动。去年秋天,英格兰银行(BoE)强调了其定期进行的网络安全演习的重要性,并宣布网络攻击是对英国金融部门完整性的最大威胁。从澳大利亚到巴林,各国银行都进行了类似的演习。

这样的演习并不罕见,各国央行经常指责它们的零售伙伴忽视了网络安全。但近年来,威胁环境迅速发生了变化。复杂的国际环境和地缘冲突让人们注意到,一些国家完全有能力发动复杂的网络攻击,以推进自己的国家目标。这些国家通常与网络犯罪集团结盟,并在寻找有利可图的目标进行攻击。

在这方面,银行对于网络攻击者来说越来越具有吸引力。多年来,金融机构将良好实践定义为确保自己的系统得到良好保护。与此同时,很多银行忽视了这样一个事实:它们外包给第三方的系统越来越容易被颠覆。英国格洛斯特郡大学网络安全教授、英国央行前首席信息安全官Buck Rogers表示:“我认为,各国的央行正面临来自政府的压力,要求它们加强网络安全。实际上,金融基础设施现在是至关重要的基础设施,我们需要像对待天然气和电力一样对待它。我认为,人们担心的是,这些东西在什么时候会具体化,从而对各国的经济产生影响?”

并非所有的央行都有这些担忧。国际货币基金组织最近的一项研究发现,在其调查的51个金融管辖区中,有一半以上没有针对金融业的国家网络战略,64%的管辖区没有强制要求进行网络安全测试,甚至没有就银行被黑客入侵之后应该如何做给出指导。此外,那些组织网络安全演习的国家往往把注意力集中在错误的威胁类型上,Contrast Security公司网络战略高级副总裁Tom Kellermann表示,“他们真正关注的是拒绝服务攻击。我不认为这是最坏的情况。”

需要了解网络安全面临的风险

将金融服务业归类为易受网络攻击的行业,乍一看似乎有悖常理。毕竟,现在大多数银行业务都是在网上进行的:因此,确保银行和客户之间的网络线路保持安全已成为开展业务的必要条件。Rogers表示,这种态度有助于金融行业保持在网络安全实践的前沿,主要是因为他们乐于在这个问题上投入大量资金,这是正确的措施,以使其变得更好。

英国央行最近进行的一项调查发现,74%的银行业高管认为,网络攻击对他们的业务构成了最大威胁。不过,让Rogers担心的是,这些高管中有许多人并不完全理解他们所获得的关于如何最好地预防这种情况的建议。Rogers说,“他们是否了解相关的风险管理,是否有适当的缓解措施和流程来管理风险?”

不理解的后果可能会导致金融机构内部关于网络安全的决策过程发生扭曲。Rogers说,“银行的安全决策甚至由非安全人员做出。例如,首席财务官可能决定将人力资源部门的一部分业务外包给第三方软件提供商。除非是资深的首席网络安全官,否则这个决定可能会是错误的。突然之间,银行可能就会面临供应链的风险。”

Rogers补充说,这是一个隐藏的威胁,但行业内外并没有人真正意识到这一点。尽管银行投入了大量的资金来加强网络安全,进而提升零售客户对其业务的信心,但其中很大一部分涉及将关键服务外包给第三方。Kellermann表示:“他们正在拥抱金融科技、API、现代应用程序和多云战略。因此,他们的攻击面变得更大了。”

例如,对Solarwinds公司这样的托管服务提供商(MSP)进行攻击,可能会在一夜之间使多家金融机构的运营陷入瘫痪。Ion Cleared Derivatives公司每天提供处理数百万笔期货交易的软件,其中一起违规事件导致该交易市场瘫痪数日。通过网络攻击构成多个银行系统之间API,为它们提供多向访问,也可以达到同样的目的。Kellermann感叹道,“没有人关注API安全!尽管这样的黑客攻击在2022年同比增长了257%。 ”

他继续说,黑客还可以通过更阴险的方式对银行施加影响。Kellermann说:“如今,大多数网络犯罪的阴谋不仅仅涉及电汇、欺诈或勒索软件。他们真正关注的是针对非公开市场信息,劫持各机构组织的数字化转型,利用勒索软件进行攻击。”这些所谓的水坑攻击,即完全合法的在线基础设施被网络犯罪分子的恶意软件所损害,这一直困扰着很多机构和组织,尤其是现在深陷于长达数十年的数字升级中的许多银行。

这些类型的网络攻击无疑是复杂的,但并不超出流氓国家的能力,他们将西方金融部门视为一个特别脆弱的目标。Kellermann说:“他们可以利用网络犯罪团体的攻击,从而让金融机构损失惨重。”他补充说,一些国家的黑客组织已经针对西方主要金融机构发起了十几次破坏性的网络攻击,只是因为英国和美国情报部门在适当的时候共享了关键情报才被挫败。

Kellerman说,“这是我们没有看到它发生的唯一原因,但他们尝试攻击了14次。”

简而言之,银行业高管需要了解他们面临的威胁要复杂得多。

最佳的压力测试

如果这些网络攻击以另一家托管服务商为目标,或者更糟的是以此为跳板,进入银行更有利可图的部门,可能是为了勒索银行机构,或者泄露敏感信息,会发生什么? Rogers解释说,就后果而言,最坏的情况将是公众对金融部门本身的信心普遍丧失。虽然最初的后果可能很容易通过部署IT安全团队和偶尔的救助来弥补,但其政治影响可能是大规模和持久的。

事实上,最近硅谷银行的倒闭就证明了这种情况,Rogers解释说:“美国一家科技银行倒闭,突然间这可能让英国首相介入,考虑汇丰银行将会如何收购这家银行。”

Rogers表示,任何对银行网络安全弹性的压力测试都需要考虑,网络攻击面已经发生了根本性的变化,对第三方软件提供商的依赖不会消失。他说,“我敢肯定,大公司会有成千上万的关键第三方。未来的压力测试应该包括央行量化和提高对这种风险的认识,以及他们是否有B计划和C计划”。

这需要比以往任何时候都更深入到供应链中。Rogers表示,大多数大型银行在顶级关键供应商方面都做得很好,无论他们在哪里。他担心的是那些低于门槛的银行。金融机构应该诚实地认识到,如果这些规模较小的服务被黑客破坏,影响会有多严重。

一些国家机构在这方面已经采取了一些立法行动:例如,欧洲议会最近通过了《数字操作弹性法案》,要求银行对其第三方安全供应商的网络安全负责。Rogers认为,将所有不同的网络安全压力测试标准结合起来,或许也会有所帮助。这呼应了G20集团金融稳定委员会的类似呼吁。至少对跨国银行来说,就这些规则之间的共性达成一项国际协议,可能会极大地改变它们在某国发生违规行为、但对它们在其他国家的业务产生影响时的定位。

Kellermann强调,银行还需要从根本上重新思考他们如何设计基本的网络安全策略。他们应该不再只考虑保护自己的场所,或者他们总能成功地防止黑客窥探他们的系统。Kellermann说:“他们确实需要颠覆安全模式,从内部进行防御,并真正专注于网络入侵防御。”

这必然涉及在应用程序的运行时保护、网络和基础设施的微分段、扩展的检测响应服务以及最重要的人员方面增加投资。Kellermann认为,如果银行找不到优秀的员工(人们可能听说过全球IT安全技能短缺),那么他们能做的最佳选择就是聘请一家专门从事金融网络安全的托管检测和响应公司。而且,他们不应该害怕在传统上被大多数安全团队视为禁区的地方寻找网络攻击者,例如高管每天使用的电脑。

Rogers还认为,信息交换也需要改进。银行可以组织会议或论坛讨论威胁行为者和攻击媒介,但他们需要以更系统的方式利用这些论坛。Rogers表示,银行需要正确地使用它们。

不过总的来说,Rogers对西方金融机构能够而且将会齐心协力抱有希望。他对英国监管机构的态度尤其感到鼓舞,他认为,在金融领域的网络安全问题上,英国监管机构一直在高度关注。他解释说,如果金融行业能做到这一点,它能够为其他关键基础设施的管理者提供一个积极的榜样,让他们开始重新评估威胁状况。不过,与此同时,银行之间需要就面临的威胁进行沟通。

Rogers说,“我的建议是,让我们更多地进行沟通,交换信息,我们需要更专业。”

网络安全银行
本作品采用《CC 协议》,转载必须注明作者和本文链接
这样的演习并不罕见,各国央行经常指责它们的零售伙伴忽视了网络安全。这些国家通常与网络犯罪集团结盟,并在寻找有利可图的目标进行攻击。英国央行最近进行的一项调查发现,74%的银行业高管认为,网络攻击对他们的业务构成了最大威胁。Rogers解释说,就后果而言,最坏的情况将是公众对金融部门本身的信心普遍丧失。
银行网络安全架构
2022-12-21 14:22:00
它们只是作用的对象不同,认证、授权和审计功能基本是一致的。网络安全架构设计的另一个关键问题在于如何使用AAA服务。这些都是新的AAA解决方案的扩展,包括基于用户健康状态的网络准入和授权解决方案,基于移动客户端管理的BYOD解决方案等。在IPSec的实现框架中,加密、完整性乃至可选的线路认证都是可以一体化实现的。在国内银行一些新部署的承载网上使用MPLSVPN隔离不同安全要求的业务。
为喜迎二十大,由中国人民银行温州市中心支行主办的“2022温州市银行网络安全专项竞赛”,于2022年8月10日-11日在温州银行大楼隆重举行。本次比赛共有来自温州市各银行业总计49支队伍参赛。绿盟科技作为一家专业的网络安全厂商,结合多年的安全实践,已成功多次为网络安全大赛保驾护航。未来,绿盟科技仍将再接再厉、持续创新,为温州市金融业网络安全人才培养和网络与信息化建设贡献安全的力量。
然而,随之而来的安全问题也日益凸显,行业内网络安全事件频繁发生,并呈现出逐年增长的趋势。异构资产协调联动长治潞州农商银行以政策为导向,在以往进行的网络安全建设中,部署了众多安全设备,拥有一定的网络安全资产。因此,长治潞州农商银行亟需提高内网系统日志审计的效率和自动化水平,减轻运维人员的工作负担。
新的PCI DSS增加了关于网络安全控制的更广泛语言。先前版本的标准中,曾特别提到通过防火墙配置来保护持卡人数据环境。此次的新标准对这一点做了扩展。它创造了更大的空间,这可能会给一些银行带来重大转变。
4月6日消息,澳大利亚政府审计局(APRA)正在“加强”对银行的能力的关注,同时也要关注其技术生态系统和其他合作伙伴在面对日益严峻的网络安全威胁时具有韧性的能力。
按照相关性原则,北部湾银行将风控应用进行了全新设计,共拆分成包括决策中心、监控中心、运维中心、管理中心等在内的21个微服务。分拆后,各应用之间耦合度大大降低,每一个微服务都具备完全的独立性,降低了系统复杂度,提高了决策效率,保证了弹性伸缩,部署时间由小时级降低到秒级。借助此次云原生架构升级,北部湾银行同时将内部1600百余台VMware虚拟机由云平台实现统一纳管,实现了业务的平滑切换。
数字时代下,网络安全议题重要性日益凸显。印度作为同样有着庞大网民数量的国家,其网络安全体系对中国有着借鉴意义。当下,印度正从法律法规、政策规划、组织结构、国际合作四个方面加速网络安全体系建设,形成以《信息技术法》为核心的多部门法律体系,以《国家网络安全战略》为中心的政策规划,以总理办公室为枢纽的组织结构,并广泛开展国际合作。从发展趋势来看,印度网络安全体系深受网络犯罪影响,并呈现出体系不平衡的特点
资源整合,灵活认证授权天融信运维安全审计系统可提供灵活的认证鉴权接口,支持多种形式的双因子强认证管理,通过集中纳管所有用户账号与信息资产账号,为客户提供安全可靠、便于管理的认证体系。层层把关,严控敏感操作近年来,因运维人员误操作、恶意操作导致的安全事件时有发生。未来,天融信将不断加大前沿技术研究投入,持续提升自主创新能力与核心竞争力,为金融行业的全面数字化转型保驾护航!
新型攻击目标PROCASH 2050XE ATMs 在发出的安全警报中,全球最大的ATM机制造商Diebold Nixdorf表示,其调查人员发现,欧洲某些国家正在使用一种新的黑盒子攻击。这些袭击迫使比利时储蓄银行阿根廷分行在遭遇两起神秘的ATM机袭击后,于上月关闭了143台ATM机。此次袭击被认为是比利时历史上第一起意外事件,这次攻击使用了Diebold Nixdorf警报中描述的相同技术,攻击者通过USB连接到自动取款机,然后清空取款机。
VSole
网络安全专家