亚洲金融服务业是监管最严格的行业之一,合规通常被吹捧为一种安全保障。 然而,合规性只是安全性的一个方面。 各种法规涵盖广泛的问题,但仅仅实施解决方案或设备来处理合规性是不够的。
亚太地区移动设备的日益普及以及随之而来的网上银行的兴起导致网络安全威胁日益复杂。 然而,根据Telstra 的移动身份研究,62% 的金融服务高管表示他们在身份和安全方面投入不够。 不到一半的消费者对其金融机构的安全表现感到满意,因为超过三分之一的消费者经历过身份盗窃。
随着去年摩根大通数据泄露事件、韩国银行大规模信用卡泄露事件等身份盗窃案件的发生,以及2014年身份欺诈导致受害者资金被盗160亿美元,身份盗窃正迅速成为金融服务业面临的一个更严重但仍被低估的威胁。
攻击面和复杂性的增加
由于攻击面不断扩大以及攻击工具日益复杂,身份盗窃在网络犯罪分子中已变得十分常见。 如今,网络攻击的途径更加广泛。 例如,由于许多金融服务机构允许员工的个人设备访问公司网络,因此自带设备 (BYOD) 使得移动设备成为网络犯罪分子利用机构员工的凭证隐藏、传播和窃取信息的渠道。
另一个媒介可能是不安全的面向公众的网络应用,导致身份很快被盗。 其中包括去年引起轰动的零日漏洞,如Shellshock和Heartbleed 。 这种情况只需要一个组织在修补漏洞方面进展缓慢,或者缺乏正确的技术来保护其网络应用即可。 一旦网络犯罪分子获得控制权,他们就可以为所欲为——从窃取数据到使用服务器发起僵尸网络攻击。
这个扩大的“游乐场”意味着网络犯罪分子在窃取登录凭据方面拥有更多选择,不再需要依赖键盘记录软件或数据库泄露,而只需使用网络注入即可。
例如,当用户登录您的网上银行账户时,他们可以在网页上插入一个看似合法的附加字段,其中包含您的 ATM PIN(自动柜员机个人识别码),以欺骗精通技术和不懂技术的网上银行用户。 当这种情况发生时,恶意软件可以在后台执行“浏览器中间人”攻击,而这种攻击对于主机 Web应用来说是不可见的。
除了不断增加的攻击媒介之外,如今恶意软件和木马还能够通过手机银行应用窃取登录凭据,从而获取银行和其他金融服务机构的资金。 网络犯罪分子只需创建一个类似于银行应用的移动应用,然后使用鱼叉式网络钓鱼来窃取登录凭据。 一些恶意软件,例如 Dyre 或 Dyreza,直接针对企业银行账户,并成功从毫无戒心的公司窃取了超过一百万美元。
通过分层防御、主动性和强大的移动策略应对威胁
由于内部威胁占2015年上半年大多数违规行为,因此企业比以往任何时候都更有必要跟上当今快速行动的网络犯罪分子的步伐,企业应实施必要的措施来保护其面向互联网的应用的安全。 这应该是他们的首要任务,因为这是网络犯罪分子的天然渠道,他们总是在寻找渗透网络的机会。 重要的是,还应阻止越狱设备,因为这通常为网络犯罪分子提供了另一种访问网络的手段。
首先,采用正确技术的纵深防御策略至关重要。 许多人普遍存在一个误解,认为使用防火墙之类的技术足以保护组织的网络,但今天这种情况已不再适用。 组织必须考虑其他技术,例如 Web应用防火墙。 Web应用攻击通常是针对特定应用进行调整和创建的,而传统安全措施往往会忽略它。
尽管补救措施(发生违规后进行修复)发挥了一定作用,但主动保护网络的安全更为有益。 补救方案本质上是被动的,取证团队会追溯违规的原因、提供报告并在事件发生后进行补救。 另一方面,主动保护您的组织可能无法捕获所有攻击,但能够将其从 100% 降低到较小的百分比仍应被视为胜利。
最后,还需要克服自满情绪,摆脱“这不会发生在我身上”的态度,即看到邻居受到攻击却期望自己能够幸运。
组织应该制定移动设备安全政策,定义如何处理移动设备的准则、原则和实践,无论它们是由公司发行还是个人拥有。 这些政策应涵盖角色和职责、基础设施安全、设备安全和安全评估等领域。
通过制定安全政策,组织可以创建一个应用实践、工具和培训的框架来帮助支持无线网络的安全。 对员工进行移动安全政策培训也可以帮助组织确保移动设备的配置、操作和使用安全和适当。