90%的全球金融企業認為自己存在資料安全風險……
2014年,165家國内p2p網際網路金融平台由于黑客攻擊,資金被洗劫一空……
2015年,駭人聽聞的carbanak幫派金融惡意攻擊活動讓網絡金融犯罪變得衆所周知。這家幫派的攻擊目标包括超過30個國家的100多家銀行及其他金融機構。自2013年以來,該幫派所竊取的金額或将高達10億美元。
資料是金融行業的命脈。而内部資料安全管理的不慎,和針對金融企業的網絡攻擊,則是架在命脈上的一把尖刀,随時可能引起“大出血”。
資料既金錢
多數網絡攻擊都是以“劫持資料”的方式牟利。
目前在黑色産業形成鍊條的大背景下,黑客對金融企業觊觎已久,通過漏洞獲得相關的個人資訊、敏感資訊,他們就可以把相關資料在黑産中進行售賣,達到非法牟利的目的。資料洩露、丢失給金融行業所造成的後果,不僅是業務損失,更是品牌和名譽上的打擊。
全球範圍内,越來越多的“高危”行業——金融、醫療、電商——已經開始将資料安全防護作為企業的首要安防對象,并開始采取行動。vormetric的《金融行業資料威脅報告》指出,有70%的企業已經或計劃在資料安全上增加資金投入,其中,網絡防護(65%)和端防護58%)增量最大。
安全規劃不全,漏洞百出
在國内,金融這一“高危”行業與安全威脅賽跑的速度還不夠快。
ddos攻擊,黑客入侵,app安全,業務欺詐,這是國内金融行業使用者面對的四大安全難題。而外部的攻擊,隻是資料安全威脅的“半壁江山”,另一半隐患,往往來自于企業自身。
很多金融企業,包括大型的銀行,對資料安全的管理和防禦還處于“頭疼醫頭,腳疼醫腳”的階段。舉個例子,2014年,第三方安全機構對400家網貸平台進行安全評估,其中65%的網貸平台存在安全漏洞,35%有嚴重高危漏洞。 由于業務釋出、推廣的疊代周期短:以月、甚至以周為機關,導緻金融行業使用者無暇顧及内部安全的管理。“業務能正常上線釋出就很好了,哪還有空考慮安全”,一人應用開發從業人員無耐的表示。
研究還發現,企業安全最大的“敵人”,是自己的員工。企業員工存在大量安全隐患,包括将密碼貼在座位上、弱密碼/無密碼、随意下載下傳和使用雲應用等(softchoice)。
上雲之勢,安全之路
在金融決策者制定企業安全政策時,需要将雲計算的大背景考慮在内。
銀監會日前透露,2020年,國内60%的金融行業将建構在雲上。對于金融企業來說,越來越需要把安全,尤其是雲上安全,納入業務發展的基礎環節。選擇一家可靠的雲服務商,是未來金融企業保證資料安全、業務安全的基礎。
企業可以從這幾個次元去衡量雲服務商的安全性:包括(但不限于)是否能保證使用者的業務連續性、資料安全的防護機制、安全能力(每天成功防禦的ddos數量、暴力破解數量和web攻擊數量)、安全團隊、還有就是合規項目,等等。
同時,随着金融企業上雲的熱潮逐漸升溫,企業也應當讓自身的安全政策更契合“雲上環境”——與以往的“頭疼醫頭、腳疼醫腳”不同,雲上防護更需要全面的部署。
以金融的業務系統基本的拓撲結構為例,通過app安全進行app端加強和漏洞識别,把app的安全風險控制在應用裡面,然後在雲端的出口部署ddos高防和waf(網絡應用防火牆),把網絡攻擊阻斷在網絡出口位置,防止内部負載均衡、路由交換、伺服器和應用受到影響。
在伺服器層面,通過主機安全産品對主機側進行加強,對一些漏洞進行第一時間修複,同時,從app到應用系統之間,在整個鍊路的傳輸過程都采用https進行加密,再存儲到資料庫裡。
在雲上,金融行業也非常需要大資料安全分析的工具,能夠實時看見和響應正在發生,甚至即将發生的攻擊。這一工具要做的工作就是把全網所有相關的安全産品都收集起來,包括使用者記錄檔、資料庫的行為、安全防護日志,進行全網的安全大資料彙總分析和感覺,做到未知威脅的發現或者黑客溯源等。
此外,将系統、業務在雲上,金融行業更加需要加強人員的權限管理,各系統密碼最好統一由密鑰管理系統統一進行管理。并進一步增加人員的安全意識及安全業務開發意識。
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)