数据是金融业的命脉。糟糕的安全管理及其带来的网络攻击就像利器一样,等待着导致金融公司的数据大出血。
在最近的一项调查中,全球90%的金融公司认为他们容易受到数据安全威胁。2014年,中国有165个P2P互联网金融平台遭到黑客攻击。
互联网金融犯罪在2015年随着Carbanak犯罪组织实施的金融攻击而抢走了风头。该团伙的目标是30多个国家的100多家银行和其他金融机构,自2013年以来已经窃取了多达10亿美元。
数据就是金钱
大多数网络攻击都是基于劫持数据以获取利润。随着网络黑市的形成,金融企业已成为黑客梦寐以求的目标,黑客希望出售利用系统漏洞获得的个人和敏感信息。数据泄露不仅造成经济损失,还会对公司的品牌和声誉产生负面影响。
越来越多的高风险行业 - 金融,医疗保健和电子商务 - 已经开始将数据安全放在其业务的最前沿,并开始采取平权行动。Vormetric的金融行业数据威胁报告显示,70%的企业已经或计划增加其在数据安全方面的资本投资。其中,网络保护(65%)和终端保护(58%)增长最大。
安全规划不完整,漏洞无处不在
在中国,金融安全行业的发展速度不如它所面临的安全威胁那么快。DDoS攻击、暴力破解、Web应用程序攻击和欺诈是用户在金融行业面临的四大安全挑战。外部攻击只是数据安全威胁的一半,另一半通常来自公司内部。
包括大型银行在内的许多金融企业只能提供临时解决方案来管理数据安全。例如,2014年,第三方安全机构对400个互联网借贷平台进行了安全评估,其中65%存在安全漏洞,35%存在严重漏洞。由于业务发布和推广周期较短,有时长达数月或数周,因此金融行业的用户没有时间考虑内部安全管理。一位应用程序开发人员不情愿地承认,“我们只想按时发布应用程序。没有人有时间考虑安全问题。
研究还发现,企业安全最大的“敌人”是员工。公司员工可以通过公开公开密码、下载免费软件和使用不安全的云应用程序(Softchoice)来带来许多安全风险。
云正朝着安全的方向发展
金融政策制定者在制定企业安全策略时,需要考虑云计算的更广泛背景。
中国银行业监督管理委员会近日表示,到2020年,60%的国内金融业将建立在云上。金融企业越来越需要将安全性(尤其是云上的安全性)集成到应用程序开发的基本方面。选择可靠的云服务提供商是确保金融公司数据和业务安全的基础。
企业可以从多个方面来衡量云服务提供商的安全性,包括(但不限于)确保应用连续性、数据安全保护机制、安全能力(每天防御的DDoS量、暴力破解和Web攻击量)、安全团队、合规方案等。
同时,随着越来越多的金融企业逐渐将业务转移到云端,他们也应该让自己的安全策略更加符合“云环境”。这种新的安全策略与以前的临时解决方案有很大不同,因为云保护需要更全面地部署。
以金融业务系统的基本拓扑为例,应用端强化和威胁检测将安全风险限制在应用内部,而DDOS高防和WEB应用防火墙部署在云系统的入口/出口点,以便在到达服务器负载均衡之前阻止网络攻击, 路由器、交换机、服务器或其他应用程序。
在服务器层,主机端由主机安全产品进行强化,以立即修复一些漏洞。同时,使用HTTPS对从APP到应用系统的整个链路进行加密,然后将数据存储在数据库中。
在云上,金融行业还需要能够进行大数据分析的安全工具,以预测和响应正在发生或即将发生的实时攻击。这些工具能够通过分析整个网络中的相关安全元素来检测威胁,包括整个网络中的用户操作日志、数据库行为和安全日志。这允许发现以前未知的威胁并跟踪黑客活动。
此外,将系统和应用程序部署到云端,需要金融行业进一步加强员工权限管理,并使用密钥管理系统来保证系统密码的安全。企业还必须进一步提高员工的安全意识,鼓励安全应用开发。