網絡攻擊在全球範圍內不斷增加,金融服務也不例外。從 DDoS 和域克隆到魚叉式網絡釣魚和憑證填充;從腳本小子到高級持續威脅 (APT) 攻擊者——我們都看到了更高的攻擊量和更複雜的攻擊。(腳本小子:自己沒有技術,使用別人寫的程式進行網路攻擊的網路鬧事者)
更高的目標
公司很容易將他們的網絡安全目標定得太低——要麼在實施改進之前等待監管(例如 PSD2),要麼根據業內其他人的做法做出投資決策——也許使用“我只需要比你跑得快” ,不比大猩猩快”的思維。這種被動的方法使公司容易受到快速移動的攻擊者的攻擊,攻擊者會在任何可以為他們找到利潤的地方利用弱點。
去年,網絡攻擊者展示了他們的敏捷性,因為他們利用大流行期間的不確定性來增加網絡釣魚攻擊和預付費用詐騙——包括針對金融服務行業的求職者。
促進默認安全
金融服務公司管理著數万億英鎊的客戶資金,該部門應該在信息安全方面處於領先地位。許多客戶驚訝地發現,他們的電子郵件帳戶比他們的投資帳戶擁有更好、更強大的安全控制 – 投資帳戶通常仍然不支持多因素身份驗證 (MFA) 或依賴弱 PIN 碼身份驗證,這會阻礙使用密碼管理軟件。
整個行業共同努力推動無處不在的 MFA 並支持所有現代移動設備上可用的生物識別身份驗證,這將有助於讓客戶相信他們的儲蓄得到了很好的保護。我們不必都使用相同的技術,但我們都應該至少滿足美國 NIST 和英國 NCSC 等機構的最低標準——不僅針對新解決方案,還針對遺留系統和現有客戶。
不要讓恐懼阻礙你
由於害怕網絡攻擊,一些組織可能對將其業務數字化持謹慎態度——也許希望手動檢查能夠作為抵禦欺詐和攻擊者的後盾。但手動流程無法跟上網絡攻擊的速度——而且本身很容易受到社會工程和人為錯誤的影響。繼續投資於自動化和數字化。自動化的企業對企業 (B2B) 流程(例如賬戶轉賬、股票類別轉換和開放銀行業務)更加安全,發生錯誤鍵和錯誤的可能性更小。
需要自動化和人工智能 (AI) 技術來支持欺詐檢測流程——將了解您的客戶 (KYC) 從入職時的一次性檢查擴展到一個持續的流程,以學習和識別客戶的行為。正確使用 AI 需要大量數據——當我們匯集知識和數據時,這會更容易實現,讓較小的公司、共同體和友好公司能夠從整個行業的數據中受益。這可能需要一些創新的商業模式以及創新的技術!
做一個優秀的網絡公民
攻擊者傾向於利用更黑暗、不受歡迎的區域——仍然支持舊的、安全性較低的標准或尚未打補丁的遺留系統;不實施現代安全實踐(例如攻擊率限製或入侵檢測和警報)的利基門戶網站;包含可供交付合作夥伴使用的明文客戶數據的測試環境。在攻擊者發現和利用它們之前,照亮這些區域並確保它們達到標準。
在應對突發事件時也要做一個好公民。當發生違規或安全事件時,我們需要對客戶(以及我們自己)持開放態度,清楚地解釋他們面臨的風險是什麼,以及我們正在採取哪些措施來減輕這種風險並防止再次發生。這種開放也意味著我們都可以互相學習以進一步提高。
許多公司已經共同努力識別和關閉網絡釣魚站點和域克隆,但這往往是在銀行和投資等子行業組內,而不是整個行業。可能需要監管機構的支持,以確保對數據保護的擔憂不會阻礙調查或延遲關閉這些網站,並關閉網絡犯罪分子使用的賬戶。
我們可以一起進一步推動彼此,提高整個行業的彈性和抵禦網絡攻擊的能力。
您可能會需要Thales CipherTrust 資料保護平台
借助新一代資料保護方案,隨時隨地發現、保護並掌握敏感資料>>
隨著數據洩漏事件以驚人的速度持續發生,保護敏感數據對於所有組織都是至關重要的。此外,組織為保持不斷發展的全球和區域隱私法規的遵從性而做出努力,以及面對為支持大量遠端工作員工而提出的新連線需求所帶來的加速採用數據保護方案,以確保雲端的安全。IT安全組織尋求以數據為中心的解決方案,以保護數據從網路轉移到應用程序和雲端時的安全。當外圍網路控制和端點安全措施失敗時,保護靜止數據就是最後一道防線。
CipherTrust數據安全平台集合了數據發現、分類、數據保護和細部的存取控制等功能,並具有集中式密鑰管理功能。此解決方案消除了實現資料安全性的複雜度,加快了合規的時間,並保護了雲端服務遷移,從而減少了用於數據安全性操作的資源,無處不在的合規性控制,並顯著降低了整個企業的風險。
想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊