90%的全球金融企业认为自己存在数据安全风险……
2014年,165家国内P2P互联网金融平台由于黑客攻击,资金被洗劫一空……
2015年,骇人听闻的Carbanak犯罪团伙金融恶意攻击活动让网络金融犯罪变得众所周知。这家犯罪团伙的攻击目标包括超过30个国家的100多家银行及其他金融机构。自2013年以来,该犯罪团伙所窃取的金额或将高达10亿美元。
数据是金融行业的命脉。而内部数据安全管理的不慎,和针对金融企业的网络攻击,则是架在命脉上的一把尖刀,随时可能引起“大出血”。
数据即金钱
多数网络攻击都是以“劫持数据”的方式牟利。
当前在黑色产业形成链条的大背景下,黑客对金融企业觊觎已久,通过漏洞获得相关的个人信息、敏感信息,他们就可以把相关数据在黑产中进行售卖,达到非法牟利的目的。数据泄露、丢失给金融行业所造成的后果,不仅是业务损失,更是品牌和名誉上的打击。
全球范围内,越来越多的“高危”行业——金融、医疗、电商——已经开始将数据安全防护作为企业的首要安防对象,并开始采取行动。Vormetric的《金融行业数据威胁报告》指出,有70%的企业已经或计划在数据安全上增加资金投入,其中,网络防护(65%)和端防护58%)增量最大。
安全规划不全,漏洞百出
在国内,金融这一“高危”行业与安全威胁赛跑的速度还不够快。
DDoS攻击,黑客入侵,APP安全,业务欺诈,这是国内金融行业用户面对的四大安全难题。而外部的攻击,只是数据安全威胁的“半壁江山”,另一半隐患,往往来自于企业自身。
很多金融企业,包括大型的银行,对数据安全的管理和防御还处于“头疼医头,脚疼医脚”的阶段。举个例子,2014年,第三方安全机构对400家网贷平台进行安全评估,其中65%的网贷平台存在安全漏洞,35%有严重高危漏洞。 由于业务发布、推广的迭代周期短:以月、甚至以周为单位,导致金融行业用户无暇顾及内部安全的管理。“业务能正常上线发布就很好了,哪还有空考虑安全”,一人应用开发从业人员无耐的表示。
研究还发现,企业安全最大的“敌人”,是自己的员工。企业员工存在大量安全隐患,包括将密码贴在座位上、弱密码/无密码、随意下载和使用云应用等(Softchoice)。
上云之势,安全之路
在金融决策者制定企业安全策略时,需要将云计算的大背景考虑在内。
银监会日前透露,2020年,国内60%的金融行业将构建在云上。对于金融企业来说,越来越需要把安全,尤其是云上安全,纳入业务发展的基础环节。选择一家可靠的云服务商,是未来金融企业保证数据安全、业务安全的基础。
企业可以从这几个维度去衡量云服务商的安全性:包括(但不限于)是否能保证用户的业务连续性、数据安全的防护机制、安全能力(每天成功防御的DDoS数量、暴力破解数量和Web攻击数量)、安全团队、还有就是合规项目,等等。
同时,随着金融企业上云的热潮逐渐升温,企业也应当让自身的安全策略更契合“云上环境”——与以往的“头疼医头、脚疼医脚”不同,云上防护更需要全面的部署。
以金融的业务系统基本的拓扑结构为例,通过APP安全进行APP端加固和漏洞识别,把APP的安全风险控制在应用里面,然后在云端的出口部署DDoS高防和WAF(网络应用防火墙),把网络攻击阻断在网络出口位置,防止内部负载均衡、路由交换、服务器和应用受到影响。
在服务器层面,通过主机安全产品对主机侧进行加固,对一些漏洞进行第一时间修复,同时,从APP到应用系统之间,在整个链路的传输过程都采用HTTPS进行加密,再存储到数据库里。
在云上,金融行业也非常需要大数据安全分析的工具,能够实时看见和响应正在发生,甚至即将发生的攻击。这一工具要做的工作就是把全网所有相关的安全产品都收集起来,包括用户操作日志、数据库的行为、安全防护日志,进行全网的安全大数据汇总分析和感知,做到未知威胁的发现或者黑客溯源等。
此外,将系统、业务在云上,金融行业更加需要加强人员的权限管理,各系统密码最好统一由密钥管理系统统一进行管理。并进一步增加人员的安全意识及安全业务开发意识。