依靠安全创新来击败黑客

英国联合银行
Thinkstock

银行已成为网络犯罪分子的攻击目标,而且在拥有更多数据和设备的世界中,这种情况可能还会持续下去。银行是否在信息安全方面具有足够的创新能力以抵御威胁?

从芯片和引脚欺诈,分布式拒绝服务(DDoS)攻击到恶意软件和国家APT,网络犯罪已成为全球银行的一大难题。

仅在去年,我们就看到了 卡巴纳克,该俄罗斯团伙从30个国家/地区的100多家银行窃取了10亿美元,此外还有JP Morgan Chase,汇丰银行,哈利法克斯和巴克莱银行的重大数据泄露事件。 JP摩根大通随后承诺在2014年底违反安全规定后在安全方面花费5亿美元,这是许多其他公司在违约后采取的趋势。实际上,普华永道预测,美国金融服务公司将增加其网络安全预算 减少20亿美元 到2017年。

银行更容易受到攻击

这种支出以及对信息安全的日益关注不足为奇。人们要求银行通过移动支付,生物识别和可穿戴设备等较新技术的发展来更加开放,数字化和以客户为中心。即使考虑到用户体验,也必须执行诸如双重身份验证和密码管理之类的附加安全性。

但是,这给银行安全团队,供应链和合规性带来了巨大压力,正如瑞银(UBS)首席信息官奥利弗·布斯曼(Oliver Bussmann)在最近的一份报告中所述 博客文章.

“ [[]数字化意味着数据 隐私 对于每个金融服务机构来说,它已经成为比现在更加重要的问题。最近发生的恶意软件事件表明,网络安全威胁日新月异,对于任何一项新技术而言,将数据保护置于一切之上是多么重要。 

“监管形势也越来越严峻,任何新发展都必须加以整合。因此,IT系统需要具有灵活性和敏捷性,以响应金融机构的新要求。这是一个挑战,特别是对于较小的进入者来说,因为资源是有限的,”巴斯曼说,鉴于新技术的发展,增加技能是另一个“主要”挑战。 

艾玛迪斯(Amadeus)早期基金的管理合伙人Alex Van Someren

评论员随后说,银行现在必须创新,以满足客户的“需求”,而不是需求。YBS集团信息安全和风险负责人Mike Jolley表示,以客户为中心的战略正在兴起。

“战略趋势围绕着客户至上的数字战略。大约一年前,它是数字化的第一,”他告诉 公民社会组织在线.

初创企业

艾玛迪斯(Amadeus)早期基金的管理合伙人,伦敦赛龙(Cylon)伦敦初创加速器的负责人亚历克斯·范·萨默伦(Alex Van Someren)认为,银行必须像黑客一样思考。

“最先进的银行对网络安全采取积极主动的态度。他们像黑客一样思考:对自己进行外部渗透测试,为自己的信息泄漏开采暗网,应用数据分类产品以防止数据丢失(DLP)。他们不仅仅依赖主要产品供应商,而是尝试使用新兴企业的领先技术来发展自己的防御能力。”

Troels Oerting是巴克莱银行(Barclays Bank)的全球CISO,该公司一直在与众多安全初创公司合作, 与欧洲刑警组织合作 共享威胁情报,甚至“入侵”自己的系统以确保其安全性。据报道,这家国际银行正将其安全支出提高20%。

说话 公民社会组织 在向董事会提供了最新的网络安全策略后,Oerting详细介绍了创业对银行的重要性。

Oerting是前欧洲刑警组织欧洲网络犯罪中心的成员,他正在指导纽约,特拉维夫,开普敦和孟买的一些初创企业,并在纽约和伦敦领导加速器计划。

“我们正在增加在加速器计划和创新方面的足迹。我们想看看我是否能找到能够为我们提供想要研发的东西的公司。可能是区块链技术,替换密码,提高端点安全性,消除防病毒功能或DNS安全性。

“隐私和安全保护是银行出售产品的很大一部分-因为银行出售信托。因此,我们没有等待安全公司在他们认为合适时交付某些东西,而是考虑为什么不确定我们如何通过在自己的应用程序,平台和端点中进行设计来提高安全性……也许还会为客户提供帮助。”

Oerting表示,在寻求安全初创公司的帮助之前,首先确定银行的漏洞很重要。他现在指导的初创公司包括一个在区块链上跟踪比特币和其他数字货币的公司,另一个使用区块链来跟踪 安全钻石,第三个使用虚拟现实和3D眼镜在线提供交互式安全意识培训。

巴克莱银行负责人承认,所有这一切都不会阻止银行遭到破坏,因此,他正在通过红色团队优先考虑银行的事件响应,该团队对内部应用程序,外围防御和员工进行网络钓鱼攻击测试。

“如果我们被渗透,我们想确保我们做出非常迅速的反应。这是为了缩短从检测到反应的时间。我们承认我们很可能会被渗透,但我们需要对其进行检测,并在它们进入后立即将其隔离或踢出去。”

“这样做的目的是使犯罪团伙窃取我们的钱过于昂贵。任何犯罪团伙都会着眼于风险,投资和利润,如果不匹配的话,他们会去其他地方。”

他说,有很多“消灭”黑客的方法,而范·萨姆伦(Van Someren)说,大多数有远见的银行现在都在考虑蜜罐和虚拟数据源。

金融服务行业的另一位CISO Jitender Arora同意,现在的反应至关重要。

“组织现在正在寻求提高其检测和响应能力的方法,以确保它们有更好的机会及早发现并做出有效反应以控制损害。”

云问题仍然存在

当然,巴克莱并不是唯一尝试新安全措施的银行。在最近几个月中,花旗银行,瑞银(UBS)等人尝试了比特币,哈利法克斯(Halifax) 试用心跳认证 农业信贷银行已经测试 区块链 花旗风险投资一直在向安全初创公司投入大量资金,包括Pindrop,vArmour和Illusive。

但是,对云安全性的兴趣明显减少。乔利说,供应商移动了, 避风港 以及即将出台的欧盟《通用数据保护法》已经推迟了银行的运作。

与投资银行合作的英国网络安全初创公司Panaseer的首席执行官Nik Whitfield同意:“如果您问[CISO]'您是否会将安全性放在云中?”他们不会说。当然,我们看不到任何大公司将安全数据批发转移到类似AWS的领域。”

阿罗拉(Arora)反对银行完全在创新的观点:“大多数组织在其标准业务服务和技术堆栈方面都是相当静态的,”他说。

“想象一个拥有20,000多个服务器,1,000多个应用程序,100,000多个端点和各种技术风格的组织;这是一个复杂的环境,因此进行巨额变更非常昂贵且困难。”

大数据

取而代之的是,一些人建议银行面对大量数据收集,继续面临诸如合规性和数据存储之类的古老问题。

惠特菲尔德说,现在有太多的数据让CISO无法获得任何见解,而且SOC团队也因威胁情报警报而超支。

惠特菲尔德说:“他们意识到他们对所发生的事情的了解非常有限。”他补充说,新技术解决方案通常很孤立,因此彼此之间不会说话。其他专家表示,威胁情报共享问题仍然存在。

“ CISO希望对正在发生的事情有一个全面的了解……但是目前根本不可能。”

这个故事“通过安全创新来击败黑客”最初是由 公民社会组织.

版权© 2015 IDG通讯,Inc.