193
金融安全資訊精選 2017年第五期:2017年金融安全威脅演進趨勢,紐約發布金融安全新政策,金融企業如何選擇安全的雲
2017年金融安全威脅演進趨勢。點擊查看原文
概要:IT資訊服務公司Data Art的全球金融行業總監分享2017年金融行業的網絡安全風險演進趨勢。文章提出,金融行業裏專業安全人才日漸短缺(當然,這個現象也存在於其他行業中),而安全運營的工作量日益增大,這之間的矛盾,讓企業“自己做好安全”這件事變得越來越難。
點評:結合文章和我們的看法,2017年,針對金融行業的網絡攻擊將有兩大趨勢:網絡犯罪的專業化:攻擊不再是個人逐利行為或者黑客尋求曝光度,很多網絡犯罪都是有組織有紀律,籌謀已久,下手快很準的(上周烏克蘭國有銀行遭受黑客攻擊就是一例)。在未來,針對金融行業的網絡攻防對抗會上升到國家層麵,由政府、企業、第三方共同來做好安全這件事。
概要:從8月28日開始,一部分紐約金融機構必須符合新的網絡安全要求: 23 NYCRR 500。新政策在今年3月1日開始生效,並給了金融機構3個月的緩衝期去改善安全狀況,並會在接下來的兩年不斷有新的合規要求推出,例如要求紐約金融機構在2018年9月之前製定加密策略,另外一些要求包括雇傭CISO,訪問控製策略,有效的漏洞評估執行等等。沒有在規定時間內符合要求,繼續暴露安全風險的公司,將會受到相應處罰。
點評:和中國的信息安全等級保護一樣,規章製度的建立是在短時間內提升行業安全水準最有效的辦法,從長遠來說,會幫助金融行業更好地減少損失。對於金融企業來說,也可以通過“過合規”這個過程,梳理自身安全方麵
WireX 僵屍網絡襲擊全球,IP數量峰值接近14萬。點擊查看原文
概要:2017年8月17日,多個內容傳送網絡(CDN)和內容提供商遭受來自僵屍網絡(WireX)的重大攻擊。這是自Mirai之後,業界聯合發現的又一次較大規模的DDoS攻擊,集中表現在HTTP Flood攻擊,攻擊中使用的真實IP數量峰值接近14萬。攻擊手法並非新奇,但與以往攻擊相比,此次攻擊控製了許多新的IP。來自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ和Team Cymru的研究人員發現,DDoS攻擊者利用被感染Android App來發起攻擊。
惡意程序多潛藏在媒體/視頻播放器/鈴聲/存儲管理器等工具App中,這些應用程序還利用了Android服務架構的功能,允許應用程序即使在後台也可以使用係統資源,因此能夠在應用程序未被使用時發起攻擊。防病毒掃描儀目前將此惡意軟件識別為“Android Clicker”特洛伊木馬。最新消息稱,Google已經下架了300款被植入惡意程序用以發起攻擊的App。
雲安全方法論:如何驗證你的數據在雲上是否安全,以及如何讓你的數據更安全?點擊查看原文
概要:這篇文章站在雲使用者的角度,提出了用戶安全的“驗證”機製和方法論:如何消除上雲時對安全的擔憂,放心上雲。首先,作者認為驗證一個雲平台保護用戶數據的最好“標尺”就是合規。包括ISO體係,CSA STAR認證,FedRamp(FedRamp是美國聯邦風險和授權管理計劃,對雲產品和服務進行安全性評估、授權和持續監控。在中國,企業和機構則更多可以看看等級保護、網絡安全審查、牌照資質的齊全程度和等級)。
點評:文章提出的標準和建議值得參閱。國內金融企業在選購雲平台時,對資質的考察通常會關注的資質是對等級保護的滿足情況,ISO27000係列的滿足情況,部分企業,例如支付行業的客戶還可以看看雲平台是否具備PCI-DSS的認證情況;同時,也可以了解一下雲平台的運營方自身對數據安全的重視程度。在使用了雲平台之後,通過雲安全產品去增強自身業務的安全性也是安全運營重要的一個部分。
查看其它行業資訊
往期回顧
金融安全資訊精選 2017年第四期:全球安全支出走高,外國銀行再遭黑客襲擊
金融、政府、遊戲安全資訊精選會通過雲棲社區專欄,
如果您是阿裏雲用戶,
最後更新:2017-08-29 17:32:57