193
技术社区[云栖]
金融安全资讯精选 2017年第五期:2017年金融安全威胁演进趋势,纽约发布金融安全新政策,金融企业如何选择安全的云
2017年金融安全威胁演进趋势。点击查看原文
概要:IT资讯服务公司Data Art的全球金融行业总监分享2017年金融行业的网络安全风险演进趋势。文章提出,金融行业里专业安全人才日渐短缺(当然,这个现象也存在于其他行业中),而安全运营的工作量日益增大,这之间的矛盾,让企业“自己做好安全”这件事变得越来越难。
点评:结合文章和我们的看法,2017年,针对金融行业的网络攻击将有两大趋势:网络犯罪的专业化:攻击不再是个人逐利行为或者黑客寻求曝光度,很多网络犯罪都是有组织有纪律,筹谋已久,下手快很准的(上周乌克兰国有银行遭受黑客攻击就是一例)。在未来,针对金融行业的网络攻防对抗会上升到国家层面,由政府、企业、第三方共同来做好安全这件事。
概要:从8月28日开始,一部分纽约金融机构必须符合新的网络安全要求: 23 NYCRR 500。新政策在今年3月1日开始生效,并给了金融机构3个月的缓冲期去改善安全状况,并会在接下来的两年不断有新的合规要求推出,例如要求纽约金融机构在2018年9月之前制定加密策略,另外一些要求包括雇佣CISO,访问控制策略,有效的漏洞评估执行等等。没有在规定时间内符合要求,继续暴露安全风险的公司,将会受到相应处罚。
点评:和中国的信息安全等级保护一样,规章制度的建立是在短时间内提升行业安全水准最有效的办法,从长远来说,会帮助金融行业更好地减少损失。对于金融企业来说,也可以通过“过合规”这个过程,梳理自身安全方面
WireX 僵尸网络袭击全球,IP数量峰值接近14万。点击查看原文
概要:2017年8月17日,多个内容传送网络(CDN)和内容提供商遭受来自僵尸网络(WireX)的重大攻击。这是自Mirai之后,业界联合发现的又一次较大规模的DDoS攻击,集中表现在HTTP Flood攻击,攻击中使用的真实IP数量峰值接近14万。攻击手法并非新奇,但与以往攻击相比,此次攻击控制了许多新的IP。来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ和Team Cymru的研究人员发现,DDoS攻击者利用被感染Android App来发起攻击。
恶意程序多潜藏在媒体/视频播放器/铃声/存储管理器等工具App中,这些应用程序还利用了Android服务架构的功能,允许应用程序即使在后台也可以使用系统资源,因此能够在应用程序未被使用时发起攻击。防病毒扫描仪目前将此恶意软件识别为“Android Clicker”特洛伊木马。最新消息称,Google已经下架了300款被植入恶意程序用以发起攻击的App。
云安全方法论:如何验证你的数据在云上是否安全,以及如何让你的数据更安全?点击查看原文
概要:这篇文章站在云使用者的角度,提出了用户安全的“验证”机制和方法论:如何消除上云时对安全的担忧,放心上云。首先,作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系,CSA STAR认证,FedRamp(FedRamp是美国联邦风险和授权管理计划,对云产品和服务进行安全性评估、授权和持续监控。在中国,企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级)。
点评:文章提出的标准和建议值得参阅。国内金融企业在选购云平台时,对资质的考察通常会关注的资质是对等级保护的满足情况,ISO27000系列的满足情况,部分企业,例如支付行业的客户还可以看看云平台是否具备PCI-DSS的认证情况;同时,也可以了解一下云平台的运营方自身对数据安全的重视程度。在使用了云平台之后,通过云安全产品去增强自身业务的安全性也是安全运营重要的一个部分。
查看其它行业资讯
往期回顾
金融安全资讯精选 2017年第四期:全球安全支出走高,外国银行再遭黑客袭击
金融、政府、游戏安全资讯精选会通过云栖社区专栏,
如果您是阿里云用户,
最后更新:2017-08-29 17:32:57