這篇貼文是部落格貼文連載系列之一,當中我們會檢視 2017 年在網路安全領域中的明確發展趨勢及長遠的影響。  

今年在金融服務產業中發生了不少值得一提的網路安全事件,包括少數 SWIFT (環球銀行金融電信協會) 會員銀行的盜竊案,以及在亞洲發生的惡意軟體感染自動櫃員機事件。展望 2017 年,我預測我們將會在金融服務產業中看到以下網路安全趨勢。

勢在必然

  • 公共雲的採用日益增長 – 金融服務產業是公共雲端運算的最後疆界。儘管過去許多年因為資安疑慮,該產業曾表達不會使用此技術,但在這幾年他們卻逐漸對公共雲的使用產生興趣。Amazon Web Services (AWS) 以及 Microsoft Azure 都已公開表示有許多財務機構為其客戶。許多組織已經在 2016 年測試、評估且執行過概念驗證,並特別著重於妥善的網路安全實務上。而當中許多機構最終將在 2017 年採用公共雲進行運算工作負載。最初可能包括處理較不敏感資料的應用程式。儘管金融服務產業中還有一小股抗拒使用公共雲的勢力,但這些勢力肯定會逐漸減弱。公共雲端運算所提供的靈活度、擴充能力以及成本優勢的確有著令人無法抗拒的吸引力,特別是解決方案中便能內建安全功能而無須額外加裝。
  • 多重要素驗證 (MFA) 的使用越顯廣泛 – 我們在近期看見數間 SWIFT 會員銀行的詐欺冒領事件,當中合法的登入資訊與密碼憑證遭到盜用,並用於進行資金轉帳。這類簡單的驗證技術很容易便會遭到入侵,且能進行帳戶盜用 (ATO) 攻擊。金融機構最終將注意到,並採取更加健全的 MFA 技術,至少在內部針對重要應用程式與敏感資料,並且必定要針對擁有特權的帳號,如根帳號和系統管理員帳號等。儘管 MFA 技術的建立方式多有不同,但任何形式的 MFA 都能對網路上的攻擊者造成無法輕易清除的阻礙。MFA 技術是以在場的憑據為基礎,至少會包括下列的兩種:
    • 某些您知道的事 (例如:登入資訊/密碼、PIN)
    • 某些您擁有的東西 (例如:一次性密碼語彙基元、行動電話)
    • 某些在您身上的東西 (例如:指紋、視網膜掃描)

機會渺茫

  • 廣泛施行零信任網路 – Forrester Research 於 2009 年首次推出零信任 (ZT) 模型,但到了 2016 年底,其施行仍稱不上非常廣泛。從概念上而言,限制網路中多個部分間的流量,僅讓已知且合法的流量通過,所帶來的資安價值的確無庸置疑。所有惡意活動將會被限制在最近的區隔閘道內。然而,零信任模型面臨的挑戰包括:無論是在最初使用時或是打算永續使用,皆難以完全辨識合法流量模式;必須進行跨學科 (例如:IT、安全、業務) 合作;並且有造成業務阻斷的潛在風險,特別是在棕地開發環境下。儘管如此,金融機構仍會逐漸將零信任概念納入其網路中,並且可能在 2017 年有長足的發展。一開始可能只是實施部分網路區隔來限制來往每個環境中敏感部分的流量。這些方式將能限制暴露程度,並在遭到入侵後限制橫向擴散。到了最後,各金融機構在其網路中對零信任的採用將僅僅會是程度多精深的問題而已。
  • 區段鏈開啟了另一個攻擊媒介 – 關於區段鏈技術,金融產業中仍有許多不同聲浪。區段鏈在規模上肯定大於比特幣,而其分散式帳目技術也在款項處理、交易結算與虛擬錢包等方面成為多方考量的重點。除了新創公司外,傳統金融機構也積極地想要瞭解此技術,以及此技術對其組織所帶來的潛在影響。其中的好處包含更高的便捷性,同時因為剔除了中間人,還能進一步降低跨境付款、證券交易,以及結算等方面的成本。其他方面的好處還包括更高的透明度,讓法令遵循主管、審計員與監理官有更容易追蹤的審計紀錄。就算在最好的情況下,儘管有關於密碼和不可改變性的內在機制,但率先在金融產業中採取此技術的組織仍會產生另一個攻擊媒介。剛開始施行區段鏈技術時,惡意行為者將會發現當中的漏洞,並且將會在 2017 年利用這些漏洞來破壞金融交易的安全性與機密性。而這就得說到下一個預測了。
  • 從合作性競爭中取得更好的成果 – FinTech 新創公司持續在挑戰金融機構,爭奪其客戶錢包內的份額。FinTech 將成本較低的創新方法帶進會進行銀行操作與投資的區隔人群。然而,這些公司往往缺乏品牌知名度、無法獲取較大的客戶群,並且缺少監管事務方面的經驗。另一方面,傳統金融機構顯然有著以上這些特質,但往往缺乏革新的靈敏度與能力。傳統金融機構正在嘗試擁抱雲端運算,來消除在靈敏度上的落差,有些金融機構甚至推出了他們旗下 (獨立自治) 的 FinTech 單位。其他機構則開始和 FinTech 公司展開合作,來作為媒合雙方核心能力的一種方式。這種方式可能在 2017 年間會是通往創新解決方案的最佳路徑,這些解決方案在擴充性、企業架構還是網路安全等方面皆能達到業界標竿。這種方式最終能提供成本更低的金融產品或服務,並增進客戶體驗,與此同時還能確保安全性、可靠性與對法規的充分遵循。

您對金融服務產業的網路安全有什麼預測?請在評論中跟我們分享您的想法,並記得鎖定本系列的下一篇貼文,我們將會分享我們對歐洲、中東與非洲的預測。

cp17-infographic-phase5


推薦內容

平台規格與功能摘要

May 2018 (PAN-OS 8.1) 規格與功能摘要僅用於比較 – 若需要最新資訊請參照其個別之規格表。

  • 371

防火牆概要

應用程式用途、使用者行為和錯綜複雜的網路基礎設施方面的根本轉變對網路 安全帶來新型態的威脅,暴露了傳統以連接埠控制技術為主的網路安全的弱 點。使用者想要透過各種不同類型的裝置存取更大量的應用程式,卻常忽略了 潛在的商務和安全性風險

  • 6741

VM-Series 新世代防火牆

世界各地的組織正在將其雲端和虛擬化計畫擴大到傳統數據中心和公有雲部署 之外。新的計畫包括將安全性作為 NFV 元件或更為完整的多租戶解決方案。

  • 3599

國立臺北科技大學

六年來,臺北科技大學一直依靠 Palo Alto Networks PA-4020 與 PA-5050 實現網 路功能、安全性、內容檢查和管理功能,以及實現可預測的防火牆效能。然而 ,由於輸送量需求快速增加,該大學需要升級其技術。作為臺灣規模最大、專 注於資訊科技和工程學的科技大學,在安全性方面引領行業至關重要。

  • 163

界定 21 世紀的 ICS 網路安全

執行摘要 隨著資訊技術廣泛運用以及支援網路連線能力提高,關鍵基礎設施和製造業開始採用 SCADA 和工業控制系統,其靈活性、速 度和成本節省程度均獲得前所未有的提高。工業物聯網 (IoT) 開始出現,能夠提供預測性維護之類的新功能,甚至是新的商業 模式。然而,隨著這一現代化一同到來的,還有不希望出現的 IT 弱點和其他威脅媒介,愈來愈多的惡意行為者 (例如民族國 家、網路罪犯和惡意內部人員) 正在企圖利用這些媒介。近年來,專門針對關鍵基礎設施和製造業資產擁有者的攻擊數量和複 雜程度不斷提升。現實世界的案例一再顯示,關鍵過程遭中斷,甚至 ICS 設備遭破壞。改善 ICS 安全性的需求比以往更多,並 且已然成為許多組織的董事會級別所關注的問題。

  • 61

攻擊者的思維

簡介 在這份白皮書中,我們將檢視攻擊者的思維;首先是深入瞭解他們的動機以及構成現今威脅形勢的進階攻擊方 法,這些攻擊方法讓我們需要更快速取得能夠防禦 (而不只是偵測) 已知與未知威脅的端點安全技術。接著,我 們會檢視一系列實際存在的攻擊活動,並逐步揭露攻擊者從散佈、安裝到執行惡意內容的各個步驟與手法。最 後,我們要為您呈現 Palo Alto Networks® Traps™ 進階端點防護技術會如何中斷每次攻擊的生命週期,並且經常 會在多個不同情境進行,帶給您遠超過舊式防毒軟體以及較現代的端點偵測與回應解決方案的功能 – 即便是對 零時差威脅也一樣。

  • 56