术有专攻|金融机构如何防范商业间谍?
作者: 日期:2015年08月25日 阅:3,976

在金融行业,业务的成功和可持续发展取决于信息系统的健康状况。对企业信息系统的破坏可以损害其声誉、窃取其数据,同时也会导致企业受到法律的制裁和处罚。大的企业往往依赖于成千上万个与互联网相连接的这种系统,因此商业间谍活动就成了金融安全的主要关切点。

640.webp (7)

网络罪犯们逐渐认识到,有用的数据往往比直接的现金攻击更有价值,并且这些数据还可以匿名进行交易,因此近年来金融业的商业间谍活动日益猖獗。就在去年,摩根大通和其他的各大银行成为了大规模攻击的受害者,导致金融监管机构审查攻击者是否不只是追求财务收益,也在收集情报。

因此,作为公司的高管或安全主管,至关重要的就是要确保安全管理人员要对商业间谍活动采取适当的行动,通常都是从风险管理开始入手。这意味着要深入了解可以被动影响金融企业的因素,然后勾勒出这些因素可能发生的概率。

金融行业的企业都应该注意以下商业间谍威胁:

一、拦截和监听:受政府支持的监听恶意软件“高斯”就是一个例子。有报道称,该工具由一个或多个政府支持,主要用来监控银行账户。

二、内部间谍:根据专门处理计算机网络安全问题的组织——计算机安全应急响应组(CERT)的数据库,银行业和金融业是除信息技术和化工领域之外内部知识产权盗窃发生最频繁的行业,高达13%。

三、通过物联网搞破坏:对手可能在金融企业采购的设备生产制造过程中有策略地安装受感染的软件。同时,金融企业中的物联网网络和设备会产生大量的数据,而确保这些数据的安全却并非易事,从而成为商业间谍的重要切入点。

四、勒索、敲诈和贿赂:据美国联邦调查局网络空间处报告,90%的美国企业都容易受到网络敲诈勒索的攻击,其中包括黑客劫持企业的数据情报并勒索其执行特定的操作(如黑钱转移等)。网络罪犯也可能贿赂安全团队中的某个成员,以找到进行间谍活动的切入点。

对于各种各样的金融机构来说,企业间谍活动使其风险管理受到日益重要的挑战。金融业商业间谍活动的受害者分为两类:一类是了解已经产生的泄漏,一类则对已经产生的泄漏一无所知。

以下监管机构所关注的是金融企业所采用的风险管理策略

一、合规检查考试办公室:合规检查和考试办公室是证监会运作的部门,该部门曾发布过一份“风险预警”,涵盖了风险管理问题的方方面面,包括信息系统保护、风险识别以及关联第三方风险检测等等。

二、金融监管局:金融监管局关注金融业的网络健康,对包括员工培训、情报、信息保障、风险评估和应急响应在内的风险控制问题提供指导。

随着监管机构对网络间谍风险的重视,以及将网络安全列为金融业的首要风险,金融机构应该在这方面的风险管理投资上分配更多的资源,并且应该解决导致合规失误的不合格文档和太过简单的风险管理规程。

尽管每个企业都会有自己的风险管理方法,但商业规律上还是有基于威胁接受度、严重性映射、决策影响和控制实施建议的通用工作流。要解决商业间谍问题,金融机构应该绘制出类似下面的风险管理框架

一、威胁接受度:金融机构需要承认商业间谍活动的存在。

二、集中风险管理:整个金融机构从上到下必须在网络风险管理和维护方面持负责任的态度。只有当每个人都将风险管理作为个人责任,才能实现集中风险管理,从而让商业间谍和其他攻击无懈可击。

三、渗透测试:对当前安全系统的脆弱性进行仔细而彻底的检查。包括网络地址(用来确定网络环境的拓扑结构)、网络周边设备、无线设备、基于WEB的应用程序、内部应用程序以及成品软件等等。

四、社会工程:社会工程处在风险管理识别的最薄弱环节,如果间谍活动通过公司网站进行,也考验着组织的洞察力。对社会工程风险的评估可以用来形成有针对性的培训安排,对员工在商业间谍活动威胁方面进行培训。

五、技术审计:包括全系统的安全配置审计。默认安装的应用程序可能会给对手留下入侵公司数据的漏洞,所以进行技术审计的目的就是了为防止入侵。技术审计同样也包含物理安全审计,确保商业间谍活动的所有手段都无计可施。

六、背景筛查:大量的商业间谍案件都涉及内部人士蓄意向外部对手出售组织情报。这些人都有敏感端点权限,因此背景筛查在减少内奸风险方面是非常重要的。

减轻网络情报收集的风险对于金融机构来说似乎是一项艰巨的任务,但上述风险管理框架可以做为防范商业间谍活动的重要武器。同时,它对于消除金融机构与政府网络安全机构合作之间的无形隔阂至关重要。相信采取这些方法的组织必会从中受益良多。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章