网络威胁:金融公司机动足够快吗?

有组织犯罪正寻求盈利帐户凭据和接管账户被盗,有时利用付款或消息传递基础设施。在最近的一个备受瞩目的案件中,黑客进入斯威夫特的系统和从孟加拉中央银行偷了8100万美元在纽约联邦储备银行的账户。

战略等竞争对手俄罗斯、中国、朝鲜、伊朗和其他黑客获得特定数据,复制的商业模式,扰乱市场的运作。一个典型的例子是2012 - 2013分布式拒绝服务攻击美国金融部门。据称袭击nation-state-sponsored组的工作。2016年3月,美国司法部起诉七伊朗人,USAttorney办公室在一份声明中称,“是受雇于两个伊朗电脑公司,ITSecTeam(“安全评估”)和Mersad公司(“Mersad”),这是由伊朗的伊斯兰革命卫队。”

“投资公司是处理许多不同的挑战,这往往是不同的银行和支付处理商,”约翰·卡尔森说参谋长在金融服务信息共享和分析中心(FS-ISAC)。“对手后不同元素的部门是出于不同的原因。”

所花的钱数来保护金融服务业增长明显。2020年,组织所有行业预计将花费1016亿美元在网络安全软件,服务和硬件,据国际数据公司(IDC)。这是一个737亿美元,增长27%组织于2016年将花在网络安全。IDC预计,2016年将看到银行业花更多的比其他任何网络安全;摩根大通(JP Morgan)就宣布计划在2015年8月预算翻倍至5亿美元。

“整个IT组织在巨大的压力下是保护资产,”奥布里尼克说,国家危机和连续性协调中心的CEO (NC4),总部设在加利福尼亚的埃尔塞贡多。“没有一家银行想要名誉损失对他们的cyber-disclosures通过一篇文章出现,然而,这几乎是不可能没有这样的事情发生。”

金融服务业包含广泛的几种网络安全框架建议公司应该做什么来分析和应对威胁,所以许多疲劳是导致框架。仅举几例:国家标准与技术研究所的NIST的框架;联邦金融机构检查委员会从其网站上提供了网络安全评估工具;和世界交易所联合会全球交换网络安全工作组。

2016年10月,G7国家发布了他们八金融业网络安全的基本要素。就在同一个月,美联储、联邦存款保险公司和美国货币监理署办公室宣布自己的联合提议的规则。后者适用于任何需要存款和金融公司拥有至少500亿美元的资产,包括地区性银行,信用卡业务,大型保险公司,清算所。

为此,金融公司正在建造堡垒以保护自己免受网络威胁。许多供应商提供硬件、防火墙、软件包、咨询等专业服务已经成为一个数十亿美元的产业。

因为攻击有很多不同的形式,公司通常有一个安全策略,制定分层防御方法。这种策略涉及到安全策略和程序,如密码安全实践、技术安全控制,实时威胁情报分析,和员工cyber-awareness培训。不过,重要的是要超越在一个企业到底发生了什么之间的企业。

“共享网络威胁信息与其他公司会有一个问题,”尼克说。“他们不想分享由于法律方面的原因,在很多情况下,他们当然不希望竞争对手发现他们的攻击。”

为了解决法律和机密性问题,美国政府通过了网络安全信息共享法案,和美国国土安全部(DHS)开发了自动共享计划指标。此外,信息共享和分析中心(直接督导下)允许匿名组织共享敏感信息通过一个受信任的中介。FS-ISAC,金融服务行业的实体,有成千上万的会员,包括各种规模的银行和资产管理公司。

FS-ISAC促进信息共享的漏洞,发生率,威胁,从几种类型的对手和活动,包括有组织犯罪、民族国家和犯罪的黑客。它还跑练习,提供机会更深入地审视机构和其他部门之间的相互依赖关系,尤其是零售、法律、电力和通讯领域。这些练习使更有效的配合执法——尤其是美国联邦调查局和美国特勤处处理攻击是从民族国家。

作为其证券行业风险组织的一部分,该组织有一个经纪自营商协会,一个资产管理委员会,和另一个投资者对对冲基金委员会,风险资本和私人股本公司。这些议会信任社区的从业者有自己的讨论特定的威胁,问题,和法规遵从性的挑战。

“这些活动增强FS-ISAC成员的弹性和他们了解环境变化的能力,从而驱动控制他们需要的类型,”卡尔森说。“我们可以合作作为一个社区,并找出如何最好地应对不同的事件展开或升级的重要性。”

金融服务业13网络安全进行模拟演习中领导人在2015年的公共和私营部门。发现从一个运动是在某些情况下,数据的完整性可能会质疑,因为破坏性的恶意软件攻击金融机构或服务提供者。从私营部门领导人决定,还需要做更多的工作来维护投资者和储户信心面对网络风险。

作为回应,整个行业合作的一组标准存储、加密、和格式经纪和储蓄帐户余额信息,这样其他机构可以在一个极端的场景。这种合作被称为庇护港计划。FS-ISAC是管理的企业实体,参与开放给所有金融机构。

另一个重要的倡议是金融系统性分析和弹性中心。它是专为金融机构,美国政府指定作为关键基础设施的一部分,在2013年的奥巴马政府的行政命令。2016年,这些组织的首席执行官决定形成一个实体FS-ISAC下更关注信息共享,以及更深层次的分析和与政府接触,特别是执法机构。

最近,ransomware攻击在金融服务和其他部门都增加了。在这样的攻击,敌人获得访问系统,对关键数据进行加密,然后要求赎金(通常在比特币)解密并返回数据。作为回应,FS-ISAC与其他直接督导下,联邦调查局秘密服务,和各种技术供应商召开16“Ransomware 101研讨会”在美国。超过3000商人参加了这些活动,它的目的是提高对ransomware威胁的认识和教育组织对如何预防和应对它们。

FS-ISAC也进行电话会议,公布最佳实践论文写的网络安全专家。成员共享信息以多种方式,包括在一个安全的门户,通过特定的电子邮件分发列表,并通过自动化机器对机器共享指标。所有分享由FS-ISAC的操作规则和共享协议和过滤的信任和红绿灯协议(彩色标签方法信息敏感度)。分享的是匿名进行的。

当然,手工输入信息门户中永远不会足够跟上所有的威胁。2014年,FS-ISAC和Depository Trust & Clearing Corporation联手创建Soltra(公司现在属于NC4),使网络威胁情报共享结构,自动格式。

从本质上讲,FS-ISAC整理威胁信息,NC4为匿名的信息共享提供了一种机制,有利于其他公司和支持各种网络安全框架。公司可能每天收到1000多个警报——有些是一个描述性的包提供的信息威胁,而其他人更结构化的。

心网络是另一个公司与FS-ISAC实施威胁情报为金融部门和教育员工。在他的第一个任期内,奥巴马总统想要一个开/关开关的互联网可以部署在ISP层面保护美国免受外国攻击。心网络的技术开发解决这个问题通过国土安全部项目,类似于类型的项目由美国国防高级研究计划局完成。部署的解决方案不是因为隐私问题,所以重新包装和销售企业。

“在ISP层面,设备必须非常快,”帕内尔解释说。“我们不想任何延迟引入到网络,但是我们希望能够拿下的大片地区互联网如果有攻击我们。”

高速解决方案检查每一个数据包,寻找任何类型的流量匹配网络威胁的情报。知识产权有两个部分:高速算法和专用设备。心网络设计和制造中使用的大多数组件设备的建设(包括主板、体系结构和电源)在美国。

“我们不能只从中国购买设备和把这个高速算法没有意识到可能会有一个供应链的影响,”帕内尔说。“金融部门喜欢盒子因为我们有完全控制硬件的制造,以及高速算法。”

高速盒子坐在公司的访问点。他们寻找特定类型的交通,堵塞或登录,然后由分析师审查。这些盒子都部署在顶级公司和小型组织。虽然心网络的力量已经被证明是在使用前50名的金融公司,它最近进行一个成功的概念证明小银行,以确保解决方案适用于规模较小。

心网络最近还进行了威胁评估的大型对冲基金。它安装了一个物理设备在公司的位置检查交通网络。然后解释数据并提供每周报告,包括上下文信息和建议修正这些感染。

Frost & Sullivan的2015年的一项研究显示,全球培训网络安全专业人员短缺在五年内将达到150万。因为这个角色需要混合技能,许多类型的专家参与决策,解决问题,和响应工作。律师确定多少信息,应该可以与他人分享,包括政府机构。企业公关人员管理声誉风险和回答查询客户对cyber-events响应的有效性。

金融专业人士也可以应用他们的知识和技能,特别是如果他们有一个企业管理背景。他们可以帮助董事会之间理解的桥梁和操作机构,以及IT组织和业务之间的关系。金融公司是黑客攻击时,可能需要采取一个服务器脱机——此举可能扰乱业务。这样的决定可能需要由一个跨学科的团队。

“没有完全安全的网络,”帕内尔说。“你需要能够确定可接受的风险水平,您的组织将允许,平衡的安全性和成本影响你的组织是愿意接受。”

这篇文章原本跑在2017年3月出版的爱游戏安全吗CFA协会杂志。

如果你喜欢这篇文章,别忘了订阅有事业心的投资者。

---

所有文章作者的观点。因此,他们不应该被视为投资建议,也不代表CFA协会的观点表达的观点或作者的雇主。爱游戏安全吗

图片来源:©盖蒂图片社/ Bannosuke