資訊安全解決方案供應商卡巴斯基實驗室(Kaspersky Lab),與第三方統計機構合作進行全球性問卷調查:《金融機構保安風險報告2016》針對金融行業面對日益精密的網絡攻擊威脅問題展開統計,發現金融機構遭遇網絡安全事故,每次平均損失接近100萬美元。

 

單一機構最高損失200萬美元

問卷調查針對金融業界專業人士面對的主要網絡威脅,以及世界各地面對網絡攻擊的經濟損失,當中發現讓金融企業蒙受最高損失的事故,始源於Point-of-Sale (PoS)系統的安全漏洞,令單一機構因此事件而損失2,086,000美元,針對流動裝置的攻擊排名第二位,導致企業損失1,641,000美元,第三位屬於造成1,305,000美元損失的針對性攻擊。

 

主要網絡威脅,PoS為首位。
主要網絡威脅,PoS為首位。

 

63%機構認為:單純符合規格要求並不足夠

符合監管要求(Compliance),通常是銀行和金融機構增加IT保安資源的最大誘因,然而調查發現,63%企業認為單純符合保安的規格並不足夠。另一個促使企業增加保安預算的原因,是日益複雜的網絡基礎設施環境,例如,中型金融機構採用虛擬桌面基礎設施 (Virtual Desktop Infrastructure. VDI),管理大約10,000名終端用戶,而當中大約一半屬於智能電話和平板電腦。其他增加IT保案資源的原因,主要是內部專業知識不足、高層管理指令和業務拓展,83%受訪金融企業預期未來將會增加IT保安的預算。

 

保安策略講求平衡

卡巴斯基實驗室企業業務副總裁Veniamin Levtsov認為,鑒於網絡攻擊造成龐大經濟損失,金融機構考慮增加保安支出實不為奇,並且指出成功的金融機構保安策略,應該著重恰當的資源平衡分配,加強防護先進的針對性攻擊,留意員工個人的保安意識,以及掌握針對行業的威脅情報。

 

企業應該在網絡安全增加撥款的11個理由。
企業應該在網絡安全增加撥款的11個理由。

 

卡巴斯基專家五項建議

研究顯示,金融機構面對保安挑戰,傾向採取通過增加威脅情報和進行保安審計的方法,73%企業認為以上措施有效。然而,金融機構都不太願意採用第三方保安服務,只有53%機構認為具有效用。卡巴斯基實驗室的專家,對金融機構提出2017年的五項保安策略建議:

  1. 注意針對性攻擊

對金融機構的針對性攻擊,可能會經過第三方企業或承包商來發動,這些企業通常防護意識較低,能夠透過惡意程式或網絡釣魚作為攻擊的起點。

 

  1. 不要低估較簡單的威脅

騙徒可以使用簡單的工具發動大規模攻擊,憑數量獲取可觀的收入,75%的騙徒透過社交工程行騙,只有17%採用較精密的惡意程式行事。

  1. 平衡資源分配

IT預算通常都會側重於滿足保安規格,但是也要兼顧強化保安和採用新技術的需要,達致合適地平衡分配資源。

  1. 定期進行滲透測試

現實的環境往往存在未被發現的保安漏洞,使用精密的偵測工具進行滲透測試,漏洞和事故便有機會浮現,不要放過任何弱點或漏洞以策安全。

  1. 留意內部威脅

職員也可能被網絡罪犯利用,有效的保安策略除了周邊的防護,也應該包括偵測內部可疑活動的技術。

詳情請參閱:

Kaspersky Lab Blog: https://business.kaspersky.com/from-the-perils-to-strategies/6682/

Securelist: https://securelist.com/analysis/publications/77623/financial-cyberthreats-in-2016

Chris
About Admin

Chris Wong,IT Pro記者,喜歡吸收新事物。

Similar Posts

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *