卡巴斯基金融機構保安風險報告:每次網絡事故損失近百萬美元
資訊安全解決方案供應商卡巴斯基實驗室(Kaspersky Lab),與第三方統計機構合作進行全球性問卷調查:《金融機構保安風險報告2016》針對金融行業面對日益精密的網絡攻擊威脅問題展開統計,發現金融機構遭遇網絡安全事故,每次平均損失接近100萬美元。
單一機構最高損失200萬美元
問卷調查針對金融業界專業人士面對的主要網絡威脅,以及世界各地面對網絡攻擊的經濟損失,當中發現讓金融企業蒙受最高損失的事故,始源於Point-of-Sale (PoS)系統的安全漏洞,令單一機構因此事件而損失2,086,000美元,針對流動裝置的攻擊排名第二位,導致企業損失1,641,000美元,第三位屬於造成1,305,000美元損失的針對性攻擊。
63%機構認為:單純符合規格要求並不足夠
符合監管要求(Compliance),通常是銀行和金融機構增加IT保安資源的最大誘因,然而調查發現,63%企業認為單純符合保安的規格並不足夠。另一個促使企業增加保安預算的原因,是日益複雜的網絡基礎設施環境,例如,中型金融機構採用虛擬桌面基礎設施 (Virtual Desktop Infrastructure. VDI),管理大約10,000名終端用戶,而當中大約一半屬於智能電話和平板電腦。其他增加IT保案資源的原因,主要是內部專業知識不足、高層管理指令和業務拓展,83%受訪金融企業預期未來將會增加IT保安的預算。
保安策略講求平衡
卡巴斯基實驗室企業業務副總裁Veniamin Levtsov認為,鑒於網絡攻擊造成龐大經濟損失,金融機構考慮增加保安支出實不為奇,並且指出成功的金融機構保安策略,應該著重恰當的資源平衡分配,加強防護先進的針對性攻擊,留意員工個人的保安意識,以及掌握針對行業的威脅情報。
卡巴斯基專家五項建議
研究顯示,金融機構面對保安挑戰,傾向採取通過增加威脅情報和進行保安審計的方法,73%企業認為以上措施有效。然而,金融機構都不太願意採用第三方保安服務,只有53%機構認為具有效用。卡巴斯基實驗室的專家,對金融機構提出2017年的五項保安策略建議:
- 注意針對性攻擊
對金融機構的針對性攻擊,可能會經過第三方企業或承包商來發動,這些企業通常防護意識較低,能夠透過惡意程式或網絡釣魚作為攻擊的起點。
- 不要低估較簡單的威脅
騙徒可以使用簡單的工具發動大規模攻擊,憑數量獲取可觀的收入,75%的騙徒透過社交工程行騙,只有17%採用較精密的惡意程式行事。
- 平衡資源分配
IT預算通常都會側重於滿足保安規格,但是也要兼顧強化保安和採用新技術的需要,達致合適地平衡分配資源。
- 定期進行滲透測試
現實的環境往往存在未被發現的保安漏洞,使用精密的偵測工具進行滲透測試,漏洞和事故便有機會浮現,不要放過任何弱點或漏洞以策安全。
- 留意內部威脅
職員也可能被網絡罪犯利用,有效的保安策略除了周邊的防護,也應該包括偵測內部可疑活動的技術。
詳情請參閱:
Kaspersky Lab Blog: https://business.kaspersky.com/from-the-perils-to-strategies/6682/
Securelist: https://securelist.com/analysis/publications/77623/financial-cyberthreats-in-2016