金融安全资讯精选 2017年第五期:2017年金融安全威胁演进趋势,纽约发布金融安全新政策,金融企业如何选择安全的云
2017-08-31 15:16
871 查看
摘要: 2017年金融安全威胁演进趋势,纽约发布金融安全新政策,WireX 僵尸网络袭击全球,金融企业如何选择安全的云
【金融安全动态】
2017年金融安全威胁演进趋势。点击查看原文
概要:IT资讯服务公司Data Art的全球金融行业总监分享2017年金融行业的网络安全风险演进趋势。文章提出,金融行业里专业安全人才日渐短缺(当然,这个现象也存在于其他行业中),而安全运营的工作量日益增大,这之间的矛盾,让企业“自己做好安全”这件事变得越来越难。
点评:结合文章和我们的看法,2017年,针对金融行业的网络攻击将有两大趋势:网络犯罪的专业化:攻击不再是个人逐利行为或者黑客寻求曝光度,很多网络犯罪都是有组织有纪律,筹谋已久,下手快很准的(上周乌克兰国有银行遭受黑客攻击就是一例)。在未来,针对金融行业的网络攻防对抗会上升到国家层面,由政府、企业、第三方共同来做好安全这件事。
第二个趋势,是信任的崩塌。随着钓鱼、金融诈骗、信用卡盗刷和数据泄露的加剧,银行需要花更多的心思在建立信任上,也对安全工作增加了难度。尤其是,当互联网金融逐渐兴起,有一些金融企业并没有成熟的安全机制,也没有足够的安全投入(人力+物力),解法就是银行应该加强与监管、警方、第三方的合作,用“借力”的方式补足自身的安全能力。另外,招懂行业的安全人才也非常关键,可以从现有IT人员中培训。
纽约发布金融安全新政策,强调加密。点击查看原文
概要:从8月28日开始,一部分纽约金融机构必须符合新的网络安全要求: 23 NYCRR 500。新政策在今年3月1日开始生效,并给了金融机构3个月的缓冲期去改善安全状况,并会在接下来的两年不断有新的合规要求推出,例如要求纽约金融机构在2018年9月之前制定加密策略,另外一些要求包括雇佣CISO,访问控制策略,有效的漏洞评估执行等等。没有在规定时间内符合要求,继续暴露安全风险的公司,将会受到相应处罚。
纽约是全球金融中心之一,金融行业是纽约的经济命脉,而过去一两年,很多金融企业因网络犯罪而遭受的损失巨大,让相关部门将安全体系建设提上了强制要求的日程。
点评:和中国的信息安全等级保护一样,规章制度的建立是在短时间内提升行业安全水准最有效的办法,从长远来说,会帮助金融行业更好地减少损失。对于金融企业来说,也可以通过“过合规”这个过程,梳理自身安全方面
【相关安全事件】
WireX 僵尸网络袭击全球,IP数量峰值接近14万。点击查看原文
概要:2017年8月17日,多个内容传送网络(CDN)和内容提供商遭受来自僵尸网络(WireX)的重大攻击。这是自Mirai之后,业界联合发现的又一次较大规模的DDoS攻击,集中表现在HTTP
Flood攻击,攻击中使用的真实IP数量峰值接近14万。攻击手法并非新奇,但与以往攻击相比,此次攻击控制了许多新的IP。
来自Akamai, Cloudflare, Flashpoint, Google, Oracle
Dyn, RiskIQ和Team Cymru的研究人员发现,DDoS攻击者利用被感染Android App来发起攻击。
恶意程序多潜藏在媒体/视频播放器/铃声/存储管理器等工具App中,这些应用程序还利用了Android服务架构的功能,允许应用程序即使在后台也可以使用系统资源,因此能够在应用程序未被使用时发起攻击。防病毒扫描仪目前将此恶意软件识别为“Android
Clicker”特洛伊木马。最新消息称,Google已经下架了300款被植入恶意程序用以发起攻击的App。
【云上视角】
云安全方法论:如何验证你的数据在云上是否安全,以及如何让你的数据更安全?点击查看原文
概要:这篇文章站在云使用者的角度,提出了用户安全的“验证”机制和方法论:如何消除上云时对安全的担忧,放心上云。首先,作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系,CSA STAR认证,FedRamp(FedRamp是美国联邦风险和授权管理计划,对云产品和服务进行安全性评估、授权和持续监控。在中国,企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级)。
其次,数据可用性是另外一个标准,包括数据冗余,用户是否能比较容易地从云上卸载数据等。数据加密默认功能和给企业所提供的工具也是一部分;最后,作者认为,光去验证云平台的数据安全是不行的,毕竟企业还有自己的责任在。对此,作者指出,46%的数据泄露都是因为企业内容不按规矩执行安全策略和规定。建议上云企业别把数据放在一个篮子力,重视访问控制,把安全提到更重要的上云战略高度。
点评:文章提出的标准和建议值得参阅。国内金融企业在选购云平台时,对资质的考察通常会关注的资质是对等级保护的满足情况,ISO27000系列的满足情况,部分企业,例如支付行业的客户还可以看看云平台是否具备PCI-DSS的认证情况;同时,也可以了解一下云平台的运营方自身对数据安全的重视程度。在使用了云平台之后,通过云安全产品去增强自身业务的安全性也是安全运营重要的一个部分。
本文为云栖社区原创内容,未经允许不得转载,如需转载请发送邮件至yqeditor@list.alibaba-inc.com
【金融安全动态】
2017年金融安全威胁演进趋势。点击查看原文
概要:IT资讯服务公司Data Art的全球金融行业总监分享2017年金融行业的网络安全风险演进趋势。文章提出,金融行业里专业安全人才日渐短缺(当然,这个现象也存在于其他行业中),而安全运营的工作量日益增大,这之间的矛盾,让企业“自己做好安全”这件事变得越来越难。
点评:结合文章和我们的看法,2017年,针对金融行业的网络攻击将有两大趋势:网络犯罪的专业化:攻击不再是个人逐利行为或者黑客寻求曝光度,很多网络犯罪都是有组织有纪律,筹谋已久,下手快很准的(上周乌克兰国有银行遭受黑客攻击就是一例)。在未来,针对金融行业的网络攻防对抗会上升到国家层面,由政府、企业、第三方共同来做好安全这件事。
第二个趋势,是信任的崩塌。随着钓鱼、金融诈骗、信用卡盗刷和数据泄露的加剧,银行需要花更多的心思在建立信任上,也对安全工作增加了难度。尤其是,当互联网金融逐渐兴起,有一些金融企业并没有成熟的安全机制,也没有足够的安全投入(人力+物力),解法就是银行应该加强与监管、警方、第三方的合作,用“借力”的方式补足自身的安全能力。另外,招懂行业的安全人才也非常关键,可以从现有IT人员中培训。
纽约发布金融安全新政策,强调加密。点击查看原文
概要:从8月28日开始,一部分纽约金融机构必须符合新的网络安全要求: 23 NYCRR 500。新政策在今年3月1日开始生效,并给了金融机构3个月的缓冲期去改善安全状况,并会在接下来的两年不断有新的合规要求推出,例如要求纽约金融机构在2018年9月之前制定加密策略,另外一些要求包括雇佣CISO,访问控制策略,有效的漏洞评估执行等等。没有在规定时间内符合要求,继续暴露安全风险的公司,将会受到相应处罚。
纽约是全球金融中心之一,金融行业是纽约的经济命脉,而过去一两年,很多金融企业因网络犯罪而遭受的损失巨大,让相关部门将安全体系建设提上了强制要求的日程。
点评:和中国的信息安全等级保护一样,规章制度的建立是在短时间内提升行业安全水准最有效的办法,从长远来说,会帮助金融行业更好地减少损失。对于金融企业来说,也可以通过“过合规”这个过程,梳理自身安全方面
【相关安全事件】
WireX 僵尸网络袭击全球,IP数量峰值接近14万。点击查看原文
概要:2017年8月17日,多个内容传送网络(CDN)和内容提供商遭受来自僵尸网络(WireX)的重大攻击。这是自Mirai之后,业界联合发现的又一次较大规模的DDoS攻击,集中表现在HTTP
Flood攻击,攻击中使用的真实IP数量峰值接近14万。攻击手法并非新奇,但与以往攻击相比,此次攻击控制了许多新的IP。
来自Akamai, Cloudflare, Flashpoint, Google, Oracle
Dyn, RiskIQ和Team Cymru的研究人员发现,DDoS攻击者利用被感染Android App来发起攻击。
恶意程序多潜藏在媒体/视频播放器/铃声/存储管理器等工具App中,这些应用程序还利用了Android服务架构的功能,允许应用程序即使在后台也可以使用系统资源,因此能够在应用程序未被使用时发起攻击。防病毒扫描仪目前将此恶意软件识别为“Android
Clicker”特洛伊木马。最新消息称,Google已经下架了300款被植入恶意程序用以发起攻击的App。
【云上视角】
云安全方法论:如何验证你的数据在云上是否安全,以及如何让你的数据更安全?点击查看原文
概要:这篇文章站在云使用者的角度,提出了用户安全的“验证”机制和方法论:如何消除上云时对安全的担忧,放心上云。首先,作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系,CSA STAR认证,FedRamp(FedRamp是美国联邦风险和授权管理计划,对云产品和服务进行安全性评估、授权和持续监控。在中国,企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级)。
其次,数据可用性是另外一个标准,包括数据冗余,用户是否能比较容易地从云上卸载数据等。数据加密默认功能和给企业所提供的工具也是一部分;最后,作者认为,光去验证云平台的数据安全是不行的,毕竟企业还有自己的责任在。对此,作者指出,46%的数据泄露都是因为企业内容不按规矩执行安全策略和规定。建议上云企业别把数据放在一个篮子力,重视访问控制,把安全提到更重要的上云战略高度。
点评:文章提出的标准和建议值得参阅。国内金融企业在选购云平台时,对资质的考察通常会关注的资质是对等级保护的满足情况,ISO27000系列的满足情况,部分企业,例如支付行业的客户还可以看看云平台是否具备PCI-DSS的认证情况;同时,也可以了解一下云平台的运营方自身对数据安全的重视程度。在使用了云平台之后,通过云安全产品去增强自身业务的安全性也是安全运营重要的一个部分。
本文为云栖社区原创内容,未经允许不得转载,如需转载请发送邮件至yqeditor@list.alibaba-inc.com
相关文章推荐
- 金融安全资讯精选 2017年第五期:WireX 僵尸网络袭击全球,金融企业如何选择安全的云
- 金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少
- 金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
- 金融安全资讯精选 2018年第三期:上海P2P备案大考来临,新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全
- 政府安全资讯精选 2017年第五期 各国加强隐私和个人信息保护
- 7月31日云栖精选夜读:金融安全资讯精选 2017年第一期:云战略下的安全思维转型与新认知
- 政府安全资讯精选 2017年第八期 等保检查工作、网络安全威胁监测与处置办法细化,监管有据可依
- 金融安全资讯精选 2017年第十九期:习近平谈维护金融安全,Forcepoint预测:大量收集用户数据的机构将成2018年攻击目标,广东农信与阿里云达成战略合作
- 游戏安全资讯精选 2017年第十一期 英国彩票网遭遇DDoS攻击,中断90分钟 微软“10月周二补丁日”发布63个漏洞补丁
- 游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁
- 金融安全资讯精选 2017年第十一期 银行木马利用VMvare进行传播 研究人员发现新型安卓银行木马Red Alert
- 政府安全资讯精选 2017年第五期 各国加强隐私和个人信息保护
- 7月31日云栖精选夜读:金融安全资讯精选 2017年第一期:云战略下的安全思维转型与新认知
- 游戏安全资讯精选2017年第五期:国际网络犯罪基础设施被曝光
- 政府安全资讯精选 2017年第九期 全球互联网企业内容安全责任加重,首批互联网产品隐私条款评审“成绩单”公布
- 7月31日云栖精选夜读:金融安全资讯精选 2017年第一期:云战略下的安全思维转型与新认知
- 金融安全资讯精选 2017年第四期:全球安全支出走高,外国银行再遭黑客袭击
- 政府安全资讯精选 2017年第二十期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
- 7月31日云栖精选夜读:金融安全资讯精选 2017年第一期:云战略下的安全思维转型与新认知