金融行業(yè)物聯(lián)網(wǎng)安全分析

研究表明，許多銀行和零售設(shè)備都過(guò)度暴露在物聯(lián)網(wǎng)設(shè)備中，為關(guān)鍵基礎(chǔ)設(shè)施和數(shù)據(jù)中心之間的橫向移動(dòng)提供了更多機(jī)會(huì)。

1

作為金融設(shè)備的個(gè)人電腦

在金融服務(wù)領(lǐng)域，個(gè)人電腦是復(fù)雜的工具，金融員工用電腦來(lái)訪問(wèn)關(guān)鍵的業(yè)務(wù)應(yīng)用程序。

不幸的是，這批電腦的用戶(hù)與AD連接的個(gè)人電腦也有AD定義的電子郵件地址，具有企業(yè)命名慣例。這些持續(xù)受騙的員工也有經(jīng)常受到攻擊的電子郵件客戶(hù)端、瀏覽器和辦公套件，他們的電腦應(yīng)該僅僅因?yàn)樗鼈儽晃锫?lián)網(wǎng)和BYOD生態(tài)系統(tǒng)所包圍，就被認(rèn)為是不安全的。

擁有高權(quán)限或管理員權(quán)限的授權(quán)用戶(hù)會(huì)對(duì)系統(tǒng)和數(shù)據(jù)構(gòu)成潛在的威脅，而對(duì)操作系統(tǒng)和系統(tǒng)工具的未經(jīng)授權(quán)的訪問(wèn)可能導(dǎo)致重大的財(cái)務(wù)和運(yùn)營(yíng)損失。

計(jì)算機(jī)、個(gè)人電腦和工作站在設(shè)備中的百分比

2

網(wǎng)絡(luò)內(nèi)的其他設(shè)備

在金融服務(wù)領(lǐng)域，電子設(shè)備幾乎和計(jì)算機(jī)一樣多。在金融服務(wù)網(wǎng)絡(luò)中，每100臺(tái)分類(lèi)計(jì)算機(jī)、個(gè)人電腦和工作站就有99臺(tái)其他設(shè)備。

加入AD的設(shè)備使銀行面臨風(fēng)險(xiǎn)，因?yàn)椴贿m當(dāng)保護(hù)的金融設(shè)備允許國(guó)家支持的犯罪分子和其他惡意行為者使用相鄰的網(wǎng)絡(luò)設(shè)備（例如打印機(jī)）訪問(wèn)關(guān)鍵銀行信息，以模仿允許的銀行轉(zhuǎn)賬。這在如今是一個(gè)真正存在的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)犯罪集團(tuán)策劃了許多針對(duì)金融服務(wù)的高級(jí)持續(xù)性威脅（APT）并取得了成功。

例如，各種報(bào)告估計(jì)，位于朝鮮的黑客通過(guò)對(duì)銀行和加密貨幣交易所發(fā)動(dòng)網(wǎng)絡(luò)攻擊，已經(jīng)從更大的金融服務(wù)行業(yè)竊取了超過(guò)20億美元。在2016年的一個(gè)具體例子中，朝鮮的網(wǎng)絡(luò)工作人員影響了紐約聯(lián)邦儲(chǔ)備銀行，使其轉(zhuǎn)移了超過(guò)8100萬(wàn)美元的資金。

為了防止這種威脅，關(guān)鍵是要保持設(shè)備分割控制，以防止金融設(shè)備和其他AD連接的設(shè)備之間的橫向移動(dòng)。

當(dāng)然，這取決于網(wǎng)絡(luò)安全利益相關(guān)者是否有工具來(lái)維護(hù)穿越IoT領(lǐng)域的所有設(shè)備的詳細(xì)資產(chǎn)清單。

3

ATM和POS機(jī)設(shè)備

首先，必須說(shuō)明的是，許多ATM位于僅有ATM的VLAN中，或以其他方式與其他設(shè)備進(jìn)行微分。

除此之外，許多ATM機(jī)在有大量其他ATM機(jī)的網(wǎng)絡(luò)中被相對(duì)良好地分割。然而，數(shù)據(jù)表明，許多ATM機(jī)與其他物聯(lián)網(wǎng)設(shè)備相鄰，如安全攝像機(jī)和物理安全系統(tǒng)，這些設(shè)備可能沒(méi)有得到嚴(yán)格控制。

自動(dòng)取款機(jī)和POS系統(tǒng)的分類(lèi)

4

IP攝像機(jī)和監(jiān)控系統(tǒng)

PCI自動(dòng)取款機(jī)安全指南明確指出，"在可能和法律允許的情況下，自動(dòng)取款機(jī)應(yīng)配備安全攝像機(jī)。"這使得IP攝像機(jī)成為自動(dòng)取款機(jī)最常見(jiàn)的鄰居。

不幸的是，該指導(dǎo)意見(jiàn)并沒(méi)有說(shuō)安全攝像機(jī)應(yīng)該與網(wǎng)絡(luò)上的金融設(shè)備分開(kāi)。人們可能會(huì)認(rèn)為，在金融服務(wù)業(yè)中，IP攝像機(jī)與中央網(wǎng)絡(luò)功能是分開(kāi)的，但事實(shí)并非如此。

IP攝像機(jī)是ATM機(jī)最常見(jiàn)的物聯(lián)網(wǎng)設(shè)備鄰居

金融服務(wù)領(lǐng)域的網(wǎng)絡(luò)安全利益相關(guān)者如果想減輕網(wǎng)絡(luò)威脅在整個(gè)大網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的橫向移動(dòng)，就應(yīng)該注意相鄰和周邊的物聯(lián)網(wǎng)設(shè)備。這些設(shè)備的互連性為攻擊者提供了一個(gè)潛在的切入點(diǎn)，使其能夠破壞關(guān)鍵業(yè)務(wù)。

5

連接的建筑物

金融服務(wù)的一個(gè)巨大關(guān)注點(diǎn)是影響到數(shù)據(jù)中心的漏洞。正如所有依賴(lài)數(shù)據(jù)中心的行業(yè)一樣，金融服務(wù)無(wú)一例外地依賴(lài)能源和電力基礎(chǔ)設(shè)施，包括與連接的建筑物和BAS有關(guān)的系統(tǒng)。因此，許多銀行已經(jīng)實(shí)施了冗余電源，以努力減輕其數(shù)據(jù)中心的風(fēng)險(xiǎn)，這是偉大的第一步。

然而，安全利益相關(guān)者應(yīng)該考慮額外的預(yù)防措施，以管理和遏制與能源和電力基礎(chǔ)設(shè)施相關(guān)的漏洞。我們的數(shù)據(jù)表明，在涉及到聯(lián)網(wǎng)的建筑基礎(chǔ)設(shè)施和定義它們的OT設(shè)備時(shí)，應(yīng)該更加關(guān)注細(xì)分策略。

金融服務(wù)領(lǐng)域75%的聯(lián)網(wǎng)建筑物聯(lián)網(wǎng)設(shè)備由物理安全系統(tǒng)和BAS技術(shù)組成，如暖通空調(diào)、溫控器和智能照明。

作為聯(lián)網(wǎng)建筑和BAS的一部分，網(wǎng)絡(luò)上的設(shè)備顯然與金融服務(wù)有關(guān)，因?yàn)檫@些機(jī)構(gòu)有許多建筑，并在物理安全和監(jiān)控的設(shè)備上投入大量資金。

金融服務(wù)互聯(lián)建筑的設(shè)備細(xì)分

6

BAS和OT

參與支持能源和電力基礎(chǔ)設(shè)施的OT設(shè)備，如UPS、SCADA/HMI、PLC和其他工業(yè)設(shè)備，占金融服務(wù)領(lǐng)域物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的14.19%。

這些UPS設(shè)備同時(shí)存在于園區(qū)和數(shù)據(jù)中心，并且有共同的計(jì)算機(jī)、服務(wù)器和物聯(lián)網(wǎng)鄰居。簡(jiǎn)而言之，UPS設(shè)備是許多設(shè)備的鄰居。

金融服務(wù)物聯(lián)網(wǎng)設(shè)備分類(lèi)（不包括打印機(jī)）

OT和BAS設(shè)備不能被忽視。UPS、PLC、SCADA/HMI和IP攝像機(jī)占金融服務(wù)領(lǐng)域所有物聯(lián)網(wǎng)設(shè)備的50%以上（不包括打印機(jī)）。

總結(jié)?

金融服務(wù)行業(yè)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須認(rèn)識(shí)到，雖然他們已經(jīng)實(shí)現(xiàn)了比許多其他行業(yè)更高的虛擬化和設(shè)備可視性，但他們?nèi)匀槐仨毺幚泶罅侩y以保障安全的IOT設(shè)備，這些設(shè)備至今仍廣泛存在于該行業(yè)中，代表著高度的未減輕的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

物聯(lián)網(wǎng)包含了無(wú)數(shù)的連接設(shè)備類(lèi)型，所有這些設(shè)備都必須被持續(xù)監(jiān)控、分類(lèi)和保護(hù)，以全面保護(hù)金融服務(wù)網(wǎng)絡(luò)。

審核編輯 ：李倩