MyException - 我的异常网
当前位置:我的异常网» 互联网 » 金融安全资讯精选 2017年第五期:WireX 僵尸网络袭

金融安全资讯精选 2017年第五期:WireX 僵尸网络袭击全球,金融企业怎么选择安全的云

www.MyException.Cn  网友分享于:2013-09-28  浏览:0次
金融安全资讯精选 2017年第五期:WireX 僵尸网络袭击全球,金融企业如何选择安全的云
<div class="iteye-blog-content-contain" style="font-size: 14px;">
<p class="blog-summary" style="margin-top: 30px; margin-bottom: 10px; padding: 16px 30px; font-size: 16px; line-height: 32px; color: #333333; table-layout: fixed; overflow: hidden; font-family: PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif; background: #f9f9f9;"><span style="font-weight: bold;">摘要:</span> 2017年金融安全威胁演进趋势,纽约发布金融安全新政策,WireX 僵尸网络袭击全球,金融企业如何选择安全的云</p>
<div class="content-detail" style="margin: 0px; padding: 40px 0px; font-size: 16px; line-height: 32px; overflow: hidden; color: #333333; font-family: PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif;">
<p style="margin-bottom: 10px; text-align: center;" align="left"> </p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"> </span></p>
<div style="margin: 0px; padding: 0px; text-align: center;"><span style="font-size: large;"><img style="vertical-align: middle; max-width: 100%; cursor: pointer;" src="https://yqfile.alicdn.com/3d4fd1956f53474cc9939731e71719b550aad415.jpeg" alt="3d4fd1956f53474cc9939731e71719b550aad415" width="800" height="600"></span></div>
<p style="margin-bottom: 10px;"> </p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px; text-align: right;" align="right"><span style="font-size: large;"><span style=""> </span><span style=""> </span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="color: #33cc99; font-size: x-large;"><span style="font-weight: bold;">【金融安全动态】</span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="text-align: left;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">2017年金融安全威胁演进趋势</span><span style="font-weight: bold;">。</span><span style="font-weight: bold; color: #33cccc; background-position: 0px 0px;"><a style="color: #00c1de; background: 0px 0px;" href="http://www.bobsguide.com/guide/news/2017/Aug/21/the-cybersecurity-risks-to-financial-services-that-are-making-the-biggest-impact-in-2017/" target="_blank">点击查看原文</a></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style=""><span style="font-weight: bold;">概要:</span></span>IT资讯服务公司Data Art的全球金融行业总监分享2017年金融行业的网络安全风险演进趋势。文章提出,金融行业里专业安全人才日渐短缺(当然,这个现象也存在于其他行业中),而安全运营的工作量日益增大,这之间的矛盾,让企业“自己做好安全”这件事变得越来越难。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style=""><span style=""><span style="font-weight: bold;">点评:</span></span></span>结合文章和我们的看法,2017年,针对金融行业的网络攻击将有两大趋势:网络犯罪的专业化:攻击不再是个人逐利行为或者黑客寻求曝光度,很多网络犯罪都是有组织有纪律,筹谋已久,下手快很准的(上周乌克兰国有银行遭受黑客攻击就是一例)。在未来,针对金融行业的网络攻防对抗会上升到国家层面,由政府、企业、第三方共同来做好安全这件事。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;">第二个趋势,是信任的崩塌。随着钓鱼、金融诈 骗、信用卡盗刷和数据泄露的加剧,银行需要花更多的心思在建立信任上,也对安全工作增加了难度。尤其是,当互联网金融逐渐兴起,有一些金融企业并没有成熟的安全机制,也没有足够的安全投入(人力+物力),解法就是银行应该加强与监管、警方、第三方的合作,用“借力”的方式补足自身的安全能力。另外,招懂行业的安全人才也非常关键,可以从现有IT人员中培训。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #33cc99; text-align: center;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"> </p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">纽约发布金融安全新政策,强调加密。</span><span style="font-weight: bold;"><a style="color: #00c1de; background: 0px 0px;" href="https://blog.thalesesecurity.com/2017/08/28/new-york-states-new-financial-services-cybersecurity-policy-relies-encryption/" target="_blank"><span style="color: #33cccc;">点击查看原文</span></a></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"><span style="font-weight: bold;">概要:</span>从8月28日开始,一部分纽约金融机构必须符合新的网络安全要求: 23 NYCRR 500。新政策在今年3月1日开始生效,并给了金融机构3个月的缓冲期去改善安全状况,并会在接下来的两年不断有新的合规要求推出,例如要求纽约金融机构在2018年9月之前制定加密策略,另外一些要求包括雇佣CISO,访问控制策略,有效的漏洞评估执行等等。没有在规定时间内符合要求,继续暴露安全风险的公司,将会受到相应处罚。</span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;">纽约是全球金融中心之一,金融行业是纽约的经济命脉,而过去一两年,很多金融企业因网络犯罪而遭受的损失巨大,让相关部门将安全体系建设提上了强制要求的日程。</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-weight: bold;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"> </p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">点评:</span>和中国的信息安全等级保护一样,规章制度的建立是在短时间内提升行业安全水准最有效的办法,从长远来说,会帮助金融行业更好地减少损失。对于金融企业来说,也可以通过“过合规”这个过程,梳理自身安全方面</span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #33cc99; text-align: center;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style=""><span style=""><span style="color: #33cc99; font-size: x-large;"><span style="font-weight: bold;">【相关安全事件】</span></span></span><br style=""></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #33cc99; text-align: center;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-weight: bold;"><span style="font-size: large;"> </span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">WireX 僵尸网络袭击全球,IP数量峰值接近14万</span><span style="font-weight: bold;">。</span><span style="font-weight: bold;"><span style="color: #33cccc; background: 0px 0px;"><a style="color: #00c1de; background: 0px 0px;" href="https://blog.cloudflare.com/the-wirex-botnet/" target="_blank">点击查看原文</a></span></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<span style="font-size: large;"><span style="font-weight: bold;">概要:</span><span style="">2017年8月17日,多个内容传送网络(CDN)和内容提供商遭受来自僵尸网络(WireX)的重大攻击。这是自Mirai之后,业界联合发现的又一次较大规模的DDoS攻击,集中表现在HTTP Flood攻击,攻击中使用的真实IP数量峰值接近14万。攻击手法并非新奇,但与以往攻击相比,此次攻击控制了许多新的IP。</span><br style=""><span style=""> </span><br style=""><span style="">来自</span><span style="">Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ和Team Cymru的研究人员发现,DDoS攻击者利用被感染Android App来发起攻击。</span><br style=""> <br style=""><span style="">恶意程序多潜藏在媒体</span><span style="">/视频播放器/铃声/存储管理器等工具App中,这些应用程序还利用了Android服务架构的功能,允许应用程序即使在后台也可以使用系统资源,因此能够在应用程序未被使用时发起攻击。防病毒扫描仪目前将此恶意软件识别为“Android Clicker”特洛伊木马。最新消息称,Google已经下架了300款被植入恶意程序用以发起攻击的App。</span><br style=""></span>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"><span style="font-weight: bold;"><span style=""><span style="font-size: large;"> </span></span></span></p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"> </p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="color: #33cc99; font-size: large;"> </span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="color: #33cc99; font-size: x-large;"><span style="font-weight: bold;">【云上视角】</span></span></p>
<p style="margin-bottom: 10px; text-align: center;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"><span style="font-weight: bold;">云安全方法论:如何验证你的数据在云上是否安全,以及如何让你的数据更安全?</span><span style="color: #33cccc; background-position: 0px 0px;"><span style=""><span style="font-weight: bold;"><a style="color: #00c1de; background: 0px 0px;" href="http://www.eetimes.com/author.asp?section_id=36&amp;doc_id=1332085" target="_blank">点击查看原文</a></span></span></span></span></p>
<p style="margin-bottom: 10px;" align="left"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;" align="left"><span style="color: #000000;"><span style="font-size: large;"> </span></span></p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"> </p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"><span style="font-weight: bold;">概要:</span>这篇文章站在云使用者的角度,提出了用户安全的“验证”机制和方法论:如何消除上云时对安全的担忧,放心上云。首先,作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系,CSA STAR认证,FedRamp(FedRamp是美国联邦风险和授权管理计划,对云产品和服务进行安全性评估、授权和持续监控。在中国,企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级)。</span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"><span style="font-size: large;">其次,数据可用性是另外一个标准,包括数据冗余,用户是否能比较容易地从云上卸载数据等。数据加密默认功能和给企业所提供的工具也是一部分;最后,作者认为,光去验证云平台的数据安全是不行的,毕竟企业还有自己的责任在。对此,作者指出,46%的数据泄露都是因为企业内容不按规矩执行安全策略和规定。建议上云企业别把数据放在一个篮子力,重视访问控制,把安全提到更重要的上云战略高度。</span></p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"><span style="font-size: large;"> </span></p>
<p style="margin-bottom: 10px;"> </p>
<p style="margin-top: 0cm; margin-bottom: 7.5pt;"> </p>
<p style="margin-bottom: 10px;"><span style="font-size: large;"><span style="font-weight: bold;">点评:</span>文章提出的标准和建议值得参阅。国内金融企业在选购云平台时,对资质的考察通常会关注的资质是对等级保护的满足情况,ISO27000系列的满足情况,部分企业,例如支付行业的客户还可以看看云平台是否具备PCI-DSS的认证情况;同时,也可以了解一下云平台的运营方自身对数据安全的重视程度。在使用了云平台之后,通过云安全产品去增强自身业务的安全性也是安全运营重要的一个部分。</span></p>
</div>
</div>

文章评论

做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
10个调试和排错的小建议
10个调试和排错的小建议
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
漫画:程序员的工作
漫画:程序员的工作
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
我是如何打败拖延症的
我是如何打败拖延症的
每天工作4小时的程序员
每天工作4小时的程序员
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
我的丈夫是个程序员
我的丈夫是个程序员
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
中美印日四国程序员比较
中美印日四国程序员比较
程序员应该关注的一些事儿
程序员应该关注的一些事儿
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
程序员和编码员之间的区别
程序员和编码员之间的区别
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
Java程序员必看电影
Java程序员必看电影
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
为什么程序员都是夜猫子
为什么程序员都是夜猫子
如何成为一名黑客
如何成为一名黑客
程序员都该阅读的书
程序员都该阅读的书
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
旅行,写作,编程
旅行,写作,编程
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
代码女神横空出世
代码女神横空出世
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
编程语言是女人
编程语言是女人
 程序员的样子
程序员的样子
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
鲜为人知的编程真相
鲜为人知的编程真相
程序员必看的十大电影
程序员必看的十大电影
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
老程序员的下场
老程序员的下场
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有