金融行業(yè)物聯(lián)網(wǎng)安全分析

研究表明，許多銀行和零售設(shè)備都過度暴露在物聯(lián)網(wǎng)設(shè)備中，為關(guān)鍵基礎(chǔ)設(shè)施和數(shù)據(jù)中心之間的橫向移動提供了更多機會。

1

作為金融設(shè)備的個人電腦

在金融服務(wù)領(lǐng)域，個人電腦是復雜的工具，金融員工用電腦來訪問關(guān)鍵的業(yè)務(wù)應用程序。

不幸的是，這批電腦的用戶與AD連接的個人電腦也有AD定義的電子郵件地址，具有企業(yè)命名慣例。這些持續(xù)受騙的員工也有經(jīng)常受到攻擊的電子郵件客戶端、瀏覽器和辦公套件，他們的電腦應該僅僅因為它們被物聯(lián)網(wǎng)和BYOD生態(tài)系統(tǒng)所包圍，就被認為是不安全的。

擁有高權(quán)限或管理員權(quán)限的授權(quán)用戶會對系統(tǒng)和數(shù)據(jù)構(gòu)成潛在的威脅，而對操作系統(tǒng)和系統(tǒng)工具的未經(jīng)授權(quán)的訪問可能導致重大的財務(wù)和運營損失。

計算機、個人電腦和工作站在設(shè)備中的百分比

2

網(wǎng)絡(luò)內(nèi)的其他設(shè)備

在金融服務(wù)領(lǐng)域，電子設(shè)備幾乎和計算機一樣多。在金融服務(wù)網(wǎng)絡(luò)中，每100臺分類計算機、個人電腦和工作站就有99臺其他設(shè)備。

加入AD的設(shè)備使銀行面臨風險，因為不適當保護的金融設(shè)備允許國家支持的犯罪分子和其他惡意行為者使用相鄰的網(wǎng)絡(luò)設(shè)備（例如打印機）訪問關(guān)鍵銀行信息，以模仿允許的銀行轉(zhuǎn)賬。這在如今是一個真正存在的風險。

網(wǎng)絡(luò)犯罪集團策劃了許多針對金融服務(wù)的高級持續(xù)性威脅（APT）并取得了成功。

例如，各種報告估計，位于朝鮮的黑客通過對銀行和加密貨幣交易所發(fā)動網(wǎng)絡(luò)攻擊，已經(jīng)從更大的金融服務(wù)行業(yè)竊取了超過20億美元。在2016年的一個具體例子中，朝鮮的網(wǎng)絡(luò)工作人員影響了紐約聯(lián)邦儲備銀行，使其轉(zhuǎn)移了超過8100萬美元的資金。

為了防止這種威脅，關(guān)鍵是要保持設(shè)備分割控制，以防止金融設(shè)備和其他AD連接的設(shè)備之間的橫向移動。

當然，這取決于網(wǎng)絡(luò)安全利益相關(guān)者是否有工具來維護穿越IoT領(lǐng)域的所有設(shè)備的詳細資產(chǎn)清單。

3

ATM和POS機設(shè)備

首先，必須說明的是，許多ATM位于僅有ATM的VLAN中，或以其他方式與其他設(shè)備進行微分。

除此之外，許多ATM機在有大量其他ATM機的網(wǎng)絡(luò)中被相對良好地分割。然而，數(shù)據(jù)表明，許多ATM機與其他物聯(lián)網(wǎng)設(shè)備相鄰，如安全攝像機和物理安全系統(tǒng)，這些設(shè)備可能沒有得到嚴格控制。

自動取款機和POS系統(tǒng)的分類

4

IP攝像機和監(jiān)控系統(tǒng)

PCI自動取款機安全指南明確指出，"在可能和法律允許的情況下，自動取款機應配備安全攝像機。"這使得IP攝像機成為自動取款機最常見的鄰居。

不幸的是，該指導意見并沒有說安全攝像機應該與網(wǎng)絡(luò)上的金融設(shè)備分開。人們可能會認為，在金融服務(wù)業(yè)中，IP攝像機與中央網(wǎng)絡(luò)功能是分開的，但事實并非如此。

IP攝像機是ATM機最常見的物聯(lián)網(wǎng)設(shè)備鄰居

金融服務(wù)領(lǐng)域的網(wǎng)絡(luò)安全利益相關(guān)者如果想減輕網(wǎng)絡(luò)威脅在整個大網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的橫向移動，就應該注意相鄰和周邊的物聯(lián)網(wǎng)設(shè)備。這些設(shè)備的互連性為攻擊者提供了一個潛在的切入點，使其能夠破壞關(guān)鍵業(yè)務(wù)。

5

連接的建筑物

金融服務(wù)的一個巨大關(guān)注點是影響到數(shù)據(jù)中心的漏洞。正如所有依賴數(shù)據(jù)中心的行業(yè)一樣，金融服務(wù)無一例外地依賴能源和電力基礎(chǔ)設(shè)施，包括與連接的建筑物和BAS有關(guān)的系統(tǒng)。因此，許多銀行已經(jīng)實施了冗余電源，以努力減輕其數(shù)據(jù)中心的風險，這是偉大的第一步。

然而，安全利益相關(guān)者應該考慮額外的預防措施，以管理和遏制與能源和電力基礎(chǔ)設(shè)施相關(guān)的漏洞。我們的數(shù)據(jù)表明，在涉及到聯(lián)網(wǎng)的建筑基礎(chǔ)設(shè)施和定義它們的OT設(shè)備時，應該更加關(guān)注細分策略。

金融服務(wù)領(lǐng)域75%的聯(lián)網(wǎng)建筑物聯(lián)網(wǎng)設(shè)備由物理安全系統(tǒng)和BAS技術(shù)組成，如暖通空調(diào)、溫控器和智能照明。

作為聯(lián)網(wǎng)建筑和BAS的一部分，網(wǎng)絡(luò)上的設(shè)備顯然與金融服務(wù)有關(guān)，因為這些機構(gòu)有許多建筑，并在物理安全和監(jiān)控的設(shè)備上投入大量資金。

金融服務(wù)互聯(lián)建筑的設(shè)備細分

6

BAS和OT

參與支持能源和電力基礎(chǔ)設(shè)施的OT設(shè)備，如UPS、SCADA/HMI、PLC和其他工業(yè)設(shè)備，占金融服務(wù)領(lǐng)域物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的14.19%。

這些UPS設(shè)備同時存在于園區(qū)和數(shù)據(jù)中心，并且有共同的計算機、服務(wù)器和物聯(lián)網(wǎng)鄰居。簡而言之，UPS設(shè)備是許多設(shè)備的鄰居。

金融服務(wù)物聯(lián)網(wǎng)設(shè)備分類（不包括打印機）

OT和BAS設(shè)備不能被忽視。UPS、PLC、SCADA/HMI和IP攝像機占金融服務(wù)領(lǐng)域所有物聯(lián)網(wǎng)設(shè)備的50%以上（不包括打印機）。

總結(jié)?

金融服務(wù)行業(yè)的網(wǎng)絡(luò)安全領(lǐng)導者必須認識到，雖然他們已經(jīng)實現(xiàn)了比許多其他行業(yè)更高的虛擬化和設(shè)備可視性，但他們?nèi)匀槐仨毺幚泶罅侩y以保障安全的IOT設(shè)備，這些設(shè)備至今仍廣泛存在于該行業(yè)中，代表著高度的未減輕的網(wǎng)絡(luò)風險。

物聯(lián)網(wǎng)包含了無數(shù)的連接設(shè)備類型，所有這些設(shè)備都必須被持續(xù)監(jiān)控、分類和保護，以全面保護金融服務(wù)網(wǎng)絡(luò)。

審核編輯 ：李倩