国庆福利:金融行业信息泄露防护锦囊!

发布时间 2018-09-29

信息泄露
总是以不同的面目出现
在你不经意间
给你致命的一击
请看下面一些活生生的例子



2017年9月,美国最大征信公司信息泄露,造成企业信任缺失



2018年3月,泄密门致Facebook市值一天蒸发367亿
 

2018年8月,华住旗下所有酒店数据遭到泄露并在黑市上进行售卖


……
所以
对企业来讲
信息泄露等同于
 


想想这是一件很可怕的事情,因为信息泄露带来的后果,对金融企业来讲无疑都是灾难式的打击。


信息泄露背后的犯罪动机


泄露的数据
通常用于买卖获取利益
那么数据
为什么会值钱呢?


● 售卖用户账号中的虚拟货币、游戏账号、装备等获得利益;


● 对于金融类账号,比如:支付宝、网银、信用卡、股票的账号和密码等,则可以用来进行金融犯罪和诈骗;


● 对于一些比较特殊的用户信息,如:学生、打工者、老板等,则会通过发送广告、垃圾短信、电商营销等方式变相获利;


● 获取企业信息,用来劫持企业帐户、开展网络钓鱼攻击等,影响企业在公众中的威望和信任度。


信息泄露分析的数据来源


非法分子感兴趣的数据有哪些?
更愿意对哪些数据数据下手?
对此,我们搜集了
已经流通在市场上的大量数据资料,
作为分析支撑
主要的搜集渠道及部分数据如下:


● GoogleHack技术搜集
 
 
●  Github脚本自动获取泄露数据信息
 


●  爬虫爬取国内/国外金融类安全数据泄露事件新闻资讯信息
 


● 各类社工网站获取



信息泄露根源


由上述网络数据显示:
数据泄露事件的主要根源中,
47%的事件涉及恶意或犯罪行为;
25%是由于员工或承包商疏忽(人为因素);
28%涉及系统故障,包括IT和业务流程故障。
 





信息泄露的原因


1. 信息技术管理的关键环节存在短板,外包第三方疏于管理


● 信息技术管理的关键环节存在诸多短板,如信息科技人员配备不足、电子银行系统存在漏洞等问题;


● 银行对外包人员行为控制不严,部分外包人员在为银行提供服务时可能发生客户信息泄密,使银行面临严重的信誉风险和法律风险等。


2. 金融客户的自身安全意识淡薄,资料保管不谨慎


● 客户在进行网上银行业务操作时,风险防范意识不强。如密码设置简单、轻信不明号码发送的短信等;


● 是对印有个人重要信息的资料管理不谨慎,为不法分子获取私人信息提供了可乘之机。


3. 形式多样的网络诈骗手段


● 搭建免费wifi陷阱,引诱受害人接入,窃取受害人在手机上使用过的银行卡信息;


● 散播隐藏木马的图片、链接或恶意应用程序(APP),控制受害人手机或电脑,窃取手机和电脑中使用过的银行卡信息;


● 冒充公检法、银行等发送诈骗短信,诱使受害人点击短信中的诈骗链接登录钓鱼网站,输入银行卡信息。


4. 行业信息保护机制不完善,违规成本低廉


● 客户信息保护制度不健全;


● 内部问责制度缺失。
 
 
启明星辰金融技术中心的安全专家,在第一时间做出针对国内各大银行、证券交易机构的数据泄露分析,让客户了解到目前的数据泄露生态,以及有效的防护方法。


信息泄露的防护方法


● 文档加密:帮助互联网金融企业对用户、业务数据进行加密保护,同时对加密数据使用权限时行规范,防止无关人员查看。


● 终端操作管控:对文档、设备、邮件、应用程序、网页浏览等操作进行管控,帮助互联网金融企业规范终端行为,防范终端安全风险。


● 操作行为审计:对终端各类操作行为进行记录和审计,发现风险以及对泄密行为进行有效追溯。


● 终端敏感内容识别:通过敏感内容识别技术,对拥有商业价值的数据进行重点保护,最大程度削减数据管理的成本。


● 重要文档备份:把文档存储到特定的地方进行管理保护,帮助解决企业文档管理难、容易损坏和丢失的难题。


● 终端准入管理:实行严密身份验证,防止非授权计算机对指定网络进行非法访问,避免计算机脱离IP-guard管控。


● 资产运维管理:帮助互联网金融企业对所有计算机进行管理和维护,及时修补系统漏洞,减少网络安全风险。

 


从本次分析的结果来看,目前互联网金融行业的网络安全情况不甚乐观,无孔不入的信息安全风险,要求企业必须采取全面的措施进行信息安全保护,只有为消费者提供更优质有保障的服务才能走得更远更久。