ビデオ: Les Accents en Français (十一月 2024)
厚い壁、巨大な丸天井、社内セキュリティのディテールにより、昔ながらの銀行の建物は堅実さを象徴しています。 オンライン銀行と金融機関は、このレベルの物理的セキュリティを共有していません。 実際、サードパーティパートナーとの接続を通じて、そのような機関のエッジは実際には希薄になります。 サンフランシスコで開催されたRSA Conferenceで、Lookingglass Cyber Solutionsは、これらのサードパーティベンダー間の衝撃的なセキュリティ不足を明らかにする調査を発表しました。
この種の問題は最近ニュースにありました。 当初「内部の仕事」と考えられていたTargetでの大規模なブラックフライデーデータ侵害は、サードパーティの起源を持っていることが判明しました。 具体的には、攻撃はHVACサービスのTargetのプロバイダーを介して行われました。 同社の所有者は、それを「高度なサイバー攻撃操作」と説明しましたが、Lookingglassのデータは、洗練が必ずしも必要ではないことを示唆しています。
100%危険
この調査のデータを取得するために、Lookingglassは「金融業界のサプライチェーン内の支払い処理業者、監査人、およびその他の金融サービス」を追跡しました。 この調査は2013年の第4四半期に35日間にわたって行われ、サードパーティネットワークの100%が「侵害の兆候またはリスクの増加のいずれかを示した」ことがわかりました。
Lookingglassの研究者は、サードパーティネットワークの75%でアウトバウンドボットネットトラフィックと悪意のあるネットワーク動作を検出しました。 それはかなり衝撃的です。 さらに悪いことに、全体の25%がZeusバンキング型トロイの木馬による感染の兆候を示しました。 また、これらのサードパーティ自体の一部は他のサードパーティに依存しているため、侵害の可能性が高まります。
ドアが多すぎる
「この研究は、業界が公の場で話すことを非常にheしているという弱点を強調しています。信頼できるサードパーティは、真に信頼すべきではなく、信頼できないという事実です。」 「グローバルな組織…自身の防御境界線を超えて、攻撃面をよりよく理解するために、パブリックインターネットの存在を監視することを検討する必要があります。」
その古き良き銀行の建物には、できるだけ少ないドアがあり、すべての頑丈なドアには、警報システムと防犯カメラが装備されています。 オンライン金融機関にとって、すべてのサードパーティの接続は、サイバー犯罪者が侵入する可能性があるドアです。さらに悪いことに、そのようなポータルが存在することを認識することさえ難しい場合があります。 Targetの攻撃者がHVAC請負業者を介して侵入できると誰が考えたでしょうか? 興味のある人のために、完全な報告書はより詳細になります。
教訓は明確です。 あなたのオンライン機関は、そのサードパーティのプロバイダーと同じくらい安全ですので、それらのプロバイダーを徹底的に吟味したいと思うでしょう。 監査を依頼するか、Lookingglassなどのサービスを使用して、「拡張エンタープライズを含むクライアントのエンタープライズサイバーエコシステム全体、および制御できない他のネットワーク」のセキュリティをチェックします。 影響範囲の端までセキュリティを正しく拡張するWebサイトは、競合他社が侵害後に侵害にさらされている間、かなり座っています。
