論壇文章
線上安全 金融業大課題
下一篇 - 萬泰從心出發 靠「人」逆轉勝

線上安全 金融業大課題

撰文 | SafeNet亞太區 副總裁 陳泓

網路應用帶來日常生活相當大的轉變,無論是資料查詢、搜索、購物或是多種金融服務,都可以在網路上進行。但是雖然網路帶給我們相當大的便利性,相關的安全問題卻也層出不窮,各種安全威脅的傳言也甚囂塵上,讓我們在使用線上金融服務時充滿了疑慮。要確保安全的線上金融服務,就必須了解並且解決各種既有的安全威脅,透過認證、資料保護及即時監控等方式,不但能夠確保客戶的信心,也能強化線上服務的安全性。

根據財團法人台灣網路資訊中心(TWNIC)於2010年1月公布的調查報告中指出,台灣地區有57.41%的人曾經網路購物,而其中超過35%以上的人是每月都會透過網路購物一次以上,可以想見台灣在網路購物方面的興盛程度。相對來說,網路金融部分比例較低,目前有32.26%的人使用過網路金融,而不願使用網路金融之原因,多半都是因為安全性受疑慮因而不敢使用。

線上金融不普及 安全是關鍵

為什麼相較於網路購物,線上金融卻如此乏人問津?這是因為網路購物多半利用信用卡、貨到付款或是匯款等方式進行,大多數交易都是可以受到多重防護的;但是對於線上金融來說,透過網路銀行僅需要輸入帳號密碼,便可以直接連通至個人帳戶中,倘若該金融網站並沒有做好安全防護與檢核措施,即可能造成相當大的損害。

有鑑於此,提供相關金融服務的業者,更應該確保相關的安全措施,並且避免各種可能的危害侵襲,才能強化使用者的信心,並且提高線上金融服務的使用率。如此不但能夠提供更好的服務品質,同時也能降低各種營運成本,將服務時間延長,提高客戶服務滿意度。

竊取個人資料五大寇
用來竊取上述資料的前五名方式則分別為釣魚網站、密碼資料庫竊取、中間人攻擊(Man-in-the-Middle,MitM)、中介攻擊(Man-in-the-Brower,MitB)及身分竊取等方式。

釣魚網站

 

 

釣魚網站即是利用詐騙、誘拐或是入侵正常網站等方式,將使用者導向虛構且看似合法的網站,誘使使用者在惡意網站中輸入各項個人資料,而由此取得利用的金融資訊。

密碼資料庫竊取
 

密碼資料庫竊取則是透過網站入侵的方式,取得網站中所保存的密碼檔案。由於大多數人都習慣採用同一組或相似的密碼,因此駭客就有機會破解並入侵金融網站上的資料,進而取得各種可用資訊。

中間人攻擊


中間人攻擊則是在使用者與伺服器間埋伏,並在使用者登入或進行交易時,從中竊取相關的重要資訊。過去中間人攻擊偏重在實體網路上,現在則可以透過無線基地台或是入侵網域名稱伺服器等方式,讓資料轉向並送至駭客的主機上。

中介攻擊
 

中介攻擊類似於中間人攻擊,主要是採用一套木馬程式侵入使用者電腦中,該程式會影響電腦上的瀏覽器並且攔截所有輸入或呈現的資訊。

身分竊取


身分竊取則是駭客透過取得的合法身分偽裝,進而將各種惡意程式或攻擊送至與其偽裝身分相關的使用者處。例如日前所報導的MSN 詐財事件。

了解威脅是建構安全的基礎

過去要建構網路服務的安全措施,不外是導入防火牆、入侵偵測或是防毒軟體等方式,透過這些設備建構邊界防禦體系。但是,現在的攻擊手法已經不像過去採用正面突破的方式,而是採用偽裝、潛伏或後門偷襲等措施,以迂迴方式試圖取得所需的機密資料。

根據2009年Verizon Business RISK團隊所做的調查報告顯示,74%的資料外洩事件都是由外部所引起的,而其中91%的記錄都是由有組織犯罪集團所取得。由此可知這些針對金融服務的攻擊與破壞,都是特定團體為了獲取不當得利而採取的手段。這些犯罪行為主要是為了取得各種個人隱私資料,包含個人認證密碼(PIN)、信用卡資料、債信資料或是其他個人檔案。

SafeNet身分識別與資料保護方法

以金融服務產業為目標的惡意程式攻擊已成為一項普遍存在的威脅,因此我們建議應針對不同的使用例,依照每位使用者所需的安全層級而部署一套混合的硬體與軟體方案。選擇一套允許混合部署的方案也將能享有一些效益優勢,例如可以先為某些使用者部署最高層級的安全性,然後根據風險、使用者對於硬體或軟體方案的使用意願、以及其它因素例如整體擁有成本(TCO),而為其他使用者採 納不同的選項。

多因子(multi-factor) 認證 面面俱到

由於多因子(multi-factor)認證要求於登入時採行多種身分識別方法,因此被公認是資料與應用程式存取認證的最安全方法學。SafeNet的多因子認證方案協助金融服務機構安全且高效率的執行網路商務、利用安全資料存取以開發新商機、以及保護整個業務領域的身分識別安全。

金融組織比以往更加必須主動辨識員工、承包商和客戶的實體與邏輯存取。建置在一個安全裝置,例如智慧卡或憑證的數位身分識別,已成為確保使用者身分的一種受歡迎方法。這些裝置可以為廣泛使用的企業應用程式增加安全與便利性,例如Windows登入、VPN存取、網路認證、數位簽證以及檔案加密/啟動保護等。

建立客製化認證方案

典型的金融機構支援多種存取方法,包括遍佈全球透過有線和無線連接的本地和遠端員工、廠 商、承包商和客戶等,SafeNet讓金融服務提供者可以針對特定的風險層級和使用例特性而建立客製化認證方案,涵蓋從all-in-one、out-of-the-box 、one-time password (OTP)認證方案,到強大的智慧卡憑證認證(包括加密快閃記憶體儲存),乃至於支援簡訊功能和將OTP傳送至行動裝置的軟體認證方法等,SafeNet方案可支援要求最嚴苛的金融服務環境。

建置強力認證系統 

從紙張轉變到數位交易的結果,讓金融組織可以藉由提供便利且立即的財務資訊存取,以降低他們的營運成本、提升利潤和強化整體客戶經驗。透過對於身分識別與資料保護的專注努力,金融服務提供者可以注入新的熱誠和策略觀,以吸引客戶轉移到電子化商務。在一個獲得妥當保護的安全環境(一個完善的認證、信任與稽核環境)內,金融組織和客戶將有信心在線上進行商務交易。

藉由建置一套強力認證系統,銀行及其他金融組織可以確保他們的數位通訊與交易系統安全,並透過營運成本的降低而提升利潤。隨著客戶更頻繁執行電子交易,例如信用卡和簽帳卡購物、線上銀行與投資等,金融服務提供者必須越來越嚴格管控客戶資訊的保護,包括交易進行期間及其後的安全。一個強力認證平台是確保信任以及維護金融服務品牌形象不可或缺的。

鎖定目標強化安全措施

事實上我們可以看到,針對金融行業的前五大安全威脅都是利用合法方式竊取重要金融資訊,這些攻擊手法都不是傳統邊界防禦措施所能夠抵擋的,要能夠防堵這些威脅,首要條件就是了解威脅所攻擊的目標,並且針對目標強化防禦措施,如此才能確保服務不受侵擾。

在金融服務中,駭客最想要攻擊的目標不外乎個人認證資訊及相關帳戶與資料,因此在建構安全的金融服務時,就必須導入身分驗證與資料保護措施,驗證每一名登入使用者的身分正確無誤,同時確保資料不會外洩到第三者電腦上,如此才能保障線上金融服務的安全性。

SafeNet 小檔案
SafeNet 是全球資訊安全產業的領導者。
SafeNet 利用它的加密技術來保護通訊、智慧財產、及數位身分認證,並提供全系列的產品,包括各種硬體、軟體、及晶片來提供完整的安全服務。
SafeNet technology 事實上已經成為遠端存取用戶軟體的標準,並且是不需要使用者名稱及密碼的 USB 認證卡、可提供快速而安全的線上交易的 SSL 加速裝置、可預防盜版軟體的軟體安全及授權產品、高安全性安全產品、及授權給網際網路基礎設施製造廠商、服務提供者、及安全提供者的 SecureIP 技術的市場領導者。