Cơ quan liên bang thực thi các quy tắc bảo mật cho các ngân hàng đã tăng cường các hướng dẫn của mình nhằm đáp ứng các vi phạm bảo mật cao cấp gần đây tại các tổ chức tài chính và các tổ chức khác.
Bán Sạc Laptop Samsung Chính Hãng
Các ngân hàng phải áp dụng một phương thức tiếp cận lớp để bảo mật nhằm chống lại các cuộc tấn công không gian mạng phức tạp, Hội đồng Kiểm định các Tổ chức Tài chính Liên bang cho biết trong một bản bổ sung được công bố vào ngày 28 tháng 6. Các luật mới cập nhật Hướng dẫn "Xác thực trong môi trường ngân hàng trực tuyến" năm 2005 để phản ánh các biện pháp an ninh mà các ngân hàng cần phải tránh khỏi các cuộc tấn công ngày càng phức tạp.
Hướng dẫn áp dụng cho cả các tổ chức tài chính lớn và các ngân hàng vừa và nhỏ. Hướng dẫn FFIEC đã định nghĩa bảo mật lớp như sử dụng các điều khiển khác nhau tại các điểm khác nhau trong quá trình giao dịch để sự thất bại của một lệnh phòng thủ được bù đắp bằng một cơ chế khác tại chỗ.
FFIEC cho biết: "Vì hầu như mọi kỹ thuật chứng thực đều có thể bị tổn hại, các tổ chức tài chính không nên chỉ dựa vào bất kỳ sự kiểm soát đơn lẻ nào cho phép giao dịch có rủi ro cao".
Các lựa chọn bao gồm thực hiện các hệ thống giám sát và giám sát gian lận để kích hoạt hoạt động đáng ngờ, yêu cầu nhiều nhân viên ký và ủy quyền cho một giao dịch, xác minh ngoài băng tần hoặc yêu cầu khách hàng tạo ra một danh sách những người thụ hưởng được chấp thuận.
FFIEC đã thực hiện một "công việc thực sự tốt" với các ngân hàng rằng không có phương pháp duy nhất nào có thể tin tưởng và các biện pháp an ninh theo lớp là cần thiết, Avivah Litan , một phó chủ tịch và một nhà phân tích tại Gartner nói. Litan cho biết hướng dẫn này đòi hỏi phải "kiểm soát quyền truy cập đặc quyền của người dùng đối với các ứng dụng nhạy cảm" và nhấn mạnh một phương pháp tiếp cận dựa trên rủi ro, trong đó các kiểm soát được tăng cường khi rủi ro gia tăng.
Việc bổ sung đặc biệt giải quyết việc tiếp quản tài khoản hoặc cách bọn tội phạm không gian mạng bắt đầu chuyển tiền giả mạo và giao dịch ACH để cướp tài khoản ngân hàng. Các doanh nghiệp vừa và nhỏ tại các ngân hàng và các hiệp hội tín dụng đã mất hàng triệu đô la trong những năm gần đây sử dụng các phương pháp này. Một vi phạm dữ liệu gần đây tại Citigroup đã làm tổn hại tới 360.000 tài khoản thẻ tín dụng của khách hàng. Những kẻ tấn công đã cướp 2.7 triệu USD trong vụ vi phạm Citi.
Ông Terry Austin, Giám đốc điều hành của Guardian Analytics, bổ sung này đặt ra "kỳ vọng tối thiểu rõ ràng" cho một chương trình bảo mật theo từng lớp. Austin cho biết: "Chúng tôi đã chứng kiến việc theo dõi hành vi và giám sát giao dịch bất thường dựa trên hành vi có hiệu quả như thế nào và biết rằng ngành công nghiệp sẽ có lợi từ FFIEC mong muốn cách tiếp cận này từ tất cả các cơ sở.
Bán Sạc Laptop Asus Chính Hãng
Hướng dẫn cũng chỉ ra rằng một số kỹ thuật chứng thực đa nhân phổ biến, chẳng hạn như các câu hỏi thách thức và nhận dạng thiết bị, không thực sự làm nhiều để ngăn chặn kẻ tấn công. Các câu trả lời để thử thách các câu hỏi thường có thể được tìm thấy bằng cách lướt qua các trang web mạng xã hội hoặc tìm kiếm trực tuyến và có những phần nâng cao của phần mềm độc hại được thiết kế để kiểm soát trình duyệt của nạn nhân.
Theo ông Tim Sutton, Giám đốc điều hành của PhoneFactor, FFIEC thừa nhận rằng cảnh quan nguy hiểm đã phát triển và các biện pháp an ninh cũng cần phải thay đổi. FFIEC đã xác định các cuộc tấn công giữa người và người trung gian và những người khai thác gỗ keystroke như những kẻ tấn công đang phá vỡ các phương pháp xác thực truyền thống.
"Trong một khoảng thời gian tương đối ngắn, chúng tôi sẽ không còn có thể ngân hàng trực tuyến bằng cách nhập tên người dùng và mật khẩu," Sutton nói.
Tuy nhiên, FFIEC đã không đề cập đến dịch vụ ngân hàng di động, những gợi ý cho các trung tâm dịch vụ cuộc gọi hoặc các mối đe dọa tương lai trong hướng dẫn của nó cũng như không cung cấp bất kỳ hướng cụ thể nào mà các tổ chức tài chính phải tuân theo. Bổ sung này có chứa các hướng dẫn để hướng dẫn các biện pháp bảo mật được yêu cầu hoạt động ra sao mà không đề cập đến các công cụ chính xác được yêu cầu.
Theo Litan, bản hướng dẫn ban đầu năm 2005 "đã giảm" bằng cách đưa ra các biện pháp kỹ thuật đã nhanh chóng trở nên lỗi thời vì bọn tội phạm không gian mạng đã phát triển các cuộc tấn công tinh vi hơn. Hướng dẫn của FFIEC giúp bạn giải quyết các mối đe dọa của ngày hôm qua và đề xuất các kỹ thuật để đánh bại họ, nhưng nó không đầy đủ về tương lai. Theo Litan, chu kỳ này có thể lặp lại, vì các ngân hàng sẽ xây dựng an ninh theo các kịch bản được FFIEC đưa ra.
"Các cuộc tấn công sẽ trở nên phức tạp hơn và sẽ sử dụng các kỹ thuật mới mà không được đề cập chi tiết trong hướng dẫn này", bà nói.
Chủ tịch và Giám đốc điều hành của Entrust, Bill Conner, nói: "Không có" hoặc "carrot" để tuân thủ các nguyên tắc này. Hướng dẫn cũng không đưa ra bất kỳ trách nhiệm giải trình nào cho việc thực hiện hoặc ủy thác bất kỳ khung thời gian cụ thể, Conner nói. FFIEC cho biết các đánh giá chính thức về sự tuân thủ sẽ bắt đầu vào tháng 1 năm 2012.
Các ngân hàng sẽ được yêu cầu phải thiết lập các chương trình nhận thức người sử dụng cho cả khách hàng và khách hàng doanh nghiệp. Litan chỉ trích việc hướng dẫn không rõ ràng về cách các ngân hàng có nghĩa vụ phải giải thích cho khách hàng những gì bảo vệ được cung cấp và không cung cấp. "Các FFIEC nên đã thiết lập các yêu cầu tối thiểu về những gì tiết lộ rõ ràng như thế nào," Litan nói.
Bán Sạc Laptop Dell Chính Hãng
Bán Sạc Laptop Samsung Chính Hãng
Các ngân hàng phải áp dụng một phương thức tiếp cận lớp để bảo mật nhằm chống lại các cuộc tấn công không gian mạng phức tạp, Hội đồng Kiểm định các Tổ chức Tài chính Liên bang cho biết trong một bản bổ sung được công bố vào ngày 28 tháng 6. Các luật mới cập nhật Hướng dẫn "Xác thực trong môi trường ngân hàng trực tuyến" năm 2005 để phản ánh các biện pháp an ninh mà các ngân hàng cần phải tránh khỏi các cuộc tấn công ngày càng phức tạp.
Hướng dẫn áp dụng cho cả các tổ chức tài chính lớn và các ngân hàng vừa và nhỏ. Hướng dẫn FFIEC đã định nghĩa bảo mật lớp như sử dụng các điều khiển khác nhau tại các điểm khác nhau trong quá trình giao dịch để sự thất bại của một lệnh phòng thủ được bù đắp bằng một cơ chế khác tại chỗ.
FFIEC cho biết: "Vì hầu như mọi kỹ thuật chứng thực đều có thể bị tổn hại, các tổ chức tài chính không nên chỉ dựa vào bất kỳ sự kiểm soát đơn lẻ nào cho phép giao dịch có rủi ro cao".
Các lựa chọn bao gồm thực hiện các hệ thống giám sát và giám sát gian lận để kích hoạt hoạt động đáng ngờ, yêu cầu nhiều nhân viên ký và ủy quyền cho một giao dịch, xác minh ngoài băng tần hoặc yêu cầu khách hàng tạo ra một danh sách những người thụ hưởng được chấp thuận.
FFIEC đã thực hiện một "công việc thực sự tốt" với các ngân hàng rằng không có phương pháp duy nhất nào có thể tin tưởng và các biện pháp an ninh theo lớp là cần thiết, Avivah Litan , một phó chủ tịch và một nhà phân tích tại Gartner nói. Litan cho biết hướng dẫn này đòi hỏi phải "kiểm soát quyền truy cập đặc quyền của người dùng đối với các ứng dụng nhạy cảm" và nhấn mạnh một phương pháp tiếp cận dựa trên rủi ro, trong đó các kiểm soát được tăng cường khi rủi ro gia tăng.
Việc bổ sung đặc biệt giải quyết việc tiếp quản tài khoản hoặc cách bọn tội phạm không gian mạng bắt đầu chuyển tiền giả mạo và giao dịch ACH để cướp tài khoản ngân hàng. Các doanh nghiệp vừa và nhỏ tại các ngân hàng và các hiệp hội tín dụng đã mất hàng triệu đô la trong những năm gần đây sử dụng các phương pháp này. Một vi phạm dữ liệu gần đây tại Citigroup đã làm tổn hại tới 360.000 tài khoản thẻ tín dụng của khách hàng. Những kẻ tấn công đã cướp 2.7 triệu USD trong vụ vi phạm Citi.
Ông Terry Austin, Giám đốc điều hành của Guardian Analytics, bổ sung này đặt ra "kỳ vọng tối thiểu rõ ràng" cho một chương trình bảo mật theo từng lớp. Austin cho biết: "Chúng tôi đã chứng kiến việc theo dõi hành vi và giám sát giao dịch bất thường dựa trên hành vi có hiệu quả như thế nào và biết rằng ngành công nghiệp sẽ có lợi từ FFIEC mong muốn cách tiếp cận này từ tất cả các cơ sở.
Bán Sạc Laptop Asus Chính Hãng
Hướng dẫn cũng chỉ ra rằng một số kỹ thuật chứng thực đa nhân phổ biến, chẳng hạn như các câu hỏi thách thức và nhận dạng thiết bị, không thực sự làm nhiều để ngăn chặn kẻ tấn công. Các câu trả lời để thử thách các câu hỏi thường có thể được tìm thấy bằng cách lướt qua các trang web mạng xã hội hoặc tìm kiếm trực tuyến và có những phần nâng cao của phần mềm độc hại được thiết kế để kiểm soát trình duyệt của nạn nhân.
Theo ông Tim Sutton, Giám đốc điều hành của PhoneFactor, FFIEC thừa nhận rằng cảnh quan nguy hiểm đã phát triển và các biện pháp an ninh cũng cần phải thay đổi. FFIEC đã xác định các cuộc tấn công giữa người và người trung gian và những người khai thác gỗ keystroke như những kẻ tấn công đang phá vỡ các phương pháp xác thực truyền thống.
"Trong một khoảng thời gian tương đối ngắn, chúng tôi sẽ không còn có thể ngân hàng trực tuyến bằng cách nhập tên người dùng và mật khẩu," Sutton nói.
Tuy nhiên, FFIEC đã không đề cập đến dịch vụ ngân hàng di động, những gợi ý cho các trung tâm dịch vụ cuộc gọi hoặc các mối đe dọa tương lai trong hướng dẫn của nó cũng như không cung cấp bất kỳ hướng cụ thể nào mà các tổ chức tài chính phải tuân theo. Bổ sung này có chứa các hướng dẫn để hướng dẫn các biện pháp bảo mật được yêu cầu hoạt động ra sao mà không đề cập đến các công cụ chính xác được yêu cầu.
Theo Litan, bản hướng dẫn ban đầu năm 2005 "đã giảm" bằng cách đưa ra các biện pháp kỹ thuật đã nhanh chóng trở nên lỗi thời vì bọn tội phạm không gian mạng đã phát triển các cuộc tấn công tinh vi hơn. Hướng dẫn của FFIEC giúp bạn giải quyết các mối đe dọa của ngày hôm qua và đề xuất các kỹ thuật để đánh bại họ, nhưng nó không đầy đủ về tương lai. Theo Litan, chu kỳ này có thể lặp lại, vì các ngân hàng sẽ xây dựng an ninh theo các kịch bản được FFIEC đưa ra.
"Các cuộc tấn công sẽ trở nên phức tạp hơn và sẽ sử dụng các kỹ thuật mới mà không được đề cập chi tiết trong hướng dẫn này", bà nói.
Chủ tịch và Giám đốc điều hành của Entrust, Bill Conner, nói: "Không có" hoặc "carrot" để tuân thủ các nguyên tắc này. Hướng dẫn cũng không đưa ra bất kỳ trách nhiệm giải trình nào cho việc thực hiện hoặc ủy thác bất kỳ khung thời gian cụ thể, Conner nói. FFIEC cho biết các đánh giá chính thức về sự tuân thủ sẽ bắt đầu vào tháng 1 năm 2012.
Các ngân hàng sẽ được yêu cầu phải thiết lập các chương trình nhận thức người sử dụng cho cả khách hàng và khách hàng doanh nghiệp. Litan chỉ trích việc hướng dẫn không rõ ràng về cách các ngân hàng có nghĩa vụ phải giải thích cho khách hàng những gì bảo vệ được cung cấp và không cung cấp. "Các FFIEC nên đã thiết lập các yêu cầu tối thiểu về những gì tiết lộ rõ ràng như thế nào," Litan nói.
Bán Sạc Laptop Dell Chính Hãng