/ 中存储网

为什么银行要采用新式的网络安全方法 -“零信任”模型

2019-09-30 22:12:10 来源:科技号

如今许多银行仍然依赖“城堡和护城河”方法(也叫做“边界安全”方法)来保护数据免遭恶意攻击。就像中世纪的城堡受到石墙、护城河和城门的保护一样,使用边界安全的银行进行了大量的投资以通过防火墙、代理服务器、蜜罐技术和其他入侵防护工具来加强他们的网络边界。“边界安全”通过验证进入和离开组织网络的数据包和用户身份来保护网络入口点和出口点的安全,然后假设在加固后的边界内进行的活动是相对安全的。

如今,精明的金融机构正在超越这种范例,转而采用一种新式的网络安全方法 -“零信任”模型。“零信任”模型的中心原则是默认情况下不信任任何人(无论是内部人员还是外部人员),并且在授予访问权限之前需要对每个人或每台设备进行严格的验证。

尽管城堡的外围防护仍然很重要,但是与不断加大投资力度来构建更坚固的城墙和更宽的护城河相比,“零信任”模型采用了一种更加细致入微的方法来管理对我们所谓城堡内的身份信息、数据和设备的访问。因此,无论是内部人员恶意或不经意的行为,亦或是隐蔽的攻击者突破了城墙,都无法获得对数据的自动访问。

“城堡和护城河”方法的限制

在谈到保护今天的企业数字财产安全时,“城堡和护城河”方法就突显出很大的局限性了,因为网络威胁的出现改变了我们对于防范和保护的定义。大型组织(包括银行)需要面对由员工、客户和合作伙伴现场或在线访问的数据和应用程序组成的分散网络。这使保护城堡的边界安全变得更加困难。即使护城河能有效地将敌人拦在城堡外,但对于身份已遭泄露的用户或其他潜伏在城墙内的内部威胁,它的作用则很有限。

以下做法都是导致暴露的安全隐患,而且这些做法在依赖于“城堡和护城河”网络安全方法的银行中很常见:

  • 对员工的应用程序访问权限进行单一的年度审查。
  • 由于经理的自行决定或出现员工调动时的治理缺失而导致访问权限策略出现模糊且不一致的情况。
  • IT 过度使用有管理特权的帐户。
  • 客户数据存储在多个文件共享中,却几乎不知道谁有相关的访问权限。
  • 过度依赖密码来对用户进行身份验证。
  • 缺乏数据分类和报告,导致不清楚具体数据的位置。
  • 频繁使用 U 盘来传输包含高度敏感数据的文件。

“零信任”模型如何助力银行家和客户

“零信任”方法的好处已有据可查,并且有越来越多的实际例子表明,这种方法可以防止复杂的网络攻击。然而,如今许多银行仍然坚持与“零信任”原则相背离的做法。

采用“零信任”模型有助于银行加强他们的安全防护机制,使他们能自信地支持一些赋予员工和客户更多灵活性的举措。例如,银行高管都希望将他们面向客户的员工(例如关系经理和理财顾问)从办公桌上解放出来,使他们能在银行营业场所外部与客户会面。如今,许多金融机构是通过使用文件打印输出或他们顾问的静态视图等模拟工具来支持这种地理灵活性的。但是,银行员工和客户都期望能通过实时数据来获得更动态的体验。

依赖于“城堡和护城河”安全方法的银行在将数据分散到物理网络之外时会有诸多顾虑。因此,这些银行的银行家和理财顾问只有在银行营业场所内与客户进行会面时才能利用已经过验证且严格的投资策略的动态模型。

从历史上来看,对于忙碌的银行家或理财顾问来说,与其他银行家或贸易商共享实时模型更新或积极地展开协作是很麻烦的,至少在没有 VPN 的情况下是这样的。然而,这种灵活性正是做出可靠的投资决策和提高客户满意度的重要驱动力。“零信任”模型使关系经理或分析师能够利用来自市场数据提供者的见解,与他们各自的模型进行综合,并随时随地动态处理不同的客户场景。

好消息是,这是一个智能安全的新时代 – 由云和“零信任”体系结构提供支持 – 可以简化并实现银行安全性和符合性的现代化。

Microsoft 365 助力银行安全性的转型

借助 Microsoft 365,银行通过部署三个关键策略即可立即迈向“零信任”安全性:

  • 标识和身份验证 – 首先,银行需要确保用户的身份与他们自己所述的身份一致,然后根据他们的角色提供访问权限。借助 Azure Active Directory (Azure AD),银行可以使用单一登录 (SSO) 使已通过身份验证的用户能够从任何地方连接到应用,从而使移动办公的员工能够在不影响工作效率的情况下安全地访问资源。

银行还可以部署强身份验证方法,例如双因素或无密码的多重身份验证 (MFA),从而使泄露风险降低 99.9%。Microsoft Authenticator 支持适用于任何 Azure AD 连接应用的推送通知、一次性密码以及生物识别。

对于 Windows 设备,银行员工可以使用 Windows Hello,这是一个用于登录设备的安全便捷的面部识别功能。最后,银行可以使用 Azure AD 条件访问来应用相应的访问策略,从而保护资源免受可疑请求的影响。Microsoft Intune 和 Azure AD 协同工作以确保仅托管和兼容的设备可以访问 Office 365 服务,包括电子邮件和本地应用。通过 Intune,还可以评估设备的合规性状态。是否强制执行条件访问策略取决于用户试图访问数据时设备的合规性状态。

概括条件访问的信息图。“信号”(用户位置、设备、实时风险、应用程序),“验证每次访问尝试”(允许访问、要求进行 MFA,或阻止访问),以及“应用和数据”。

条件访问插图。

  • 威胁防护 – 借助 Microsoft 365,银行还可以利用 Microsoft 威胁防护集成和自动化的安全性来增强他们保护、检测和应对攻击的能力。它利用 Microsoft Intelligent Security Graph 中世界上最大的威胁信号源之一以及由人工智能 (AI) 提供支持的高级自动化来增强事件识别和响应能力,从而使安全团队能够准确、高效和及时地解决威胁。Microsoft 365 安全中心提供了一个集中化的中心和专用的工作区来管理和充分利用 Microsoft 365 智能安全解决方案,用于标识和访问管理、威胁防护、信息保护和安全管理。

Microsoft 365 安全中心仪表板的屏幕截图。

Microsoft 365 安全中心。

  • 信息保护 – 虽然标识和设备是网络攻击的主要对象,但数据才是网络罪犯的终极目标。借助 Microsoft 信息保护,银行可以增强对敏感信息的保护,无论这些信息位于何处或者会在何处传输。Microsoft 365 使客户能够 1) 标识他们的敏感数据并对这些数据进行分类;2) 应用灵活的保护策略;3) 监视并修复存在风险的敏感数据。

Microsoft Azure 信息保护要求提供发送已分类邮件理由的屏幕截图。

分类和保护场景的示例。

使用“零信任”简化安全管理

Microsoft 365 帮助简化新式“零信任”体系架构中的安全管理,从而实现利用所需的可见性、规模和情报来打击网络犯罪。

在考虑如何保护你现代“城堡”的安全时,“零信任”环境是应对现代网络安全威胁的最优选择。“零信任”环境要求对正在进行访问的人员和所访问的内容、访问位置、时间以及他们是否应具有访问权限进行即时的监督。

Microsoft 365 安全性和合规性功能帮助组织在信任用户或设备前对这些用户或设备进行验证。Microsoft 365 还提供完整的团队合作和高效工作解决方案。总而言之,Microsoft 365 提供了一个全面的解决方案,有助于银行高管将工作重点放在客户和创新上。