Bảo mật trong ngân hàng đã dần trở nên kém an toàn hơn trước đây! Các tổ chức tài chính đang đối mặt với những rủi ro mạng đa dạng, nghiêm trọng. Điều đó cũng dễ hiểu vì không những liên quan đến rất nhiều tiền, các công ty tài chính còn có mạng lưới vô cùng phức tạp và thay đổi liên tục. Để có thể đi trước các mối đe dọa mạng mới nổi, họ cần liên tục thích ứng và đầu tư vào công nghệ bảo mật mới.
Tổ chức tài chính ngân hàng trung bình hiện nay đều có khả năng kết nối qua giao thức Internet Protocol (IP) để gửi và nhận dữ liệu, tận dụng những đổi mới trong ngân hàng di động, công nghệ điểm bán hàng (POS) và các thiết bị được kết nối khác. Nhiều cải tiến về kết nối này đã khiến các giao dịch trở nên linh hoạt, nhanh chóng hơn – nhưng liệu chúng có an toàn không? Quan trọng hơn, các nhà an ninh mạng và quản lý rủi ro trong ngành tài chính ngân hàng có được trao quyền để ứng phó với các sự cố an ninh mạng?
Cùng Mi2 và Forescout giải quyết những câu hỏi trên với kho dữ liệu mà Forescout Technologies đã thu thập, kiểm tra và xác thực một cách cẩn thận từ tất cả các dạng mạng thiết bị và ứng dụng mà chúng hỗ trợ. Với Forescout Device Cloud, Forescout đã phân tích các thiết bị và xác định chức năng, nhà cung cấp/kiểu máy, hệ điều hành và phiên bản của thiết bị trên đám mây ở 100 đợt triển khai tại các công ty tài chính ngân hàng lớn với hơn 8.500 mạng cục bộ ảo (VLAN) và gần 900.000 thiết bị nhằm cung cấp khả năng phân loại tự động chi tiết cho nhiều loại thiết bị.
Điểm qua những rủi ro đối với mạng lưới ngành tài chính
Nghiên cứu của Forescout cho thấy rằng nhiều thiết bị của ngân hàng tiếp xúc quá nhiều với các thiết bị IoT và OT, tạo cơ hội cho việc di chuyển ngang giữa cơ sở hạ tầng quan trọng và trung tâm dữ liệu.
Đối với các công ty tài chính ngân hàng, cơ sở dữ liệu quản lý cấu hình (CMDB) là điểm tập hợp then chốt nơi con người và quy trình gặp nhau – nhưng dữ liệu cơ bản phải chính xác và theo thời gian thực để mô hình dịch vụ kinh doanh này thực sự hoạt động. Đó là lý do tại sao việc bảo vệ kho dữ liệu quan trọng trong ngân hàng – thường được gọi là “viên ngọc quý” – cuối cùng đòi hỏi một phương pháp nhận dạng thiết bị không chủ động, không phụ thuộc vào nhà cung cấp và có một chiến lược phân khúc thiết bị – kiểm kê tài sản chính xác.
Máy in – Rủi ro thiết bị IoT rõ ràng nhất
Máy in không được nhiều người coi là thiết bị có liên quan mật thiết đến những rủi ro mạng nghiêm trọng. Trong thực tế, không hẳn là như vậy.
Máy in có ở khắp mọi nơi. Gần 45% tất cả các thiết bị IoT trong dịch vụ tài chính là máy in, tiếp theo là thiết bị OT và camera IP. Máy in có mối liên kết chặt chẽ với hệ thống POS. Mỗi khi người tiêu dùng yêu cầu biên lai, một số loại công nghệ máy in sẽ được sử dụng.
Gần 45% tất cả các thiết bị IoT trong ngành tài chính là máy in, tiếp theo là thiết bị OT và Camera IP
Máy in khiến các thiết bị tài chính khác dễ dàng gặp rủi ro. Do máy in được kết nối với nhiều thiết bị tài chính quan trọng hỗ trợ các chức năng kinh doanh trung tâm tại ngân hàng tiêu dùng thông thường và thực tế là sự đổi mới về bảo mật in ấn không theo kịp các mối đe dọa tội phạm mạng mới.
PC – phương tiện truy cập và quản lý thông tin tài chính không an toàn
Trong lĩnh vực tài chính, máy tính cá nhân (PC) là công cụ phức tạp được nhân viên tài chính có quyền truy cập sử dụng các ứng dụng kinh doanh quan trọng. Thật không may, người dùng PC cũng thường sử dụng các ứng dụng email, trình duyệt web và bộ ứng dụng văn phòng dễ bị tấn công. Do đó, PC của họ được coi là không an toàn đơn giản vì chúng tồn tại trong hệ sinh thái IoT và BYOD.
Theo Sách hướng dẫn An ninh Thông tin của FFIEC: “Người dùng có đặc quyền hoặc quyền quản trị có thể gây ra mối đe dọa tiềm ẩn cho hệ thống và dữ liệu. Và việc truy cập trái phép vào hệ điều hành và tiện ích hệ thống có thể dẫn đến tổn thất tài chính và hoạt động kinh doanh đáng kể.”
Hơn một nửa số thiết bị CNTT trong hệ sinh thái dịch vụ tài chính toàn cầu là PC gây nhiều rủi ro tiềm ẩn
Máy ATM và thiết bị POS
Các thiết bị tham gia Active Directory (AD) không được bảo mật làm nổi bật tầm quan trọng của các tiêu chuẩn PCI. Cụ thể, kể từ khi Tiêu chuẩn bảo mật dữ liệu (PCI Data Security Standard) được ban hành vào năm 2004, việc xử lý và lưu trữ dữ liệu chủ thẻ của khách hàng đã được quan tâm nhiều hơn vì nhiều lý do, bao gồm số lượng máy ATM ngày càng tăng và các điểm cuối quan trọng khác được thêm vào mạng.
Tuy nhiên, dữ liệu của Forescout cho thấy nhiều máy ATM nằm cạnh các thiết bị IoT khác như camera an ninh và hệ thống an ninh vật lý, có thể không được kiểm soát chặt chẽ.
61% hệ thống ATM và POS không được phân tách khỏi thiết bị IoT hoặc Máy in gây rủi ro tiềm ẩn
Camera IP & Hệ thống giám sát
Các hướng dẫn bảo mật ATM của PCI nêu rõ rằng: “Nếu có thể và được pháp luật cho phép, máy ATM nên được trang bị camera an ninh.” Điều này khiến camera IP trở thành thiết bị lân cận phổ biến nhất với ATM.
Thật không may, hướng dẫn đó không đề cập đến việc camera an ninh nên được phân đoạn riêng biệt với các thiết bị tài chính trên mạng. Người ta có thể cho rằng camera IP được phân đoạn từ các chức năng mạng trung tâm trong ngành dịch vụ tài chính, nhưng không phải lúc nào cũng vậy.
Điều đáng chú ý là việc cung cấp các bản cập nhật bảo mật cho thiết bị giám sát cũng như thiết bị an ninh vật lý và kiểm soát truy cập thường rất khó khăn, và tất cả các hệ thống này đều dễ bị tấn công man-in-the-middle (MitM). Cần thực hiện các biện pháp phòng ngừa bổ sung và kiểm soát bảo mật bổ sung để giúp ngăn chặn các thiết bị này bị xâm phạm.
Toà nhà được kết nối
Mối lo ngại lớn đối với ngành tài chính là vi phạm mạng ảnh hưởng đến trung tâm dữ liệu. Giống như tất cả các ngành công nghiệp phụ thuộc vào trung tâm dữ liệu, tài chính ngân hàng luôn phụ thuộc vào cơ sở hạ tầng năng lượng và điện, bao gồm các hệ thống liên quan đến các tòa nhà được kết nối và hệ thống tự động hóa tòa nhà BAS. Do đó, nhiều ngân hàng đã triển khai nguồn điện dự phòng nhằm giảm thiểu rủi ro cho trung tâm dữ liệu của họ – đây là bước đi đầu tiên tuyệt vời.
Tuy nhiên, đội bảo mật nên xem xét các biện pháp phòng ngừa bổ sung để quản lý và ngăn chặn các lỗ hổng liên quan đến cơ sở hạ tầng năng lượng và điện. Dữ liệu của chúng tôi cho thấy cần tập trung nhiều hơn vào các chiến lược phân đoạn khi nói đến cơ sở hạ tầng tòa nhà được kết nối và các thiết bị OT xác định chúng.
Ngoài những rủi ro trên, chúng ta không thể bỏ qua các rủi ro liên quan đến thiết bị OT và BAS, các thiết bị UPS, rủi ro BlueKeep,…
Tìm hiểu sâu hơn tại bản báo cáo của Forescout: Tại đây
Quản lý những rủi ro bảo mật trong ngân hàng
Một số khuyến nghị từ Forescout
Dựa trên kinh nghiệm hợp tác rộng rãi với các tổ chức tài chính của Forescout, việc quản lý/kiểm soát nên bắt đầu với khả năng hiển thị thụ động các thiết bị, cung cấp bản kiểm kê tài sản chính xác cho phần cứng, phần mềm, CNTT, OT và IoT – và tất cả các thiết bị đặc biệt trong các danh mục đó. Một số khuyến nghị các tổ chức có thể áp dụng như sau:
- Chú ý nhiều hơn và áp dụng chính sách phân đoạn nghiêm ngặt hơn đối với các thiết bị tham gia Active Directory (AD) có nguy cơ di chuyển ngang do các thiết bị lân cận, chẳng hạn như máy in.
- Mở rộng khả năng hiển thị thiết bị từ trung tâm dữ liệu tới đám mây và trên toàn khuôn viên.
- Triển khai các công cụ phát hiện mối đe dọa cung cấp một loạt các dấu vân tay phân loại để nâng cao khả năng kiểm soát thiết bị với bối cảnh kinh doanh.
- Cho phép và kiểm tra khả năng theo dõi liên tục trạng thái thiết bị để giúp đảm bảo nhận thức tình huống và trạng thái tài sản. Tránh các công cụ chỉ cung cấp ảnh chụp nhanh theo thời gian và mong đợi đánh giá theo thời gian thực về trạng thái thiết bị và tình trạng bảo mật.
- Đưa các thiết bị trung tâm dữ liệu và đám mây vào một mặt phẳng kiểm soát thống nhất để các thiết bị được quản lý tương tự nhau, giúp việc di chuyển trung tâm dữ liệu dễ dàng hơn và phân tích theo ngữ cảnh cho các bên liên quan chính về an ninh mạng.
- Thực hiện và mở rộng quy mô các hành động phân đoạn mạng trên toàn khuôn viên, trung tâm dữ liệu và đám mây. Dữ liệu đám mây thiết bị của Forescout cho thấy phân đoạn cổ điển được triển khai rộng rãi trong ngành dịch vụ tài chính, nhưng các nhà lãnh đạo an ninh mạng cần cân nhắc việc triển khai thêm phân đoạn để bảo vệ tốt hơn các thiết bị quan trọng như ATM và thiết bị IoT/OT.
- Tự động hóa và thực thi các kiểm soát dựa trên chính sách ở những nơi có thể để giảm thiểu thời gian phản hồi vi phạm hoặc mối đe dọa. Bắt đầu bằng cách tự động hóa các kiểm soát lặp đi lặp lại nhiều lần không yêu cầu chuyên môn hoặc hiểu biết của nhân viên bảo mật để nhân viên có thể tập trung nhiều hơn vào các nhiệm vụ có giá trị gia tăng.
- Cuối cùng, điều phối tương tác giữa các công cụ bảo mật hiện có bằng các mô-đun chuyên dụng có thể chia sẻ cập nhật trên toàn bộ danh mục giải pháp an ninh mạng dựa trên thế mạnh trong việc kiểm kê và phân loại tài sản, kiểm soát quyền truy cập đặc quyền và phân đoạn mạng.
Bộ giải pháp bảo mật trong ngân hàng Mi2 đang phân phối
Đối với ngành tài chính ngân hàng, việc đảm bảo an ninh mạng là một ưu tiên hàng đầu. Đồng thời, việc triển khai các biện pháp phòng ngừa và kiểm soát bảo mật bổ sung cũng là điều cần thiết để ngăn chặn các mối đe dọa tiềm ẩn.
Hiện nay, Mi2 là nhà cung cấp hàng đầu các giải pháp bảo mật cho khối tài chính tại Việt Nam. Chúng tôi cung cấp một bộ giải pháp toàn diện giúp các tổ chức tài chính bảo vệ dữ liệu và hệ thống của họ khỏi các mối đe dọa an ninh mạng ngày càng gia tăng.
Các khách hàng BFSI của Mi2
Bộ giải pháp bảo mật của Mi2 dành cho khối BFSI bao gồm các giải pháp chính:
- Advanced threat prevention: APT prevention, IPS, NDR, NAC, Web security, Mail security,…
- Application Security & DevSecOps: SAST, SCA, IAST, DAST, SRM/ASOC, Pentest,…
- Cloud Security: CSPM, ZTNA, SASE & CASB,…
- Endpoint Security: EDR, Malware Prevention, Anti-ransomware,…
- Data Security: DSPM, DLP, Data Encryption,…
- Security Operation: XDR/SOC, Deception, PAM, Security Awareness,…
- Pentest & Red Teaming: Red Team Ops, Exploitation,…
Tổng quan bộ giải pháp dành cho từng ngành mà Mi2 đang phân phối
Lợi ích khi sử dụng bộ giải pháp bảo mật trong ngân hàng của Mi2:
- Bảo vệ toàn diện: Bảo vệ tổ chức của bạn khỏi các mối đe dọa an ninh mạng từ mọi hướng.
- Dễ dàng triển khai: Các giải pháp của Mi2 được thiết kế đơn giản và dễ sử dụng cùng với đội ngũ hỗ trợ kỹ thuật tận tình, giúp tổ chức tiết kiệm thời gian và nguồn lực.
- Hiệu quả: Các giải pháp của Mi2 đã được chứng minh hiệu quả trong việc bảo vệ các tổ chức tài chính khỏi các cuộc tấn công mạng.
- Giá cả cạnh tranh: Mi2 cung cấp các giải pháp bảo mật với giá cả cạnh tranh, phù hợp với ngân sách của các tổ chức ở nhiều quy mô khác nhau.
Liên hệ Mi2 ngay hôm nay để được tư vấn và triển khai giải pháp bảo mật phù hợp nhất với nhu cầu của tổ chức bạn.
Đọc thêm: Bảo mật dữ liệu trong kỷ nguyên số
Sự phát triển của IoT đã làm gia tăng khả năng lan rộng theo chiều ngang của phần mềm độc hại, và lĩnh vực dịch vụ tài chính cũng không ngoại lệ.
Đội bảo mật mạng trong lĩnh vực tài chính cần đầu tư vào các chiến lược phân đoạn toàn diện được xây dựng trên cơ sở của các danh sách tài sản chính xác và cập nhật để hỗ trợ việc mua sắm liên tục các thiết bị trong quy mô lớn. Chỉ từ một góc độ nhìn toàn diện về các thiết bị, từ IT, OT và IoT, các nhà lãnh đạo an ninh mạng trong ngành dịch vụ tài chính mới có thể tổ chức các biện pháp kiểm soát dựa trên thiết bị như phân đoạn mạng và kiểm soát truy cập mạng tiên tiến.