主动而非被动:确保网络安全运营弹性的途径

金融部门处理威胁的经验对网络安全领域的任何人都有启发——没有什么可以替代提前摆脱潜在的风险和问题。

从狂野西部的银行劫匪到勒索软件即服务 (RaaS),全球金融生态系统面临的威胁多年来发生了巨大变化。技术进步带动了金融业的快速发展,从现金交易到数字钱包、嵌入式金融和开放银行。

但他们也使复杂的技术工具民主化,使威胁行为者更便宜、更容易使用它们。

对于金融公司来说,新兴的威胁领域充满活力。我们已经全力以赴,确保面对自然灾害、地缘政治变化和公众信心丧失时的运营弹性。

现在,由于可以轻松接触犯罪“服务提供商”,任何心怀怨恨或有议程的团体都可以摧毁一家企业,甚至危及整个行业。他们甚至不需要这方面的技术专业知识,他们可以支付象征性的费用来利用“即服务”提供商以工厂生产线的效率进行攻击。

在此背景下,世界各地的金融监管机构都强调需要建立运营弹性以维持金融部门的稳定。这一点从欧盟《数字运营弹性法案》 (DORA)、英国央行 (BoE)、审慎监管局 (PRA) 和英国金融行为监管局 (FCA) 制定的运营弹性框架以及更新后的《数字运营弹性法案》中可以明显看出以及新加坡金融管理局 (MAS) 的业务连续性准则。

那么,当意外发生时,金融部门如何确保运营弹性——应对、继续运营、恢复和学习的能力?

这一切都归结为采取主动而非被动的方法。

为什么要采用主动的安全方法?

运营弹性不仅仅是通过在发生中断时减轻中断来确保业务连续性。无论威胁事件的严重程度如何,弹性都需要采取主动的方法来维护稳定可靠的数字系统。金融体系的这种“银行可融资性”(请原谅双关语)对于维护公众对全球金融体系的信任和信心至关重要。

鉴于金融公司与外部第三方的相互联系,任何运营弹性计划都需要解决多条通信线路、交互和信息共享的自动化系统以及不断增长的攻击面。

以下是制定积极主动的弹性计划的步骤:

识别潜在风险

首先绘制您在整个行业中的足迹,包括互连、信息流、连续性要求以及当前网络安全战略中的差距。了解您的内部和外部依赖性。并确定关键操作的可接受的中断水平,以全面了解您抵抗、适应、吸收威胁和/或从威胁中恢复的能力。

制定应对计划

与内外部各方建立高效的沟通渠道。确保每个相关人员都能随时随地轻松访问相关信息。并将您的响应计划建立在基于零信任的第三方连接的基础上,以确保供应商的访问具有时间限制和有限。

利用过去的威胁和练习中的经验教训来了解所需的程序标准。确定组织内将实施该计划的人员和团队,并明确定义他们对破坏性事件的角色和责任。

随着金融公司越来越依赖第三方应用程序和软件,我们预计软件物料清单(SBOM) 将成为安全不可或缺的一部分。事实上,Gartner 估计,到 2025 年,全球 45% 的组织的软件供应链将遭受过攻击,这一数字比 2021 年增加了三倍。

做好行动准备

参加练习,通过建立肌肉记忆来加强反应准备。练习有助于培训您的团队执行弹性计划,以便在事件发生时可以立即部署该计划。这种肌肉记忆有助于减少恐慌、缩短响应时间、防止临时决策并提高危机期间的响应效率。

与包括政府机构在内的外部合作伙伴合作开展演习,以测试应对准备情况,突出内部和外部联系,并找出政策和程序中的差距。

期待意想不到的事情

金融部门对电信和能源行业的依赖,以及该行业日益全球化的性质,意味着运营弹性演习不仅需要跨境,而且还需要跨部门。如今,国家甚至全球层面的威胁已成为现实,这凸显了政府合作伙伴参与演习的必要性。毕竟,保护关键的私人基础设施可以保障国家的金融稳定。

演习还可以在不同层面进行:部门、组织、部门、跨部门(包括公共/私人合作伙伴)和跨境。另外,它们可以有不同的类型。虽然桌面练习有助于讨论和最终确定主动计划的关键步骤,但需要实际技术模拟的键盘实践练习可以建立前面提到的肌肉记忆。

自 2010 年以来,北约每年组织一次“锁定盾牌”演习,这是实践演习的一个引人注目的例子。这些练习中模拟的威胁来自现实生活场景。最近的威胁用于预测它们在未来如何升级或转变为合法的风险事件。

Locked Shields 2022 包括来自 33 个国家金融部门的公共和私人实体,并模拟了对一个假国家的大规模网络攻击。它增强了抵御此类攻击的能力。

演习强调了如何针对金融部门来削弱一个国家应对危机的能力。它们还帮助制定积极主动的战略,支持政府和金融公司应对未来的威胁,同时确保重大事件期间沟通和协调渠道的无缝运作。操作风险不再受地域限制。

当威胁行为者通过复杂的供应链进行攻击时,我们的防御也需要同样全球化。这可以通过跨境情报共享和演练来实现,从而使金融组织能够制定全面的运营弹性战略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/206005.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于轻量级MnasNet模型开发构建40种常见中草药图像识别系统

文本是前文的后续: 《python基于轻量级GhostNet模型开发构建23种常见中草药图像识别系统》 前文主要是在小批量小种类数据集上尝试开发构建基于轻量级CNN模型的中草药图像识别系统,本文的初衷是想要构建一个大类别大数据集的基础,但是无奈发…

附录1、vuepress中的Markdown语法

# 一、标题 # 说明: #后面跟的内容就是标题,一个#就是一级标题,有几个#就是几级标题,例如2级标题就有两个##,markdown的2级和3级标题会默认自动作为子目录, 注意:#后面必须有个空格&#xff0…

【天线了解】2.WTW天线了解与使用

注意网段:(计算机与设备同一网段才可以通信) 1.LS28接收机使用的网段是192.168.16.X,所以电脑应该同样设置 2.WTW天线使用网段192.168.98.X 0.WTW使用原理 1.计算机控制LS28(接收机),WTW天线。 …

全志H6-ARMLinux第1天:全志概述、刷机登陆、官方外设库、蜂鸣器、超声波测距

1. 全志H616课程概述(456.01) 1.1 为什么学 学习目标依然是Linux系统,平台是ARM架构 蜂巢快递柜,配送机器人,这些应用场景用 C51、STM32 单片机无法实现第三方介入库的局限性,比如刷脸支付和公交车收费设…

《微信小程序开发从入门到实战》学习四十四

4.3 云开发文件存储 4.3.4 删除文件 在小程序端和云函数端,都可以调用API删除云空间中的文件,这两个API的参数和回调函数参数都是一样。每次调用API最多删除50个文件。使用方法如下代码所示: // 回调风格的API wx.cloud.deleteFile({ file…

python的extend函数详解

文章目录 语法功能示例例1:添加列表例2:添加元组例3:添加集合例4:添加字典(只添加键)例5:添加字符串例6:混合类型扩展例7:扩展空列表或不可迭代对象 注意事项&#xff1a…

PHP使用mkcert本地开发生成HTTPS证书 PhpEnv集成环境

PHP使用mkcert本地开发生成HTTPS证书 PhpEnv集成环境 前言一、介绍 mkcert二、安装/使用 mkcert1. 安装2. 使用 总结 前言 本地开发时有些功能只有在 https 证书的情况下才能使用, 例如一些 Web API 一、介绍 mkcert Github地址 mkcert 是一个制作本地可信开发证书的简单工具。…

SmartChart:一站式数据可视化解决方案

在当今的数据驱动的世界中,数据可视化已经成为了一个重要的工具,它可以帮助我们理解复杂的数据集,并从中提取有价值的信息。SmartChart就是这样一个强大的数据可视化工具,它提供了一站式的数据可视化解决方案,无论你是…

Docker实战笔记 二 Springboot Idea 插件打包

1.上传springboot的jar rootcenots-7.5:/home/code#rz -----app.jar 2.编辑Dockerfile rootcenots-7.5:/home/code#vi Dockerfile内容 FROM openjdk:8 # 作者 MAINTAINER nnd # 声明要使用的端口 EXPOSE 8080 # VOLUME 指定了临时文件目录为/tmp。# 将本地包添加到容器中并…

力扣题:字符的统计-12.7

力扣题-12.7 [力扣刷题攻略] Re:从零开始的力扣刷题生活 力扣题1:467. 环绕字符串中唯一的子字符串 解题思想:记录下以字母s[i]结尾的最大的字串个数,然后统计a-z每个字母结尾的最大字串的个数进行i相加 class Solution(object…

DDD架构思想专栏一《初识领域驱动设计DDD落地》

引言 最近准备给自己之前写的项目做重构,这是一个单体架构的小项目,后端采用的是最常见的三层架构。因为项目比较简单,其实采用三层架构就完全够了。但是呢,小编最近在做DDD架构的项目,于是就先拿之前写的一个老项目试…

1319:【例6.1】排队接水

【题目描述】 有n 个人在一个水龙头前排队接水,假如每个人接水的时间为Ti ,请编程找出这n 个人排队的一种顺序,使得n 个人的平均等待时间最小。 【输入】 共两行,第一行为n(1≤n≤1000) ;第二行分别表示第1 个人到第n…

从传统到胜利:广汽集团汽车产业创新之旅

置身于汽车行业百年未有之大变局,作为传统车企中的排头兵,广汽创新可圈可点,广汽近年来取得了骄人业绩,不论是整体产销规模,还是新能源汽车产业化、新技术领域开拓等,都呈现节节攀升的局面。本文奖从产业变…

【1day】金和OA某接口存在未授权访问漏洞

注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。 目录 一、漏洞描述 二、影响版本 三、资产测绘 四、漏洞复现

Adesk::Boolean CMultiEntityEx::subWorldDraw( AcGiWorldDraw* mode )什么情况下mode 为空

Adesk::Boolean CMultiEntityEx::subWorldDraw( AcGiWorldDraw* mode )什么情况下mode 为空 在AutoCAD的ObjectARX中,subWorldDraw是一个重要的虚拟函数,它被用来将对象的图形表示传递给绘图系统。当你创建一个自定义对象时,通常需要重写这个函数以提供对象的图形描述。 s…

Java项目学生管理系统一前后端环境搭建

在现代的软件开发中,学生管理系统是一个常见的应用场景。通过学生管理系统,学校能够方便地管理学生的信息、课程安排和成绩等数据。本文将介绍如何使用Java语言搭建一个学生管理系统的前后端环境,并提供一个简单的示例。 1.环境搭建 学生管…

vue开发,axios网络请求框架基本用法和封装

axios安装 npm install axiosaxios基本用法 默认的get请求,参数用params追加,多个参数通过json对象的方式,例如params:‘{type:“home”,page:1}’ axios({url: https://api.videolog.net.cn/baidu/token,params: }).then(value > {co…

为什么选择计算机

很久以前,有一个年轻人名叫艾登。他生活在一个充满奇妙魔法的世界里,但他总觉得自己缺少一种独特的能力,一种可以创造和改变世界的力量。 一天,艾登无意中进入了一座古老的图书馆,那里充满了尘封的书籍和神秘的氛围。…

WT588F02B-8S语音芯片助力破壁机:智能声音播放提示IC引领健康生活新潮流

在追求健康饮食的时代潮流中,破壁机作为榨汁、搅拌的重要厨房电器,融入智能技术的趋势不断加强。唯创知音的WT588F02B-8S语音芯片作为声音播放提示IC,为破壁机注入了更智能、便捷的声音提示功能,引领用户迈入健康生活的新潮流。 …

入门指南:使用Prometheus监控Linux服务器

Prometheus介绍 Prometheus是一款开源的监控系统,主要用于收集、存储和查询时间序列数据,以便于对系统进行监控和分析。以下是Prometheus的架构图介绍: Prometheus的架构由四个主要组件组成: Prometheus Server(Prom…