[會後報導] 釋放Bank 3.0自我價值的創新安全防禦之道

身處Bank 3.0時代,必須撇除傳統思維,透過能提升客戶完美體驗、滿意度、可靠性與安全性的創新應用,來提升自我價值。Akamai DDA分散式雲端防禦架構,便是確保數位金融機構能安全無虞地創造自我價值,提供創新Bank 3.0應用服務與最佳體驗的強力憑藉。

身處Bank 3.0時代,必須撇除傳統思維,透過能提升客戶完美體驗、滿意度、可靠性與安全性的創新應用,來提升自我價值。Akamai DDA分散式雲端防禦架構,便是確保數位金融機構能安全無虞地創造自我價值,提供創新Bank 3.0應用服務與最佳體驗的強力憑藉。

善用大數據分析技術  建立事前、事中及事後完善預警及應變機制

隨著數位金融Bank 3.0時代到來,消費者行為將會面臨四個階段的逐漸改變。首先是網際網路與社群媒體階段,客戶透過網銀來辦理業務而獲得主控感,銀行之間則利用社交媒體相互推薦客戶,客戶因能更多元地選擇銀行。第二是螢幕與智慧手機階段,客戶可隨時隨地在智慧型手機上實現除存取款之外的所有ATM業務。第三為行動錢包階段,移動錢包與NFC支付卡等工具取代傳統銀行卡與現金交易。第四為人人是銀行階段,銀行服務將以各種形態「無所不在」。

勤業眾信風險管理資訊公司總經理萬幼筠指出,數位金融同時也有效提升了支付、資源配置、資產管理及資訊傳遞等四大金融核心功能。隨著網際網路與行動、雲端及大數據(Big Data)等新技術的應用,能有效改善傳統支付功能緩慢的問題,並讓金融交易中的身分識別風險跨越實體層次,進而強化資源配置的能力,同時資產管理的廣度與多樣性也因為企業開發更多模式的理財平台與工具而大增,再加上網際網路訊息發佈速度大增,金融機構能藉此大幅提升對外部客戶與對內部員工的通路整合及資訊傳遞效率。

勤業眾信營運長萬幼筠
勤業眾信營運長萬幼筠

萬幼筠特別強調指出,今後數位金融時代的資安與資料保護課題,將會從行政院版的虛擬世界法規調適開始,換言之,網路空間將成為今後法律上的第五領域。畢竟網路空間將成為與時間競賽的攻防戰陣地,無異成為Bank 3.0的重大挑戰,隨著網路攻擊頻率的不斷增加,擁有無限次攻擊機會的攻擊者,只需一次成功就能造成重大傷害。僅管當前金融業無法完全避免所有網路攻擊,然而必須透過資安治理來降低可能的風險與傷害。

當前國內已開始推動像是擴大公私協同合作、推升智慧商務安全、落實人才訓用合一、強化網路犯罪執法及健全資安法令標準等等許多針對網路空間資訊安全的策略性具體作法。針對Bank 3.0產業現行發展,勤業眾信提出四大建議:從營運模式來解讀法令要求、強化創新應用與用戶體驗、建立風險管理與舞弊偵測機制、將交易安全視為客戶信任的關鍵基礎。

萬幼筠表示,為了確保交易安全,當前數位銀行必須建立事前防控、事中監控與事後調查的預警及應變機制。更重要的是,透過數位鑑識以確保後續權益保護,可說是數位金融交易的最後一哩。「數位風險已然成為Bank 3.0首要課題,如何善用大數據分析技術用於資安情報蒐集、監控、偵測、回應及舞弊偵測已是全球趨勢,」萬幼筠總結指出。

創造有價值的服務  展現Bank 3.0最佳Web體驗

Akamai Technologies亞太區網路安全策略長John Ellis剖析指出,當前的金融服務正處在一個不斷變動的世界裡,換言之,今日的先進技術,很可能明天就遭到淘汰,過去藉助明確規則與實體交易量行事的老舊價值主張已不再適用。企業必須提供有價值的創新服務,才能確保不斷進化的競爭力。

Akamai亞太區金融資安總監John Ellis
Akamai亞太區金融資安總監John Ellis

在Bank 3.0時代裡,有許多既是商機也可能是危機的創新應用與服務,例如行動金融、零售、行動支付與社交決策,企業必須從中找到價值。同時人們與世界溝通的方式一定會透過手機,換言之手機已成為當前人們建立人際關係的重要媒介,誰能掌握其間的關係?到底是Apple、Facebook、微信、阿里巴巴,還是金融業,這會成為關鍵。

John Ellis引述Gartner的研究指出,當前亞非兩洲正在大力擁抱行動支付應用。2012年亞太區行動支付使用者高達8,500萬人,同年非洲則有5,780萬,遠遠超過北美及歐洲等其他地區。預估2016年亞洲與非洲的行動支付用戶數更將分別達到1.64億人與1.01億人,由此可見全球行動支付應用不斷成長,已成為Bank 3.0時代中的重要發展趨勢與創新應用之一。

就以中國為例,有高達53%的機票或旅館訂房都是透過行動手機進行交易的,同時消費者可以有非常多樣化的支付工具可供選擇。不過行動支付推動上仍有阻力存在,當前實體世界中仍有許多人對於透過現金與信用卡交易感到滿意。也因為如此,行動交易必須務求簡單、直覺與透明,更重要的是必須具備擴充性、可靠性及智慧能力,如此才能吸引消費者使用行動支付。

John Ellis表示,身處Bank 3.0時代,必須讓行動交易更具智慧的能力,而將相關資訊的掌控力回饋給使用者,使用者可透過行動金融App,來對自身交易內容獲得更多洞察力與決策參考,進而提升自我金融交易行為的控制力。

如今,銀行不再是一個非要前去辦理相關金融交易行為的地方,而成為可以24/7任何時間、任何地方與任何裝置上可以從事的行為。根據分析師預測指出,到了2016年,數位行動互動交易與實體面對面交易的比例會達到400:1。其中的關鍵即為將一切串聯起來並與客戶相連結的網際網路,但我們必須解決速度、可靠性及安全等問題。所謂Bank 3.0,就是要賦予其情境背景,銀行扮演的是透過行動、社群來促成消費者與消費者之間安全交易的推手。

當前網路威脅中衝擊性與頻率最高的莫過於引發資料外洩與破壞的Web攻擊、APT等目標式攻擊。至於攻擊頻率其次的DDoS攻擊則往往會帶來極大的衝擊性。根據Akamai 2015年Q1 SOTI安全報告指出,2013年以來,DDoS攻擊呈現逐年增加的趨勢。

John Ellis表示,為了達到更佳的Bank 3.0 Web體驗,必須同時兼顧效能與安全,唯有如此才能確保交易可用性、資料安全性與交易資訊完整性,進而降低業務風險,改善顧客滿意度與客戶留存率。總之,讓我們一同確保自身業務的可擴展性、成長性與可恢復彈性,進而解放自我真正價值。

決戰境外的戰略思維  客戶不再有直接面對攻擊的風險

隨著Internet網站服務成為數位金融第一線使用體驗介面,加上混合式入侵網站攻擊大行其道,益使數位金融遭致攻擊的數量.頻率及總持有成本不斷攀升,根據Ponemon Institute《DoS攻擊成本》研究報告指出,惡意攻擊每年所帶來的總持有成本(TCO)近150萬美元,至於遭受進階網站入侵式攻擊和防禦該攻擊所帶來的每年TCO約會314萬美元。

Akamai Technologies台灣區資深業務協理盧佳成引述Akamai的研究指出,每年攻擊事件的數量從2010年的991起,激增至2014年的4404起,顯示攻擊事件有逐年增加的趨勢。同時攻擊頻寬量大小與攻擊封包量大小也有逐年漸增的走向,其中2014年的攻擊頻寛甚至上看320Gbps。也因為如此,進階安全與提供更多線上功能,成為當前數位銀行服務客戶最在乎的項目,而安全疑慮及速度變慢也成為客戶最擔憂的議題。

Akamai資深業務協理盧佳成
Akamai資深業務協理盧佳成

令人擔憂的,當前DDoS的平均攻擊量皆在10Gbps以上,然而台灣金融同業平均對外服務的頻寬卻只有100~300Mbps而已,一旦遭到攻擊根本無從招架。同時,2013到2014年這兩年來每次DDoS攻擊平均時間皆超過1天,一般企業網路頻寬很難挺得住這麼長時間的攻擊波。至於當前最常見的DDoS攻擊種類仍以網路層DDoS攻擊最多,比重高達90%,至於較複雜的應用層DDoS攻擊比重約占10%,前者常見的DDoS威脅包括SYN、SSDP、UDP Fragments、UDP Floods及DNS等;後者常見得則有HTTP GET及HTTP POST等。

當前DDoS攻擊的主要三大疆界與主軸,不外乎資料源頭、Web及DNS。一旦攻擊資料源頭,會讓企業資料中心面臨直接威脅,並擴大整體業務與信譽損失。若攻擊Web,會讓企業網站無法提供服務,甚至阻塞資料中心,並入侵網站竄改資料。至於攻擊DNS服務,則會讓企業使用者找不到也連不到企業提供的線上服務。對此,Akamai提供全方位的DDoS防禦解決方案,亦即分別以Prolexic Routed、Kona Site或DDoS Defender、Fast DNS來確保資料源頭、Web及DNS免受DDoS的侵害。

不僅如此,Akamai擁有20萬個遍及全球的節點伺服器,並一直持續快速擴大可有效防禦DDoS的CDN服務平台與流量清洗中心的專屬頻寬與數量。也因為如此,Akamai雲端平台不但能解除技術複雜度,並具備吸收來自Internet龐大攻擊的能力。盧佳成強調指出,Akamai安全解決方案的精神莫過於決戰境外,也就是會確保所有攻擊只會打在Akamai平台上,讓客戶免於直接面對攻擊的風險。為了確保客戶24小時營運服務及安全防禦不中斷,Akamai透過即時監控、就地處理、分流攻擊等機制,提供100%平台可靠度的服務水平協議(SLA),以及符合資安及法規遵偱要求等承諾。

三階段式DDA防護架構  確保DNS、網頁應用與資料中心的全面性安全

當前企業面臨著許多全球性的網路威脅,光未知威脅就已構成安全防護上的一大挑戰,因為當前有54%的惡意軟體無法被偵測。再者,當前發動大型DDoS攻擊流量的難度愈來愈低,而最大UDP攻擊可達到400Gbps。至於Web安全上,資料隱碼(SQL Injetction)依舊是當前最普遍的資料竊取網頁攻擊手法。

零壹科技應用服務部技術顧問陳鳴豪表示,最令人頭痛的莫過於網路不時會出現一些全新的駭客團體,例如近期專門鎖定金融機構的QurMine Team與專門勒索比特幣的DD4BC。如今網路更出現名為LizardStresser的DDoS-as-a-Service服務,其為知名駭客組織Lizard Squad所提供的DDoS雲端服務,該服務宣稱任何人只需月付美金129.99元,便能輕易鎖定特定目標發動平均攻擊規模可達2 Tbps、最大至30 Tbps,且攻擊持續時間最長可達8.33小時的DDoS攻擊,同樣的中國網路上也出現類似的DDoS服務,顯示出DDoS-as-a-Service已然成為網路上另一個可怕的趨勢。

零壹科技技術顧問陳鳴豪
零壹科技技術顧問陳鳴豪

目前企業針對Web應用安全問題與DDoS威脅的因應對策,除了硬體自建外,不外尋求ISP網路服務供應商、清洗中心服務與雲端平台等解決之道。然而上述方案各有缺點,以自建防護而言,在頻寬與連線數不足的情況下,處理DDoS的能力自然受限,更別說還可能會有應用漏洞的問題出現;ISP提供的安全防護機制,往往會有保護範圍受限,以及僅提供單點保護等缺點;雖然清洗中心不失為減緩DDoS威脅的專家級方案,但仍會有傳遞時出現延遲的弊病;再就可提供即時監控的雲端方案來說,卻有只限HTTP/HTTPS流量防護、資源受限,以及缺乏即時威脅狀況回報等缺點。

為了有效因應Web應用安全與DDoS威脅,Akamai特別提供整合Akamai偏佈全球邊際伺服器所構成的CDN服務平台與Prolexic清洗中心服務,並能支援不同階段安全防護的分散式雲端防禦架構(Distributed Defense Architecture, DDA),其在不同階段下能分別提供DNS服務保護、網頁應用DDoS防護、網頁應用進階防護與原始資料中心保護。

陳鳴豪舉例指出,提供500多個網頁應用及非網頁應用服務的某大型金融服務企業,便分別透過Akamai Kona Site Defender及Prolexic Routed成功杜絕網路應用層DDoS威脅,並持續保護消費者入口網站、企業服務網路、資料中心各項服務的安全,同時透過FastDNS取代傳統DNS服務,得以確保DNS的永續運作。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416