曹乙帆身處 Bank 3.0 時代,必須撇除傳統思維,透過能提升客戶完美體驗、滿意度、可靠性與安全性的創新應用,來提升自我價值。 Akamai DDA 分散式雲端防禦架構,便是確保數位金融機構能安全無虞地創造自我價值,提供創新 Bank 3.0 應用服務與最佳體驗的強力憑藉。
本文目錄
善用大數據分析技術 建立事前、事中及事後完善預警及應變機制
隨著數位金融 Bank 3.0 時代到來,消費者行為將會面臨四個階段的逐漸改變。首先是網際網路與社群媒體階段,客戶透過網銀來辦理業務而獲得主控感,銀行之間則利用社交媒體相互推薦客戶,客戶因能更多元地選擇銀行。第二是螢幕與智慧手機階段,客戶可隨時隨地在智慧型手機上實現除存取款之外的所有 ATM 業務。第三為行動錢包階段,移動錢包與 NFC 支付卡等工具取代傳統銀行卡與現金交易。第四為人人是銀行階段,銀行服務將以各種形態「無所不在」。
勤業眾信風險管理資訊公司總經理萬幼筠指出,數位金融同時也有效提升了支付、資源配置、資產管理及資訊傳遞等四大金融核心功能。隨著網際網路與行動、雲端及大數據 (Big Data) 等新技術的應用,能有效改善傳統支付功能緩慢的問題,並讓金融交易中的身分識別風險跨越實體層次,進而強化資源配置的能力,同時資產管理的廣度與多樣性也因為企業開發更多模式的理財平台與工具而大增,再加上網際網路訊息發佈速度大增,金融機構能藉此大幅提升對外部客戶與對內部員工的通路整合及資訊傳遞效率。
萬幼筠特別強調指出,今後數位金融時代的資安與資料保護課題,將會從行政院版的虛擬世界法規調適開始,換言之,網路空間將成為今後法律上的第五領域。畢竟網路空間將成為與時間競賽的攻防戰陣地,無異成為 Bank 3.0 的重大挑戰,隨著網路攻擊頻率的不斷增加,擁有無限次攻擊機會的攻擊者,只需一次成功就能造成重大傷害。僅管當前金融業無法完全避免所有網路攻擊,然而必須透過資安治理來降低可能的風險與傷害。
當前國內已開始推動像是擴大公私協同合作、推升智慧商務安全、落實人才訓用合一、強化網路犯罪執法及健全資安法令標準等等許多針對網路空間資訊安全的策略性具體作法。針對 Bank 3.0 產業現行發展,勤業眾信提出四大建議:從營運模式來解讀法令要求、強化創新應用與用戶體驗、建立風險管理與舞弊偵測機制、將交易安全視為客戶信任的關鍵基礎。
萬幼筠表示,為了確保交易安全,當前數位銀行必須建立事前防控、事中監控與事後調查的預警及應變機制。更重要的是,透過數位鑑識以確保後續權益保護,可說是數位金融交易的最後一哩。「數位風險已然成為 Bank 3.0 首要課題,如何善用大數據分析技術用於資安情報蒐集、監控、偵測、回應及舞弊偵測已是全球趨勢,」萬幼筠總結指出。
創造有價值的服務 展現 Bank 3.0 最佳 Web 體驗
Akamai Technologies 亞太區網路安全策略長 John Ellis 剖析指出,當前的金融服務正處在一個不斷變動的世界裡,換言之,今日的先進技術,很可能明天就遭到淘汰,過去藉助明確規則與實體交易量行事的老舊價值主張已不再適用。企業必須提供有價值的創新服務,才能確保不斷進化的競爭力。
在 Bank 3.0 時代裡,有許多既是商機也可能是危機的創新應用與服務,例如行動金融、零售、行動支付與社交決策,企業必須從中找到價值。同時人們與世界溝通的方式一定會透過手機,換言之手機已成為當前人們建立人際關係的重要媒介,誰能掌握其間的關係?到底是 Apple 、 Facebook 、微信、阿里巴巴,還是金融業,這會成為關鍵。
John Ellis 引述 Gartner 的研究指出,當前亞非兩洲正在大力擁抱行動支付應用。 2012 年亞太區行動支付使用者高達 8,500 萬人,同年非洲則有 5,780 萬,遠遠超過北美及歐洲等其他地區。預估 2016 年亞洲與非洲的行動支付用戶數更將分別達到 1.64 億人與 1.01 億人,由此可見全球行動支付應用不斷成長,已成為 Bank 3.0 時代中的重要發展趨勢與創新應用之一。
就以中國為例,有高達 53% 的機票或旅館訂房都是透過行動手機進行交易的,同時消費者可以有非常多樣化的支付工具可供選擇。不過行動支付推動上仍有阻力存在,當前實體世界中仍有許多人對於透過現金與信用卡交易感到滿意。也因為如此,行動交易必須務求簡單、直覺與透明,更重要的是必須具備擴充性、可靠性及智慧能力,如此才能吸引消費者使用行動支付。
John Ellis 表示,身處 Bank 3.0 時代,必須讓行動交易更具智慧的能力,而將相關資訊的掌控力回饋給使用者,使用者可透過行動金融 App,來對自身交易內容獲得更多洞察力與決策參考,進而提升自我金融交易行為的控制力。
如今,銀行不再是一個非要前去辦理相關金融交易行為的地方,而成為可以 24/7 任何時間、任何地方與任何裝置上可以從事的行為。根據分析師預測指出,到了 2016 年,數位行動互動交易與實體面對面交易的比例會達到 400:1 。其中的關鍵即為將一切串聯起來並與客戶相連結的網際網路,但我們必須解決速度、可靠性及安全等問題。所謂 Bank 3.0,就是要賦予其情境背景,銀行扮演的是透過行動、社群來促成消費者與消費者之間安全交易的推手。
當前網路威脅中衝擊性與頻率最高的莫過於引發資料外洩與破壞的 Web 攻擊、 APT 等目標式攻擊。至於攻擊頻率其次的 DDoS 攻擊則往往會帶來極大的衝擊性。根據 Akamai 2015 年 Q1 SOTI 安全報告指出,2013 年以來,DDoS 攻擊呈現逐年增加的趨勢。
John Ellis 表示,為了達到更佳的 Bank 3.0 Web 體驗,必須同時兼顧效能與安全,唯有如此才能確保交易可用性、資料安全性與交易資訊完整性,進而降低業務風險,改善顧客滿意度與客戶留存率。總之,讓我們一同確保自身業務的可擴展性、成長性與可恢復彈性,進而解放自我真正價值。
決戰境外的戰略思維 客戶不再有直接面對攻擊的風險
隨著 Internet 網站服務成為數位金融第一線使用體驗介面,加上混合式入侵網站攻擊大行其道,益使數位金融遭致攻擊的數量.頻率及總持有成本不斷攀升,根據 Ponemon Institute《DoS 攻擊成本》研究報告指出,惡意攻擊每年所帶來的總持有成本 (TCO) 近 150 萬美元,至於遭受進階網站入侵式攻擊和防禦該攻擊所帶來的每年 TCO 約會 314 萬美元。
Akamai Technologies 台灣區資深業務協理盧佳成引述 Akamai 的研究指出,每年攻擊事件的數量從 2010 年的 991 起,激增至 2014 年的 4404 起,顯示攻擊事件有逐年增加的趨勢。同時攻擊頻寬量大小與攻擊封包量大小也有逐年漸增的走向,其中 2014 年的攻擊頻寛甚至上看 320Gbps 。也因為如此,進階安全與提供更多線上功能,成為當前數位銀行服務客戶最在乎的項目,而安全疑慮及速度變慢也成為客戶最擔憂的議題。
令人擔憂的,當前 DDoS 的平均攻擊量皆在 10Gbps 以上,然而台灣金融同業平均對外服務的頻寬卻只有 100~300Mbps 而已,一旦遭到攻擊根本無從招架。同時,2013 到 2014 年這兩年來每次 DDoS 攻擊平均時間皆超過 1 天,一般企業網路頻寬很難挺得住這麼長時間的攻擊波。至於當前最常見的 DDoS 攻擊種類仍以網路層 DDoS 攻擊最多,比重高達 90%,至於較複雜的應用層 DDoS 攻擊比重約占 10%,前者常見的 DDoS 威脅包括 SYN 、 SSDP 、 UDP Fragments 、 UDP Floods 及 DNS 等;後者常見得則有 HTTP GET 及 HTTP POST 等。
當前 DDoS 攻擊的主要三大疆界與主軸,不外乎資料源頭、 Web 及 DNS 。一旦攻擊資料源頭,會讓企業資料中心面臨直接威脅,並擴大整體業務與信譽損失。若攻擊 Web,會讓企業網站無法提供服務,甚至阻塞資料中心,並入侵網站竄改資料。至於攻擊 DNS 服務,則會讓企業使用者找不到也連不到企業提供的線上服務。對此,Akamai 提供全方位的 DDoS 防禦解決方案,亦即分別以 Prolexic Routed 、 Kona Site 或 DDoS Defender 、 Fast DNS 來確保資料源頭、 Web 及 DNS 免受 DDoS 的侵害。
不僅如此,Akamai 擁有 20 萬個遍及全球的節點伺服器,並一直持續快速擴大可有效防禦 DDoS 的 CDN 服務平台與流量清洗中心的專屬頻寬與數量。也因為如此,Akamai 雲端平台不但能解除技術複雜度,並具備吸收來自 Internet 龐大攻擊的能力。盧佳成強調指出,Akamai 安全解決方案的精神莫過於決戰境外,也就是會確保所有攻擊只會打在 Akamai 平台上,讓客戶免於直接面對攻擊的風險。為了確保客戶 24 小時營運服務及安全防禦不中斷,Akamai 透過即時監控、就地處理、分流攻擊等機制,提供 100% 平台可靠度的服務水平協議 (SLA),以及符合資安及法規遵偱要求等承諾。
三階段式 DDA 防護架構 確保 DNS 、網頁應用與資料中心的全面性安全
當前企業面臨著許多全球性的網路威脅,光未知威脅就已構成安全防護上的一大挑戰,因為當前有 54% 的惡意軟體無法被偵測。再者,當前發動大型 DDoS 攻擊流量的難度愈來愈低,而最大 UDP 攻擊可達到 400Gbps 。至於 Web 安全上,資料隱碼 (SQL Injetction) 依舊是當前最普遍的資料竊取網頁攻擊手法。
零壹科技應用服務部技術顧問陳鳴豪表示,最令人頭痛的莫過於網路不時會出現一些全新的駭客團體,例如近期專門鎖定金融機構的 QurMine Team 與專門勒索比特幣的 DD4BC 。如今網路更出現名為 LizardStresser 的 DDoS-as-a-Service 服務,其為知名駭客組織 Lizard Squad 所提供的 DDoS 雲端服務,該服務宣稱任何人只需月付美金 129.99 元,便能輕易鎖定特定目標發動平均攻擊規模可達 2 Tbps 、最大至 30 Tbps,且攻擊持續時間最長可達 8.33 小時的 DDoS 攻擊,同樣的中國網路上也出現類似的 DDoS 服務,顯示出 DDoS-as-a-Service 已然成為網路上另一個可怕的趨勢。
目前企業針對 Web 應用安全問題與 DDoS 威脅的因應對策,除了硬體自建外,不外尋求 ISP 網路服務供應商、清洗中心服務與雲端平台等解決之道。然而上述方案各有缺點,以自建防護而言,在頻寬與連線數不足的情況下,處理 DDoS 的能力自然受限,更別說還可能會有應用漏洞的問題出現;ISP 提供的安全防護機制,往往會有保護範圍受限,以及僅提供單點保護等缺點;雖然清洗中心不失為減緩 DDoS 威脅的專家級方案,但仍會有傳遞時出現延遲的弊病;再就可提供即時監控的雲端方案來說,卻有只限 HTTP/HTTPS 流量防護、資源受限,以及缺乏即時威脅狀況回報等缺點。
為了有效因應 Web 應用安全與 DDoS 威脅,Akamai 特別提供整合 Akamai 偏佈全球邊際伺服器所構成的 CDN 服務平台與 Prolexic 清洗中心服務,並能支援不同階段安全防護的分散式雲端防禦架構 (Distributed Defense Architecture, DDA),其在不同階段下能分別提供 DNS 服務保護、網頁應用 DDoS 防護、網頁應用進階防護與原始資料中心保護。
陳鳴豪舉例指出,提供 500 多個網頁應用及非網頁應用服務的某大型金融服務企業,便分別透過 Akamai Kona Site Defender 及 Prolexic Routed 成功杜絕網路應用層 DDoS 威脅,並持續保護消費者入口網站、企業服務網路、資料中心各項服務的安全,同時透過 FastDNS 取代傳統 DNS 服務,得以確保 DNS 的永續運作。