網際網路使用率持續攀升,線上服務在過去十年呈現爆炸式成長,人們繼續頻繁以及更多組織輕率分享資料。app與網站如雨後春筍般湧現,然而在管控方面卻變得鬆散。

加上個人資訊在社交平台及其他管道的自由分享,使得身分辨識資料暴露於比以往更大的風險,而且某些情形下等於為詐欺者開啟了大門。很明顯的,技術已改變了權力差異,而消費者正引領此一趨勢。

這是一個混合的世界,技術的整合提供了多種部署模式效益。隨著企業轉移到雲端,最佳化營運並且在商業程序內運用更多技術,應用程式之間的互動也變得更複雜,安全成為一項關鍵的要素,因為那是數位年代永續經營的基礎。

尋找正確的安全態勢

物聯網(Internet of Things;IoT)在市場上快速累積動能。快速成長的結果,增加了後端資料的負載,對網路產生極大壓力。傳統IT基礎設施和安全環境的感受最為深刻,而這在2016年將會變得更加顯著。連接到裝置的「物件」數量具有成為網路攻擊(例如DDoS)傀儡的潛在風險,因為它們具備了連接性並且仰賴API。

毫無疑問的,這是令人擔憂的,此類攻擊將激發消費者安全需求,最後促使安全性成為網際網路裝置的一項關鍵必備功能。除非企業維持主動防護,否則無所不在的互連裝置將成為攻擊者的金礦。因此,我們預期更多企業將會致力確保其IT基礎設施的穩定與安全,以支援伴隨IoT而來的爆炸性資料負載。在IoT的消費者安全防護方面,電視與穿戴式裝置製造商將會把安全性放在第一優先。

維護金融服務安全

亞太區行動裝置的普及和網路銀行的興起,使得複雜化的網路安全威脅升高。單是今年頭三個月內,以銀行和金融機構為目標的Tinbapore變種木馬和新的Gootkit攻擊已在紐西蘭、美國、加拿大及其他國家出現。這些演變意謂著攻擊者技術的快速進化。

以Gootkit為例,它在對金融機構網站發動實際攻擊之前,會先利用錄影功能做好準備。這意謂著攻擊者現在已有能力研究一家銀行內部的金融交易程序,不需要進入銀行就能找出核准程序的漏洞。這顯示了今日網路犯罪者的創新能力,以及他們為了建立有效的攻擊程序而投入更多心力。

不僅如此,當金融機構將更多企業級應用程式與服務部署到傳統資料中心和雲端環境之後,最重要的是必須了解並管控他們的安全風險。一個完善的安全策略不能只把重點放在周邊安全,而必須確保資訊可用性與機密,並且維護正常的商業程序。企業必須有能力了解和管控風險,才能運用技術建立區別優勢和提供新客戶服務。

用戶端安全性首重身份辨識

過去金融業者的區域劃分相當明確,所有交易都必須在金融業者所管理的地點或人員面前方能完成,但現在進入新的網路服務時代,一切都透過數位化方式進行時,該如何確保交易的安全性?

新的金融IT環境必須透過虛擬化、雲端化及金融科技等創新技術重新建立基礎環境,但要如何確保用戶及系統安全性呢?第一步就是透過身份辨識機制確認用戶端的真實性。固然我們可以透過雙重驗證、生理特徵驗證或是其他技術確認使用者身份,但還是需要一定技術與管理才能確保整條通道上的安全性,這時導入同盟(Federation)技術,並透過此技術串連點到點的完整路徑,並整合加密、資料驗證、甚至是廣域網路加速等技術,才能有效確保交易的安全。

行動裝置的安全策略

應用到金融科技年代需要更強大的安全保護措施,同時需要結合手機設備商及第三方安全防護業者,透過全方位的資安整合方能打造完善的用戶端防護措施。另外,無論採用何種行動網路,從資料串接介面到行動裝置之間都應該採用安全的加密技術。現在由於手機運算能力及網路傳輸速率大幅提高,就算透過加密通道也不會影響整體傳輸;如果使用專屬的APP連線的話,更可以編寫專屬的加密方式,確保資料傳輸時的安全性。

仰賴線上業務的企業,需要建立一種全面性的安全策略。非僅要保護組織、員工、客戶和終端使用者,同時必須能夠快速因應攻擊,將損害控制在最小。金融機構必須在「純粹的防護」和「舒緩與反應」這二者之間取得均衡。如果傾向任何一方,安全策略將無法達到預期的效率。