措施包括基于最小特权原则的传统和新兴解决方案的结合
在凭证盗窃和欺诈复杂性呈指数级增长的情况下,保护数据和数字身份已成为金融行业的关键问题。根据国际货币基金组织的报告,近几十年来,银行、保险公司和资产管理公司成为超过 20 次网络攻击的目标,造成约 12 亿美元的损失。
日益复杂的网络钓鱼、社会工程和凭证泄露行为给机构带来了压力,迫使它们不断投资于额外的安全层。巴西银行联合会 (Febraban) 最近的一项研究绘制了与金融领域最相关的新兴安全和数字身份技术,例如生物识别技术、隐私保护计算 (PPC) 和后量子网络安全。
在此背景下,机构的关注点也转向效率问题。巴西跨国加密和网络安全公司 Kryptus 的支付部门专家 Armando Ferraz 表示:“强大的安全工具需要大量的处理,因此有必要考虑能够在不影响可用性的情况下实现安全操作的解决方案。”
Ferraz 强调了生物识别领域的进步,该领域已经从简单的指纹验证发展到面部、虹膜甚至行为识别解决方案。他说:“由于生物特征数据是唯一的记录,该技术消除了对密码的需求,改善了用户体验,提高了安全性和实用性。”
专家指出,尽管对新兴技术的投资对于加强外围防御和访问控制至关重要,但许多组织仍然忽视了对其内部管理的数据的限制使用。他解释说,仅仅关注外部障碍的安全性是不够的,特别是在管理凭证的情况下。 “有必要限制每个凭证的数据消耗容量,并采用面向数据的愿景,同时必须与边界保护相结合。这样,即使访问受到威胁,由于数据覆盖范围受到限制,造成损害的可能性也会降低。”
专家还指出,大面积的暴露对凭证安全构成了很高的风险。许多第三方公司最终会获取信息,而用户的安全成熟度仍然较低,这使得他们容易受到诈骗。因此,必须根据管理员用户的实际需求限制凭证。拥有无限权限的凭证是主要的攻击媒介之一,包括勒索软件。
基于最小特权原则,可以使用能够对每个用户的凭证和访问级别进行分类和保护的软件来进行数据匿名化。结合硬件安全模块 (HSM),数据在各个层面都得到分类、加密和保护。 Ferraz 表示,这种方法不仅可以确保未经授权的用户无法访问敏感数据,还可以确保用于保护数据的加密得到安全管理,从而最大限度地降低泄露风险。
内部数据保护措施还必须遵循监管要求,例如PSD2和PCI DSS标准,这些标准决定了高级身份验证和加密机制的使用; ISO/IEC 27701 为隐私信息管理提供了指导方针,与《通用数据保护法》(LGPD)保持一致。
随着量子计算机的普及以及传统加密方法的脆弱性,后量子网络安全也将成为保护数据的关键。 “我们最近获得了 NIST CAVP 认证,这证明了我们能够根据美国国家标准与技术研究院 (NIST) 的规定,抵御来自后量子计算机的 kNET HSM 攻击。这意味着我们采用了一种混合方法,将传统密码学和后量子密码学相结合,以确保持续和长期的保护。”Ferraz 补充道。
其他新兴技术,例如PPC,它在保护信息隐私的同时执行数据处理和分析;同态加密允许对加密数据执行操作而无需先解密,这对于银行和支付公司面临的新的网络安全挑战同样重要。
他总结道:“金融行业必须采取并推广积极主动的网络安全方法,结合新旧工具,但主要关注其人员和流程。有效且持久的安全取决于思维方式的转变,必须从机构内部开始。”
