Miért vezetik be a bankok a kiberbiztonság modern megközelítését, azaz a teljes felügyeletre épülő modellt?

Sok bank még ma is a „vár és várárok” – más néven szegélybiztonság – megközelítésre alapozva igyekszik megvédeni adatait a rosszindulatú támadásoktól. A kőfalakkal, vizesárkokkal és kapukkal védett középkori várakhoz hasonlóan a szegélybiztonság elvét követő bankok is sokat invesztálnak abba, hogy tűzfalakkal, proxykiszolgálókkal, mézesbödönökkel és más behatolásmegelőző eszközökkel erősítsék a hálózati szegélyeket. A szegélybiztonság úgy látja el a hálózat belépési és kilépési pontjainak védelmét, hogy ellenőrzi a szervezet hálózatába belépő és onnan kilépő adatcsomagokat és felhasználókat, ezután pedig feltételezi, hogy a megerősített szegélyen belüli tevékenységek viszonylag biztonságosak.

A hozzáértő pénzügyi intézmények jelenleg arra törekednek, hogy túllépjenek ezen a paradigmán, és a kiberbiztonság modern megközelítését, azaz a teljes felügyeletre épülő modellt alkalmazzák. A teljes felügyeletre épülő modell lényege, hogy alapértelmezés szerint senkiben és semmiben – se belső, se külső személyben, illetve eszközben – nem bízik meg, és a hozzáférés biztosítása előtt minden személyt vagy eszközt szigorú ellenőrzésnek vet alá.

A várat körülvevő szegélyek továbbra is fontosak maradnak, de ahelyett, hogy egyre többet invesztálna az erősebb falakba és szélesebb várárkokba, a teljes felügyeletre épülő modell egy finomabb módszert követve felügyeli az identitásokhoz, adatokhoz és eszközökhöz való hozzáférést a váron belül. Így akkor sem jár automatikus hozzáférés az adatokhoz, ha egy belső fél lép fel rosszindulatúan vagy gondatlanul, vagy ha álcázott támadók jutnak be a várfalakon belülre.

A „vár és várárok” megközelítés korlátai

A mai nagyvállalatok digitális eszközparkjának védelmét tekintve a „vár és várárok” megközelítésnek jelentős korlátai vannak, mivel a kiberfenyegetések elérkeztével megváltozott a védelem jelentése. A nagy szervezetek, így a bankok is, adatokat és alkalmazásokat tartalmazó, szétszórt hálózatokon dolgoznak, amelyekhez alkalmazottak, ügyfelek és partnerek is hozzáférnek, helyben vagy online. Ez még jobban megnehezíti a vár szegélyeinek védelmét. És még ha a várárok hatékonyan meg is akadályozza az ellenségek bejutását, nem sokat tud tenni a feltört identitású felhasználók vagy más, a vár falain belül jelentkező belső fenyegetések jelentette veszélyekkel szemben.

Az alábbi, kockázatnövelő jelenségek gyakran előfordulnak azokban a bankokban, amelyek a „vár és várárok” biztonsági megközelítést követik:

• Évente csak egyszer ellenőrzik a személyzet hozzáférési jogait az alkalmazásokhoz.
• A hozzáférési jogokat félreérthető és inkonzisztens szabályzatok határozzák meg, amelyek a vezető belátásától függenek, a személyzeti mozgásokat pedig nem szabályozzák elegendő mértékben.
• Az IT-részleg túlzott mértékben használja a rendszergazdai jogokkal rendelkező fiókokat.
• Az ügyféladatok tárolása több fájlmegosztáson történik, és nem igazán tudható, hogy ki férhet hozzájuk.
• Túlságosan megbíznak a jelszavakban a felhasználók hitelesítését illetően.
• Kevés adatbesorolási és jelentési adat áll rendelkezésre az adatok helyének meghatározásához.
• Gyakran használnak USB-meghajtókat a bizalmas adatokat tartalmazó fájlok átvitelére.

Hogyan lehet egy teljes felügyeletre épülő modell a bankárok és az ügyfelek segítségére?

A teljes felügyeletre alapuló megközelítés előnyei jól dokumentáltak, és egyre több valós példa igazolja, hogy ez a megközelítés a kifinomult kibertámadásokat is meg tudja fékezni. Számos bank azonban máig kitart a teljes felügyelet elveitől eltérő gyakorlatok mellett.

Egy teljes felügyeletre épülő modell bevezetésével a bankok megerősíthetik biztonsági pozíciójukat, így magabiztosan támogathatnak olyan kezdeményezéseket, amelyek nagyobb rugalmasságot biztosítanak az alkalmazottaknak és az ügyfeleknek. A banki vezetők például szívesen kimozdítják az ügyfelekkel közvetlen kapcsolatot ápoló munkatársaikat – például az ügyfélszolgálati vezetőket és a pénzügyi tanácsadókat – asztaluktól, hogy a bank területén kívül találkozzanak az ügyfelekkel. Manapság sok pénzügyi intézmény különféle analóg eszközökkel, például papírra nyomtatott vagy a tanácsadáshoz szükséges információkról készült statikus anyagokkal támogatják ezt a földrajzi agilitást. A banki alkalmazottak és ügyfelek azonban egyaránt dinamikusabb, valós idejű adatokat hasznosító élményre vágynak.

A „vár és várárok” biztonsági megközelítést alkalmazó bankok nem szívesen terjesztik az adatokat a fizikai hálózaton kívülre. Ezért a bankárok és a pénzügyi tanácsadók csak akkor tudják a már bizonyított és bevált befektetési stratégiák dinamikus modelljét használni, ha a bank területén belül találkoznak az ügyfelekkel.

Régebben nehézkes volt az úton lévő bankárok vagy pénzügyi tanácsadók számára, hogy valós idejű modellfrissítéseket osszanak meg vagy aktívan együttműködjenek más bankárokkal vagy kereskedőkkel, legalábbis virtuális magánhálózatok nélkül biztosan. Ez a fajta agilitás azonban fontos feltétele az okos befektetési döntéseknek és az ügyfelek megelégedettségének. Egy teljes felügyeletre épülő modell esetén egy ügyfélszolgálati vezető vagy egy elemző ismereteket tud nyerni a piaci adatszolgáltatóktól, amelyeket szintetizálni tud saját modelljeivel, és bárhol és bármikor dinamikusan megoldást tud találni a különböző ügyfélhelyzetekre.

A jó hír az, hogy az intelligens biztonság olyan új korszakát éljük – köszönhetően a felhőnek és a teljes felügyeletre épülő architektúrának –, amely képes egyszerűbbé és korszerűbbé tenni a biztonságot és a megfelelőséget a bankok számára.

A Microsoft 365 segít a banki biztonság átalakításában

A Microsoft 365-tel a bankok azonnal elmozdulhatnak a teljes felügyeleten alapuló biztonság irányába, az alábbi három fő stratégiai lépést követve:

• Identitás és hitelesítés – Mindenekelőtt a bankoknak meg kell győződniük arról, hogy a felhasználók valóban azok, akiknek mondják magukat, és hogy a szerepkörüknek megfelelő hozzáférést kapják. Az Azure Active Directory (Azure AD) segítségével a bankok egyszeri bejelentkezéssel (SSO) lehetővé tehetik, hogy a hitelesített felhasználók bárhonnan csatlakozhassanak az appokhoz, így a mobil alkalmazottak biztonságosan érhetik el az erőforrásokat anélkül, hogy kompromisszumot kellene kötniük a produktivitást illetően.

A bankok továbbá erős hitelesítési módszereket is alkalmazhatnak, például kéttényezős vagy jelszó nélküli többtényezős hitelesítést (MFA), amivel 99,9 százalékkal csökkenthetik a visszaélések kockázatát. A Microsoft Authenticator támogatja a leküldéses értesítéseket, az egyszeri hozzáférési kódokat és a biometriai bejelentkezést bármely, Azure AD-hez csatlakoztatott app esetén.

Windows-eszközök esetén a banki alkalmazottak használhatják a Windows Hello nevű, biztonságos és kényelmes arcfelismerő funkciót az eszközökre való bejelentkezéshez. Végül a bankok az Azure AD Feltételes hozzáférés funkcióval megvédhetik erőforrásaikat a gyanús kérésektől, a megfelelő hozzáférési szabályzatokat alkalmazva. A Microsoft Intune és az Azure AD együttese segít gondoskodni arról, hogy csak a felügyelt és megfelelő eszközök tudjanak hozzáférni az Office 365-szolgáltatásokhoz, beleértve a levelezést és a helyszíni appokat. Az Intune-on keresztül továbbá értékelni lehet az eszközök megfelelőségi állapotát. A feltételes hozzáférési szabályzat kényszerítése az eszköz abban az időpontban érvényes megfelelőségi állapotától függően történik meg, amikor a felhasználó megkísérel hozzáférni az adatokhoz.

Ábra a feltételes hozzáférésről

• Veszélyforrások elleni védelem – A Microsoft 365-tel a bankok ezenkívül hatékonyabban védhetik meg, észlelhetik és válaszolhatják meg a támadásokat, a Microsoft Veszélyforrások elleni védelem integrált és automatizált biztonságának köszönhetően. A szolgáltatás a világ egyik legnagyobb, a Microsoft Intelligens biztonsági gráfban elérhető veszélyforrásjel-készletét és a mesterséges intelligencia által biztosított fejlett automatizálást hasznosítva fejleszti az incidensek azonosítását és megválaszolását, így a biztonsági csapatok pontosan, hatékonyan és azonnal meg tudják oldani a veszélyforrások okozta problémákat. A Microsoft 365 Biztonsági központ egy központosított és speciális munkaterület, ahol kezelhetők és teljes mértékben kihasználhatók a Microsoft 365 identitás- és hozzáférés-kezeléshez, veszélyforrások elleni védelemhez, adatvédelemhez és biztonságkezeléshez használható intelligens biztonsági megoldásai.

A Microsoft 365 Biztonsági központ

• Információvédelem – Habár az identitások és az eszközök jelentik a kibertámadások fő támadási pontját, a kiberbűnözők valójában az adatokra utaznak. A Microsoft Information Protection segítségével a bankok javíthatják a bizalmas információk védelmét – bárhol is találhatók vagy bárhová is kerülnek az adatok. A Microsoft 365 lehetővé teszi az ügyfeleknek 1) a bizalmas adatok azonosítását és besorolását; 2) rugalmas védelmi szabályzatok alkalmazását; valamint 3) a kockázatnak kitett bizalmas adatok figyelését és helyreállítását.

Példa egy besorolási és védelmi helyzetre

A biztonságkezelés egyszerűsítése a teljes felügyelettel

A Microsoft 365 segítséget nyújt a biztonságkezelés egyszerűsítéséhez a modern, teljes felügyeleten alapuló architektúrákban, a kiberbűnözés leküzdéséhez szükséges láthatóságot, méretezhetőséget és intelligenciát hasznosítva.

A modern „vár” védelmi módszerei közül a teljes felügyeletet alkalmazó környezetek optimálisak a modern kiberbiztonsági fenyegetésekkel szemben. A teljes felügyelettel ellátott környezetekben naprakész ismeretekkel kell rendelkezni arról, hogy ki, hol és mikor fér hozzá mihez – és arról is, hogy egyáltalán szükség van-e az adott hozzáférésre.

A Microsoft 365 biztonsági és megfelelőségi képességeivel a szervezetek érvényesítést végezhetnek, mielőtt megbíznának egy adott felhasználóban vagy eszközben. A Microsoft 365 ezenkívül egy teljes körű csapatmunka- és hatékonyságnövelő megoldást is kínál. Összefoglalva: a banki vezetők a Microsoft 365-tel egy olyan átfogó megoldáshoz juthatnak hozzá, amellyel az ügyfelekre és az innovációra összpontosíthatnak.