為何銀行為網路安全性採取最新方法—認識「零信任」模型
許多銀行現今仍然依靠「城堡與護城河」的方法 (也稱為「界限安全性」) 來保護資料避免受到惡意攻擊。如同由石牆、護城河和城門保護的中世紀城堡一樣,使用界限安全性保護功能的銀行,在加強防火牆、Proxy 服務器、誘捕系統和其他入侵防禦工具等方面下了很大的功夫。界限安全性透過驗證資料封包和辨認出入組織網路的使用者身分識別來保護網路進出點,然後假設強化的界限內活動是相對安全的。
精明的金融機構現在正超越這種方式,並為網路安全性採用一種新式方法—「零信任」模型。「零信任」模型的宗旨是在預設情況下不信任任何事物,無論內部或外部,並且在授與存取權之前,要求對每個人或裝置進行嚴格驗證。
城堡的周邊仍然很重要,「零信任」模型採用更加細緻入微的方法來管理在這座著名城堡中存取身份識別、資料和裝置,而非只有大量投資建造更厚實的城牆和更寬廣的護城河。因此,無論內部人員是惡意還是粗心,或是隱藏的攻擊者滲透過城牆,都無法自動存取資料。
城堡與護城河方法的限制
在保護當今的企業數位資產方面,因為網路威脅的出現改變了對防護和保護的含義,城堡與護城河的保護方法存在著嚴重限制。大型組職 (包含銀行) 處理分散的網路資料和應用程式,都由員工、客戶和合作夥伴在現場或線上存取。這使得保護城堡周邊更加困難。即使護城河有效地將敵人拒之門外,但對於遭入侵身份識別的使用者,或潛伏在城牆內的其他內部威脅而言,並沒有多大的效果。
以下做法是所有暴露風險的來源,並且在依賴城堡與護城河方法進行安全性保護的銀行中很常見:
- 一年一次審核員工的應用程式存取權限。
- 不明確和不一致的存取權限原則,取決於管理員的判斷力,並且在員工異動時會發生控管不足的情況。
- IT 過度使用系統管理特殊權限帳戶。
- 客戶資料儲存在多個檔案共用服務中,而且不清楚誰存取了資料。
- 過度依賴密碼來驗證使用者。
- 缺乏資料分類和報告以了解什麼資料在哪裡。
- 經常使用 USB 隨身碟傳輸包含高敏感性資料的檔案。
「零信任」模型如何增強銀行和客戶的防護能力
「零信任」方法的好處已有完好的記錄,並且越來越多的實際例子證實,這種方法可以防止複雜的網路攻擊。然而,現今仍有許多銀行依然遵循與「零信任」原則背道而馳的做法。
採用「零信任」模型可以協助銀行強化其安全性狀態,因此他們可以放心地支援賦予員工和客戶更多彈性的計劃。例如,銀行行政主管希望面對客戶的員工 (例如客戶關係經理和財務顧問) 不要受限於辦公桌,並在銀行場所外與客戶會面。如今,許多金融機構都透過紙本列印資料或靜態檢視等類似工具來支援這種地域敏捷性。但是,銀行員工和客戶都希望使用即時資料以獲得更多動態體驗。
依賴城堡與護城河方法來確保安全性的銀行,對於將資料分散到實體網路之外躊躇不前。因此,如果客戶會議在銀行場所舉行,銀行業者和財務顧問就只能利用已驗證和嚴謹的投資策略動態模型。
從歷史角度來看,對於十分忙碌的銀行業者或財務顧問來說,共用即時模型更新或與其他銀行或交易人進行積極共同作業非常麻煩,至少在有 VPN 的情況下是如此。然而,這種靈活度是良好的投資決策和客戶滿意度的重要驅動力。「零信任」模型讓關係經理或分析師能夠利用市場資料提供者的深入解析,綜合自己的模型,並隨時隨地靈活地處理不同的客戶案例。
好消息是,這是一個由雲端和「零信任」架構的智慧型安全性新時代,可以簡化和現代化銀行的安全性與合規性。
Microsoft 365 協助銀行轉換安全性
使用 Microsoft 365,銀行可以透過部署以下三個關鍵策略立即採取措施以實現「零信任」安全性:
- 身分識別和驗證—首先,銀行需確保使用者是他們所說的真實身份,並根據其角色授與存取權。透過 Azure Active Directory (Azure AD),銀行可以使用單一登入 (SSO) 讓經過身份驗證的使用者可以從任何地方連結到應用程式,讓行動員工可以安全地存取資源且不會影響其生產力。
銀行還可以部署強大的驗證方式,例如雙重要素或無密碼的多重要素驗證 (MFA),可將資料外洩風險降低 99.9 %。Microsoft Authenticator 支援任何 Azure AD 連結應用程式的推播通知、一次性密碼和生物識別技術。
針對 Windows 裝置,銀行員工可使用 Windows Hello 安全便利的臉部辨識功能登入裝置。最後,銀行可使用 Azure AD 條件式存取,套用適當的存取原則來保護資源免受可疑要求的侵害。Microsoft Intune 和 Azure AD 可互相搭配使用,協助確保只有受管理和合規的裝置可存取 Office 365 服務 (包含電子郵件和內部部署應用程式)。透過 Intune,您還可以評估裝置的合規性狀態。條件式存取原則的實施取決於使用者嘗試存取資料時裝置的合規性狀態。
條件式存取圖例。
- 威脅防護—使用 Microsoft 365,銀行還可以使用 Microsoft 威脅防護的整合及自動化安全性來增強保護、偵測以及回應攻擊的能力。它利用 Microsoft Intelligent Security Graph 提供的世界最大威脅訊號,以及由人工智慧 (AI) 提供的進階自動化功能來增強事件識別和回應能力,讓安全性小組能夠準確、有效、迅速地解決威脅。Microsoft 365 安全性中心提供一個集中式中樞和專屬工作區,以管理和充分利用 Microsoft 365 智慧安全性解決方案進行身分識別和存取管理、威脅防護、資訊保護和安全性管理。
Microsoft 365 安全性中心。
- 資訊保護—身分識別和裝置是網路攻擊的主要弱點媒介,而資料則是網路罪犯最終目標。使用 Microsoft 資訊保護,銀行可以提高對敏感性資訊的保護能力,無論儲存或傳送到何處。Microsoft 365 讓客戶能夠 1) 識別和分類其敏感性資料;2) 套用靈活的保護原則;以及 3) 監視和補救有風險的敏感性資料。
分類及保護案例舉例。
使用「零信任」簡化安全性管理
Microsoft 365 協助簡化新式「零信任」結構的安全性管理,利用可見度、規模和情報以打擊網路犯罪。
當您考慮如何保護現代「城堡」時,「零信任」環境最適合應對現代網路安全性威脅。「零信任」環境要求隨時監督哪個人存取什麼、從哪裡存取和何時存取,以及他們是否應該有存取權。
Microsoft 365 安全性與合規性功能協助組織在信任使用者或裝置之前進行驗證。Microsoft 365 還提供了完整的團隊合作和生產力解決方案。總而言之,Microsoft 365 提供了全面性的解決方案,以協助銀行行政主管專注在客戶和創新。