发布时间: 2007年11月21日 作者: 潘竑
当前,国内外金融机构正经历前所未有、更为复杂、更有组织的网络犯罪风潮的侵袭——网络钓鱼、僵尸网络、木马病毒、中间人攻击等在信息网络上神出鬼没,伺机而动,几乎每天都有关于安全漏洞的报道和新的在线攻击爆发。消费者越来越担心他们的在线行为,特别是涉及金融交易的行为。为此,金融机构一方面要对抗拥有最先进工具装备、适应能力比以往任何时候都强的欺诈一族以外,另一方面还要为消费者提供一个安全可信的在线渠道,以保护他们的资产和个人数据,减轻身份被盗的风险。在线金融的安全问题,从未像今天这样受到世人的关注。
——编者
不久前,位于美国奥兰多市的联邦信贷联盟(CFE)遭遇了一次大规模、突如其来的黑客攻击。
“为满足会员的多种需求,CFE决定提供信用卡升级服务,而黑客正是抓住了CFE的业务特点和信用卡升级这一特殊阶段。”CFE有关负责人描述了这次攻击的全过程,“起初,CFE信息中心接到会员的电话,表示收到了一封来自董事会的有关信用卡升级的电子邮件。CFE立刻展开调查,并通过网站和电话系统对会员进行提示。当天下午,我们收到一个电话声称CFE网站和银行首页已经关闭。当时我们并没有意识到两件事件的相关性,以为只是网络供应商出了问题。其实,就在这个时间点上,我们已经遭受到了一个拒绝服务攻击,每秒钟40万个信息包蜂拥而至,攻击服务器,并短时间内升级为分布式拒绝服务攻击,信息包数量达到每秒60万个。在电信商的帮助下,我们发现该分布式攻击都是来自遍布网络上的僵尸电脑。最后,我们终于追溯到一台运行在维吉尼亚州的服务器是这一切的源头。”
在这种紧急情况下,CFE找到了全球信息安全管理专家RSA。双方立即建立了一个网络垃圾邮件收集信箱,所有会员都能够直接将他们正在收取的钓鱼邮件转发到反欺诈指挥中心,以便中心的资深专家团队进行辩论分析,寻找攻击源头。通过使用大范围数据来源和技术,对互联网流和电子邮件扫描,在不到 30分钟的时间内,攻击CFE的20多个钓鱼网站被关闭。
事后,CFE的这位负责人表示:“从这件事的经验来看,金融机构,不论其规模大小,都应当使用反钓鱼和关闭服务之类的外部安全服务,作为现有内部安全的补充。”如其所言,在僵尸攻击事件妥善解决后,CFE参加了有关的安全服务社区。该社区是一个跨机构、跨平台的欺诈型数据库,收集来自广泛的银行网、信用联盟、借记卡和信用卡发行公司、互联网服务提供商和第三方提供者的各种欺诈信息。当新识别出一个欺诈类型时,相关欺诈数据、交易特征和指纹都会被移送到一个欺诈信息共享数据库,从而为金融机构提供实时保护。
在全世界,有着与CFE共同经历的金融企业不在少数。然而,并非所有的金融企业都能像CFE一样能够快速抵御黑客攻击,同时有效防范黑客未来的欺诈尝试。随着在线攻击的日益普遍以及安全威胁的日益精密,如何应对在线威胁的快速变化,也就成为金融企业所面临的一个重要挑战。从防火墙外木马攻击到防火墙内非法信息访问,企业需要一种方法来确认和核对特定用户群的正确安全级别以及交易风险性。同时,要想在不损及用户体验底线的前提下,依然能获得认证安全的适当平衡,也不是件容易完成的任务。
安全防护套件:
组合强认证与防欺诈
总部位于盐湖城的美国Zions银行很早就认识到网络攻击的潜在威胁,力求向网上银行用户提供强认证,由此,对抗网络钓鱼及其他在线攻击,并管理在线渠道中的所有风险。经过广泛的调查和内部风险评估之后,Zions认为分层安全最适合其业务及客户的需要。然而,单一的技术或应用是不够的,因此他们决定选择“三叉戟”式的方法:基于风险的身份认证,可以透明地监测在线活动以发现并阻止欺诈;站点到用户身份认证,用以提高客户信息;反钓鱼服务,监测并关闭钓鱼攻击。最终,Zions选择了一种强认证和防欺诈的组合式解决方案——消费者安全保护套件CPS。不同于其他方案只着重于单类保护,CPS 提供了端到端的多层式保护,并将保护范围由基于风险的认证、站点到用户的认证和一次性密码认证,扩展到交易监控、交易签名和防网络钓鱼攻击、防域欺骗服务。
据Zions银行介绍,CPS安全保护套件提供了Web自适应认证,允许金融机构根据客户类型和行为、法规风险和需求,动态地调整其安全防护;通过使用大范围数据来源和技术,可检测甚至阻止在线攻击,其高级防欺诈指挥中心已关闭了遍及65个国家的18000多个网络钓鱼站点,将网络钓鱼攻击的平均寿命由115小时减少为5个小时;此外,交易监控解决方案还通过高级智能算法,主动掌握消费者消费行为,对消费者的异常反应发出警报。在新解决方案推出35天后,Zions网上银行的登记率上升了70%,预期的呼叫中心咨询电话大幅增加也没有出现,由此节约了数万美元。虽然有用户表示在标准的用户名 /密码登录之外需要做更多的事情,但反馈表明,绝大多数用户认为网上交易的安全性更高了。
目前在中国,针对网络欺诈,银行等金融机构已经有了众多的解决方式,包括数字证书、USB Key等,但是CPS安全保护套件能基本覆盖网银的安全需求,将保护放置在服务器后台,让机构管理多种认证方式,从而降低防护成本。同时,CPS能够和其他已有的防护方案形成互补。
自适应认证:
平衡可用性与安全性
金融企业在实施在线安全防护时,可用性是用户从一开始接受到后来继续采用的关键考虑因素,任何安全防护解决方案在终端用户体验上的效果会直接影响到用户满意度和采用率。
对此,华盛顿互惠银行首席信息安全官Cullinane表示:“我们经常听顾客说,‘别要求我必须携带什么设备才能访问我的网银账户,保护我的钱是你们的工作,如果你们没做好这一工作,我会另找愿意为之付出的银行’。”Wachovia银行在线业务产品经理Michael Toth也表示:“对于我们来讲,找到一款既能确保安全,又不会影响客户在线体验的认证解决方案是非常重要的。”
据信息安全专家介绍,为提升用户的在线体验,有不少国际金融机构都采用了Web自适应认证。Web自适应认证是一个提供了最广泛认证方法的单一平台。它允许金融机构根据客户类型和行为、法规风险和需求,动态地调整其安全防护。既能满足那些频繁登录网络的很有安全意识的用户,同时也关注到那些想要以最简单方式和最少中断情况进行在线交易的一般用户。自适应认证提供了三种认证方式:基于风险的认证、一次性密码认证、站点到用户的认证。
基于风险认证可在后台进行操作,整个过程对于所有用户都是透明的。这种认证不仅会积极识别用户信息,而且还会对任何在线行为及交易都实施综合性实时风险评估。在线行为一般包括基本账户登录、付款交易、改动个人资料等,每个行为都会通过风险引擎执行一次健全分析,再分配到一个风险评估值。倘若一个行为超过了预定的风险极限,用户会收到提示,要求提供额外的认证证书来认证他的身份。
一次性密码认证通过使用各类硬件和软件令牌,为用户提供切实的安全防护。这种方式对于有兴趣享受二级认证的高风险、高安全要求的客户来说是极为理想的。据已实施一次性密码认证的金融机构表示,他们的固定账户正在增多,账单支付及其他在线银行服务的接受率也在提高。
站点到用户认证是通过显示依据用户在登录时已预先选定的个人安全图像和标题,从而确保用户正在交易的是一个合法网站。仅在所访问网站显示用户图像和标题证明其真实性后,用户才会得到指示来输入他们的代码。据英国一家大型金融机构报告:自实施站点到用户认证后,其在线渠道交易增加了25%。
国内金融机构也从未停止过防欺诈、防钓鱼的安全防护努力。前不久,中国金融认证中心(CFCA)就向各家商业银行网银服务器发放了标准严格的“防欺诈全球服务器证书”(EVSSL证书),为网银交易通道上了“双保险”。所谓EVSSL证书,是遵循全球统一的严格身份验证标准颁发的SSL证书,用来保护用户不与没有经过严格身份验证的网上商户进行在线交易。颁发该证书的数字证书颁发机构,必须按照统一标准来对申请者进行严格的身份验证,而当浏览器识别出EVSSL证书后会使地址栏变成绿色,这样,在线消费者就能非常清楚地知道他们正在与谁交易。该证书通过在业务层面上对申请机构的严格审核后,尽可能地规避了用户登陆假网站的风险。
此外,针对网上银行案件类型不断翻新,涉案地域跨度大、案件破获难度高等特点,CFCA还联合各商业银行与公安部建立了“网上银行反欺诈联动机制”。联动机制不但在银行之间建立风险信息共享、风险事件协同调查机制,提高网上银行案件调查处理的效果和效率,最大程度地降低用户损失,减小网银负面影响,而且能为公安部门提供更多线索,协调一致打击、遏制网上银行犯罪。
来源: 金融时报