Infosec社区欢迎银行行业专注于网络弹性
英国银行(BOE)和金融行为管理局(FCA)已经赋予英国财务部门三个月来解释他们如何避免损害IT崩溃并对网络攻击越来越大的威胁。
在英国金融服务监管机构的一项受访者中被认为是一个网络攻击,这一举动率是一周的一周。
虽然Brexit被视为最大的风险,但超过一半(51%)的受访者表示,这些受访者表示网络安全是最具挑战性的管理风险。“博伊报告称,”公司对其抵抗和恢复的能力具有主要责任“。
如果金融部门公司未能通过截止日期展示适当的备份计划,监管机构可能要求他们增加投资使其系统更具弹性。
FCA和BOE强调,确保金融公司恢复力符合高级管理层的责任,他将在长期中断时持有责任。
安全公司Cyxtera和前联邦调查局特别代理商的首席信息安全官员狮子座Taddeo表示,有一些“有利的原因”担心对金融部门的通道状态或Hacktivist犬攻击。
“2012年,美国银行遭遇了一系列重要的分布式(DDOS)攻击的攻击武士国家行动者。当企业Alsoneedto继续威胁到威胁,通过Continue地监测所有可用来源,包括社交媒体和黑暗网站, “ 他说。
欧洲副总裁斯图尔特·麦基纳··麦克塞特(Fireeye)表示,监管机构的倡议是受欢迎的,因为网络长期以来一直是大多数组织的风险登记,请在会议室中需要更大的严谨性和理解。
“网络攻击是一个越来越多的问题,而许多组织已经制定了处理具体类型的攻击的程序和实践,但很少考虑更广泛的影响和系统的相互依赖性。
“我鼓励董事会提出难题的问题,这些问题如何处理破坏性攻击并从完全损失重建,”他说。
重要的是要经常开发网络策略并定期测试,添加了McKenzie。“我们需要测试控制的效力,如Red Teaming,但另外组织需要在定期和持续的基础上完全审查安全姿势。
“通过角色扮演在网络危机中教育董事会的风险和他们的角色,一个场景构建肌肉记忆,并允许组织在面对实际活动时准备更好,”他说。
Corero Network Security总监Sean Newman表示,BOE报告侧重于建立对网络风险的抵御能力标准。
“该报告加强了金融组织对其抵抗和从网络事件中抵抗和恢复的能力的主要责任,负责一致董事会级别和网络复兴水平的预期基于独立专家的判断,如国家网络安全中心。
“虽然有一个建议,两天是对服务中断的可接受的限制,这是为了避免恢复需要恢复的需要,这是一种旨在的旨在赋予这一事实,以避免恢复, “ 他说。安全公司警报逻辑的高级解决方案建筑师Dan Pitman表示,灾难恢复,网络威胁和业务连续性的概念通过业务风险本质上联系起来。“但经常,他们被企业分开,”他说。
“银行和其他金融服务支持我们经济,使公共和企业能够运作。他们有责任确保从客户,合作伙伴和管理组织的计划和证明的任何来源中断任何来源,也是技术,基于过程或恶意的责任。“
电子邮件安全公司Mimecast的产品营销总监Dan Sloshberg表示,越来越多的运营IT服务,从办公室365中的支付处理技术从支付处理技术到云电子邮件,需要一种基于风险的方式来构建网络弹性。
“此响应涉及将防御策略结合起来的能力,以便快速恢复和运行,具有最小的中断和零数据丢失。这应该与替代访问路线配对到电子邮件中的关键系统,因此企业可以继续运行 - 即使发生最坏的情况,“他说。
呼应了许多在安全行业的看法,Sloshberg表示,Wannacry是一个唤醒电话,并突出了破坏性的力量,规模网络攻击可能对我们的批判性国家基础设施来说。
“组织也可以从新的NIS指令中学到”,“他说。“这项立法显然发出了远离基于纯粹保护的网络安全思维的措施。强大的业务连续性策略从来没有更重要的是,确保组织在攻击期间可以继续运作,然后快速恢复脚。“