歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
金融機構對抗DDoS三步驟 : 制訂原則、檢視對策、明訂步驟
2015 / 06 / 25
張運達(Donny Chong)
對全球金融業者來說,攻擊流量愈來愈大的DDoS (Distributed Denial of Service)分散式阻斷服務攻擊手法,已經成為揮之不去的夢魘。近來最著名案例,莫過於2015年5月爆發香港兩大銀行,中銀與東亞銀行遭受大流量DDoS襲擊,而且駭客組織更進一步提出勒索贖金要求。儘管上述兩家銀行都宣稱已妥善處理,但熟悉資安生態的人都知道,該事件只不過是DDoS攻擊威脅中的冰山一角,全球各地幾乎每天都有銀行遭到DDoS攻擊的事件。
對台灣企業而言,行政院資安辦公室副主任吳啟文就曾在2015年亞太資訊安全論壇專題講座上提到,資安辦公室將會提出「資安管理專法草案」,對資安經費比例與做法都會有所規定,適用對象並不限於政府機關,也希望能透過各主管機關要求轄下業者對資安防護達到一定水準。在台灣專法擬定出來之前,我們或許可以參考來自國外的建議作法:
金融機構對抗DDoS策略一、二、三
面對愈來愈嚴重的網路資安威脅,在2015年美國證券交易委員會制訂出一套指導原則,裡面有許多建議金融機構實施的方案。首先是實施定期安全評估,先進行完善資安風險評估後,有助於確認企業內有多少潛在網路安全威脅和漏洞,讓後續規劃的資安政策方向更為有效。第二個重點,是建立一套在安全威脅發生時的應對策略,資安人員還是得定時對策略進行檢測與演練,才能確保應對策略的有效性。最後,企業應該要明訂實施資安防護的政策和程序,讓所有員工瞭解公司有建構資安防護網的決心,有利於後續資安防護政策的推動。上述三大方向,對臺灣金融產業可以參考依據,建構整體資安防護網的指導原則,定期依序做到制訂原則、檢視對策、明訂步驟,增加多個防禦準備方式阻擋DDoS於大門之外。
平心而論,在駭客透過社交平台散播惡意程式成效極佳的狀況下,金融單位遭受的DDoS攻擊流量,至少是過去10倍以上,早超過傳統DDoS設備能夠承受的範圍。在DDoS攻擊威脅的背後,有兩個容易被企業忽略的思考重點,首先是企業商譽會受到嚴重影響,以今年五月香港兩家銀行受到攻擊事件為例,在網路銀行服務停擺之後,勢必會影響到客戶的信心。其次,駭客發動DDoS攻擊,可能是一種聲東擊西的手法,主要是為侵入銀行系統、竊取資料作準備。如2014年摩根大通銀行爆發大筆資料被竊取的事件,即是因為資安設備遭到DDoS攻擊癱瘓,才導致700萬筆機密資料被竊取。
結論
金融機構雖為各產業中最為重視資安之產業,對勒索者來說,卻也是更明確的目標。DDoS攻擊的變形與聲東擊西手法,顯然已經起了作用,造成金融業損害。提醒金融機構應重新審視評估本身目前金融資安的策略,是否能夠足以因應這股新興攻擊之威脅。
本文作者目前任職於Nexusguard 產品總監
DDoS
金融
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
企業資安防禦全面革新 AI × SASE × IAM × MDR
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
資安人科技網
文章推薦
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
駭客透過惡意擴充套件 瞄準開發人員發動攻擊