歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
行業別生態與資安
2017 / 02 / 20
編輯部
對於證券業來說,今年農曆過年是個多事之秋,被大家所熟知的,就是有十餘家的券商遭到勒索,並且因DDos攻擊而影響正常的運作。另外還包括某家券商在Java Script中,將身分證字號及密碼等敏感性資料以明碼的方式傳送。甚至有人質疑,這次的DDos攻擊,並非是大流量的攻擊,但是為什麼券商沒有任何防禦的能力呢? 我們試著從不同的角度對這次的事件加以解析。
證券業雖然也是金融業,但相較於銀行業而言,證券業的控管相對是比較薄弱的。就法令遵循面而言,銀行業及保險業已陸續進行資訊安全檢測作業,但證券業是表訂今年(2017) 才開始執行這樣業務。
另外以實務作業面而言,很多銀行業執行的資安管控業務,在證券業而言則較不易推動。舉例,大部分的銀行業已經封閉公司對社群媒體的網路連結,但是在證券業而言,要封閉社群媒體卻相對的困難,原因是很多的業務員會在社群媒體上開立粉絲團或專區,利用這樣的方式來指導客戶下單,只要業務員有這樣的聲音:「其它的券商都沒有管這些,也沒有法令說不可以這樣做,如果我不能用,那我就把客戶帶槍投靠到其他券商。」然而,目前股市接近萬點,屬於熱錢交易的時代,除非高層真有這樣的認知,或是主管機關明令禁止,不然很多的資安作業,在證券業的推動相對是困難的。
此外,證券業的客戶有一個特性,就是非常在意處理速度的快慢,很多券商都以速度為優先考量,但追求速度的同時,往往也就會犧牲掉許多的管控方式。早年還有券商將客戶基本資料放在DMZ(非武裝區),目的就是在身分認證完畢後,可以直接將資料送到後端進行交易,節省了中間認證和傳輸的時間。也因此有部分券商,對於這些作業而言,只要維持最基本的,甚至只要做主管機關所要求的基本項目,其他的只要是有可能影響到我作業速度的因素,都不會放到優先處理的順序中。
就DDos攻擊而言,近五年的成長率上升了接近13倍,就企業營運面而言,已經是一個重大的威脅,而且一旦發生,還會影響到公司正常的運作。況且DDos的解決方案又不是ISP業者打開個設定就可以解決的,或是在現有承租的線路中另一個附加選項,但是卻有可能因此而影響到作業的速度,每個月還要多付一筆類似保險費用,請問有幾個高階主管會採取資安人員的建議而去說服業務單位?
對於這些新型態的威脅,不是只有在紙本作業上列出來,然後覺得目前沒有發生就沒有後續的處理,其實在處理的同時,可能還要對行業別的生態做更近一步的考量才會有較為有效的成果。
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
美國CISA示警Zyxel等品牌之網路設備遭受攻擊中
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵
大規模採用中國光學雷達設備 恐對國家安全構成威脅
資安人科技網
文章推薦
Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證
趨勢科技推出全新AI防詐達人 阻絕AI世代的詐騙危機
2024 CGGC網路守護者挑戰賽,「海狗再打十年」隊獲得冠軍