網路是目前許多金融機構提供服務時所使用的介面,因此在資訊安全方面就格外重要,尤其在惡意程式偵測、竊取客戶憑證、偽造假訊息等安全議題,已經是金融業與資安公司之間的熱門討論議題,趨勢科技資深惡意程式分析師Sean Park在今年BlackHat大會演講中,即以「贏得網路銀行戰爭」為題。 Sean Park表示:「網路銀行受害者常常是因為在網銀交易進行過程中,看見網頁顯示出駭客偽造的交易未完成或失敗訊息,為了取消此交易而給出安全密碼。目前多數資安軟體和金融單位都透過網頁內容的完整性檢查與比對來偵測、防止惡意程式的攻擊,透過掃描模型,揪出銀行惡意程式所加入隱匿其中的Java Script以找出受感染的網銀網頁。」 許多新型的攻擊形式正逐漸崛起。Sean進一步解釋:「這些惡意程式已經能透過無效的參考模式、規避偵測,甚至透過技術攔截函數的正常控制流程來讓惡意程式隱藏惡意組件,來反制躲避資安偵測,因此網路金融安全的防護方式需要改變。」 面對網路駭客的反制手法,Sean建議金融單位及網頁應用程式開發者應採用「惡意軟體注入防禦系統(MIPS)」網路銀行安全框架,將網路銀行安全框架建構在網頁應用程式等級,加強使用的隨機性以及MIPS本身加密(讓駭客無法直接解析MIPS原始碼),以增加駭客利用逆向工程拆解安全機制的技術門檻,同時,銀行業者應時時關注駭客攻擊手法的變化,並做好相對回應,避免在這場攻防戰中落居下風。 (以上資訊由趨勢科技提供)
繼續閱讀: 金融資安攻防 首重長期與多層次戰略
More...
via Singapore Cosplay Forum by SGCafe - VR-Zone http://ift.tt/1i9pVCP
No comments:
Post a Comment