检测系统或交易记录的异常活动[SWIFT CSP 7/8]

这篇文章是一个由八部分组成的系列文章的第七部分，该系列文章帮助企业领导人寻求确保其团队已正确遵守新控制制度的保证。

在这篇文章中，我们正在研究第六个原理：检测系统或交易记录的异常活动。

这适用于具有本地SWIFT实施的用户和使用局服务的用户，以保护系统免受恶意软件感染并记录系统生成的重要安全事件。

有什么风险？

使用防病毒软件可以保护您的计算机免受恶意代码的侵害，并在尝试感染计算机时通知您。 记录安全事件可确保您及时发现并响应异常或可疑活动，并减少未经授权的访问（如资金损失）的影响。

在银行金库中，这类似于让CCTV监视和记录进出，操作员可以识别是否有人在正常工作时间之外访问金库。

控制目标：

有两种适用于所有SWIFT成员的强制性控件：恶意软件保护以及日志记录和监视。

确保保护SWIFT基础架构免受恶意软件的侵害，降低了操作员PC或与SWIFT相关的服务器可能被恶意代码破坏的可能性。 如果攻击者尝试使用恶意软件来获取或维护未经授权的服务器访问，则这将降低攻击者成功的可能性。

恶意软件检测技术也是一种有用的传感器，可以将日志从日志中传回日志和监视系统，以便可以将重要的通知或可疑活动提请员工注意。

监视付款基础结构上的活动和安全事件可提供一种重要的方法来识别您是否受到攻击。 及早发现异常行为意味着您可以动员响应团队并阻止攻击，从而大大减少其影响。

如果您拥有自己的本地SWIFT网关，则可以应用另外两个强制性控件，这两个控件都与软件和数据库记录的完整性有关。

在攻击成功的地方，他们操纵了SWIFT服务器上运行的软件，并更改了数据库记录以掩盖其踪迹。

监视系统和数据库是否处于预期状态可提供另一个有价值的数据点，以识别您是否受到攻击。

要问的问题：

在寻求确保他们已履行此控制的义务时，高级管理人员应考虑以下问题，以使他们对证明和降低风险有信心：

我们的SWIFT环境中部署了什么反恶意软件解决方案？

反恶意软件软件已安装在您的安全区域中的Operator PC和与SWIFT相关的服务器上。 解决方案应来自信誉良好的供应商。 应将其配置为在高峰时间/营业时间之外每两周执行一次“按需访问”扫描（也称为“实时”或“后台扫描”）以及计划的全面扫描。

我们是否可以检测反恶意软件签名是否未更新？

有关已知恶意软件的配置文件或信息库应定期由反恶意软件进行更新，以确保其有效。 如果无法更新，则应由IT或安全团队加以识别和补救。

我们需要什么功能来监视安全事件并检测SWIFT基础架构中的异常行为？

监视功能（例如，安全运营中心）应该正在从SWIFT基础结构接收安全和事件日志。 这必须包括检测网络上异常行为的能力，例如可疑登录管理员帐户。 日志应尽可能允许将事件标识回单个用户。

我们将日志存储多长时间？

SWIFT消息传递和通信应用程序审核日志至少保留12个月。 操作员PC，防火墙和数据库审核日志至少保留31天。 两者都应保留在安全的位置，SWIFT基础结构的管理员无法在此位置修改或删除信息。

当地法律法规可能会取代这些要求。

以下问题仅在具有本地本地SWIFT网关的情况下适用。

我们多久检查一次SWIFT安全区内的软件配置和完整性？

在启动时每天至少验证一次软件和配置的完整性，方法是验证文件的校验和是否与预期状态相符。

在我们的SWIFT消息传递数据库上启用了哪些数据库完整性检查？

记录级完整性检查应通过验证记录的校验和或签名来进行。 还应检查以确认交易编号顺序中没有空格，这可能表明交易已被删除。

结论

通常，为了成功地按照此原则成功实施控件，您的团队将确保由安全运营中心（SOC）监视提供SWIFT服务的服务器和工作站。 此SOC的范围将从SWIFT安全区域中的服务器和安全设备以及操作员PC中获取事件日志。 SOC将了解要破坏您的SWIFT支付系统的特定“危害指标”和攻击者的作案手法。

他们将确认反恶意软件解决方案已部署并保持最新状态，并且在失败的情况下，可以使用适当的过程来识别和修复失败。

如果您有本地解决方案，则将部署或配置其他软件解决方案，以检测服务器和数据库的预期状态的更改。

这样，您的团队将使您更有可能检测到网络上的异常活动，并有时间进行干预并防止对组织造成重大影响。

在本系列的下一篇博客文章中，我们将研究如何计划和响应SWIFT基础架构上的网络事件。

您还可以查看本系列的其余文章。

请记住跟随并联系，以便您得到通知，同时，如果您有任何疑问，请随时发表评论，或给我发消息以获取更多信息。