Tag: 合规性

检测系统或交易记录的异常活动[SWIFT CSP 7/8]

这篇文章是一个由八部分组成的系列文章的第七部分，该系列文章帮助企业领导人寻求确保其团队已正确遵守新控制制度的保证。 在这篇文章中，我们正在研究第六个原理：检测系统或交易记录的异常活动。 这适用于具有本地SWIFT实施的用户和使用局服务的用户，以保护系统免受恶意软件感染并记录系统生成的重要安全事件。 有什么风险？ 使用防病毒软件可以保护您的计算机免受恶意代码的侵害，并在尝试感染计算机时通知您。 记录安全事件可确保您及时发现并响应异常或可疑活动，并减少未经授权的访问（如资金损失）的影响。 在银行金库中，这类似于让CCTV监视和记录进出，操作员可以识别是否有人在正常工作时间之外访问金库。 控制目标： 有两种适用于所有SWIFT成员的强制性控件：恶意软件保护以及日志记录和监视。 确保保护SWIFT基础架构免受恶意软件的侵害，降低了操作员PC或与SWIFT相关的服务器可能被恶意代码破坏的可能性。 如果攻击者尝试使用恶意软件来获取或维护未经授权的服务器访问，则这将降低攻击者成功的可能性。 恶意软件检测技术也是一种有用的传感器，可以将日志从日志中传回日志和监视系统，以便可以将重要的通知或可疑活动提请员工注意。 监视付款基础结构上的活动和安全事件可提供一种重要的方法来识别您是否受到攻击。 及早发现异常行为意味着您可以动员响应团队并阻止攻击，从而大大减少其影响。 如果您拥有自己的本地SWIFT网关，则可以应用另外两个强制性控件，这两个控件都与软件和数据库记录的完整性有关。 在攻击成功的地方，他们操纵了SWIFT服务器上运行的软件，并更改了数据库记录以掩盖其踪迹。 监视系统和数据库是否处于预期状态可提供另一个有价值的数据点，以识别您是否受到攻击。 要问的问题： 在寻求确保他们已履行此控制的义务时，高级管理人员应考虑以下问题，以使他们对证明和降低风险有信心： 我们的SWIFT环境中部署了什么反恶意软件解决方案？ 反恶意软件软件已安装在您的安全区域中的Operator PC和与SWIFT相关的服务器上。 解决方案应来自信誉良好的供应商。 应将其配置为在高峰时间/营业时间之外每两周执行一次“按需访问”扫描（也称为“实时”或“后台扫描”）以及计划的全面扫描。 我们是否可以检测反恶意软件签名是否未更新？ 有关已知恶意软件的配置文件或信息库应定期由反恶意软件进行更新，以确保其有效。 如果无法更新，则应由IT或安全团队加以识别和补救。 我们需要什么功能来监视安全事件并检测SWIFT基础架构中的异常行为？ 监视功能（例如，安全运营中心）应该正在从SWIFT基础结构接收安全和事件日志。 这必须包括检测网络上异常行为的能力，例如可疑登录管理员帐户。 日志应尽可能允许将事件标识回单个用户。 我们将日志存储多长时间？ SWIFT消息传递和通信应用程序审核日志至少保留12个月。 操作员PC，防火墙和数据库审核日志至少保留31天。 两者都应保留在安全的位置，SWIFT基础结构的管理员无法在此位置修改或删除信息。 当地法律法规可能会取代这些要求。 以下问题仅在具有本地本地SWIFT网关的情况下适用。 我们多久检查一次SWIFT安全区内的软件配置和完整性？ 在启动时每天至少验证一次软件和配置的完整性，方法是验证文件的校验和是否与预期状态相符。 在我们的SWIFT消息传递数据库上启用了哪些数据库完整性检查？ 记录级完整性检查应通过验证记录的校验和或签名来进行。 还应检查以确认交易编号顺序中没有空格，这可能表明交易已被删除。 结论 通常，为了成功地按照此原则成功实施控件，您的团队将确保由安全运营中心（SOC）监视提供SWIFT服务的服务器和工作站。 此SOC的范围将从SWIFT安全区域中的服务器和安全设备以及操作员PC中获取事件日志。 SOC将了解要破坏您的SWIFT支付系统的特定“危害指标”和攻击者的作案手法。 他们将确认反恶意软件解决方案已部署并保持最新状态，并且在失败的情况下，可以使用适当的过程来识别和修复失败。 如果您有本地解决方案，则将部署或配置其他软件解决方案，以检测服务器和数据库的预期状态的更改。 这样，您的团队将使您更有可能检测到网络上的异常活动，并有时间进行干预并防止对组织造成重大影响。 在本系列的下一篇博客文章中，我们将研究如何计划和响应SWIFT基础架构上的网络事件。 您还可以查看本系列的其余文章。 请记住跟随并联系，以便您得到通知，同时，如果您有任何疑问，请随时发表评论，或给我发消息以获取更多信息。

管理身份并分离特权[SWIFT CSP 6/8]

这篇文章是一个由八部分组成的系列文章的第六部分，该系列文章帮助企业领导者寻求确保其团队已正确遵守新的控制制度的保证。 在这篇文章中，我们将探讨第五个原则：管理身份和隔离特权。 这适用于具有本地SWIFT实现的用户和使用局服务的用户。 此处进行控制的目的是确保您了解谁有权访问您的系统，以及他们所拥有的权限（而不是其他权限）超出了其工作所需的权限。 有什么风险？ 不良的身份和特权管理可能导致用户访问比他们需要的系统和功能更多的系统和功能。 这会增加您的攻击面，并使攻击者更容易识别可以用来进行攻击的帐户。 如果没有清楚地了解您的用户及其职责，就很难了解谁对您的支付系统采取的措施负责。 在银行内部，但在我们可信赖的银行保险库之外，这种逻辑访问控制的一个典型例子可以从授权建立新客户帐户的人员与可以提款的人员之间的职责分离中看出。 控制目标： 此原则内有两个强制性控制和两个咨询控制。 强制控制（逻辑访问控制和令牌管理）用于强制执行基本的安全概念，例如“需要了解”，“最低特权”和“职责分离”，以及跟踪用于身份验证的任何令牌。 这些适用于SWIFT生态系统内的所有用户帐户：从操作系统（例如Windows）到用于通过SWIFT网络进行交易的应用程序。 它们降低了用户只能执行与其角色有关的功能的可能性，并避免了攻击者可能会利用的过多权限。 要问的问题： 在寻求确保他们已履行此控制的义务时，高级管理人员应考虑以下问题，以使他们对证明和降低风险有信心： 我们的逻辑访问策略是什么？ 您的组织应该有一个成文的政策，涵盖如何授予，管理和撤消访问权限。 它应该最近进行过审查，并适用于您的SWIFT基础架构和应用程序。 我们的逻辑访问策略是什么？ 您的组织应该有一个成文的政策，涵盖如何授予，管理和撤消访问权限。 它应该最近进行过审查，并适用于您的SWIFT基础架构和应用程序。 您的策略应要求仅向用户和管理员授予完成其职责所需的最低权限（需要知道和最低特权）。 描述我们如何提交和批准SWIFT交易？ 提交和批准交易的能力应授予不同的个人或团体。 任何用户都不应该具有执行这两项功能的能力。 这也称为“四眼”原则或职责分离。 我们上次何时查看帐户及其访问权限？ 您应该至少每年检查一次帐户，因此日期应在过去365天内。 如果员工更改角色或离开公司，也应立即撤销访问权限。 我们是否使用硬件身份验证令牌，例如智能卡或USB令牌？ 如果您的组织使用这些内容，则应至少每年记录和审查一次分配。 如果员工不再需要其访问权限，则应立即收集令牌。 结论 通常，为了成功地按照此原则成功实施控件，您的团队将确保您具有访问控制策略，并且已将其应用于SWIFT应用程序。 他们将审查帐户权限，并确保没有一个帐户有权执行多项敏感职责。 他们将建立一个过程，通过该过程定期检查帐户权限和任何硬件令牌的发行。 这样一来，您的团队将要求攻击者获取多组凭据才能对SWIFT系统执行成功的攻击，从而使攻击者更加困难。 在本系列的下一篇博客文章中，我们将研究在SWIFT基础架构中检测异常活动。 您还可以查看本系列的其余文章。 请记住跟随并联系，以便您得到通知，同时，如果您有任何疑问，请随时发表评论，或给我发消息以获取更多信息。