對(duì)一些金融服務(wù)機(jī)構(gòu)來(lái)說(shuō),這是艱巨的一年,許多還面臨著新的挑釁。但舊的挑釁依然存在,包含網(wǎng)絡(luò)訛詐、身份竊取和苛刻的法規(guī)。其成果是,金融服務(wù)機(jī)構(gòu)正在擴(kuò)大他們的身份管理措施,以此來(lái)應(yīng)對(duì)這些挑釁。不管你信任與否,身份管理正在金融服務(wù)行業(yè)中蓬勃發(fā)展。
隨著在線攻擊的次數(shù)不斷增加,以及花費(fèi)訛詐和身份竊取這兩種攻擊的性質(zhì)越來(lái)越復(fù)雜,金融機(jī)構(gòu)正加大力度以應(yīng)對(duì)這些挑釁。典范的花費(fèi)者認(rèn)證安排開(kāi)端于客戶端設(shè)備辨認(rèn)和被動(dòng)的風(fēng)險(xiǎn)分析引擎,它們?cè)诤笈_(tái)運(yùn)行,用于監(jiān)測(cè)交易中的異常運(yùn)動(dòng),F(xiàn)在,金融機(jī)構(gòu)正在積極推動(dòng)風(fēng)險(xiǎn)分析——在有風(fēng)險(xiǎn)的交易產(chǎn)生之前就對(duì)其進(jìn)行遏制。風(fēng)險(xiǎn)分析引擎需要仔細(xì)配置,以減少呈現(xiàn)錯(cuò)誤的接收或拒絕交易的問(wèn)題。此外,金融服務(wù)機(jī)構(gòu)正在利用IP地理地位和黑名單機(jī)制來(lái)禁止訛詐者。
花費(fèi)者身份驗(yàn)證的最新趨勢(shì)是應(yīng)用基于電話的認(rèn)證,即用一個(gè)網(wǎng)絡(luò)之外的機(jī)制對(duì)用戶進(jìn)行驗(yàn)證。這種帶外(out-of-band)的認(rèn)證技巧遠(yuǎn)景光明,因?yàn)樗┙o了一種雙重認(rèn)證(two-factor authentication),而且用戶不需要應(yīng)用硬件式的一次性密碼(OTP)裝置。金融服務(wù)機(jī)構(gòu)用記錄里面的用戶電話號(hào)碼(比如辦公室、家里或者移動(dòng)電話)接洽用戶,用戶只需按下幾個(gè)電話按鍵,網(wǎng)絡(luò)會(huì)話就被認(rèn)證了。
當(dāng)金融服務(wù)機(jī)構(gòu)與逐漸升級(jí)的外部攻擊做奮斗的同時(shí),也在采用措施保護(hù)自己免受來(lái)自內(nèi)部的損壞。在業(yè)界如此大的動(dòng)蕩和突變下,那些知道保密文件的、對(duì)機(jī)構(gòu)心存不滿的雇員具有很高的危險(xiǎn)性,他們可以發(fā)起拒絕服務(wù)(denial-of-service)的攻擊、損壞機(jī)密信息、進(jìn)行未經(jīng)允許的交易。金融服務(wù)部門(mén)正在應(yīng)用兩種身份管理工具,以減少相干用戶的風(fēng)險(xiǎn)。
第一種工具是周密的防備系統(tǒng)(provisioning system),它能及時(shí)的將用戶的應(yīng)用權(quán)收回,特別是當(dāng)一個(gè)雇員被解雇時(shí)。防備系統(tǒng)的另一個(gè)優(yōu)點(diǎn)就是它限制用戶的訪問(wèn)權(quán)限。一些金融服務(wù)機(jī)構(gòu)已經(jīng)安排了防備系統(tǒng),并且正在擴(kuò)大其在機(jī)構(gòu)內(nèi)部的應(yīng)用。而其他機(jī)構(gòu)才剛處于對(duì)這些防備軟件進(jìn)行評(píng)估的階段。
防備工具對(duì)現(xiàn)實(shí)的用戶有用,但是對(duì)于像UNIX操作系統(tǒng)平臺(tái)的根(root)用戶賬號(hào)、Windows管理員和數(shù)據(jù)庫(kù)所有者賬號(hào),情況又怎么樣呢?這些賬號(hào)被許多管理員共用,使得他們很難去跟蹤。在這種情況下,第二種工具——高權(quán)限賬號(hào)管理軟件——開(kāi)端施展作用了。高權(quán)限賬號(hào)管理軟件供給了更強(qiáng)的可靠性,因?yàn)橘~號(hào)必須由管理員核實(shí),并且與該用戶相干的密碼經(jīng)常被修正。
各大金融機(jī)構(gòu)也表現(xiàn),對(duì)應(yīng)用風(fēng)險(xiǎn)分析軟件禁止內(nèi)部損壞很感興趣。比如,一個(gè)機(jī)構(gòu)也許想知道某位客戶支撐管理員(這類人需要訪問(wèn)顧客的記錄)是否正在訪問(wèn)過(guò)量的記錄。風(fēng)險(xiǎn)分析軟件還不能應(yīng)對(duì)這種問(wèn)題,但是供給商們正進(jìn)步軟件的才能,從而支撐企業(yè)的具體應(yīng)用情況。
相關(guān)閱讀