研究表明，許多銀行和零售設備都過度暴露在物聯(lián)網(wǎng)設備中，為關鍵基礎設施和數(shù)據(jù)中心之間的橫向移動提供了更多機會。

1

作為金融設備的個人電腦

在金融服務領域，個人電腦是復雜的工具，金融員工用電腦來訪問關鍵的業(yè)務應用程序。

不幸的是，這批電腦的用戶與AD連接的個人電腦也有AD定義的電子郵件地址，具有企業(yè)命名慣例。這些持續(xù)受騙的員工也有經(jīng)常受到攻擊的電子郵件客戶端、瀏覽器和辦公套件，他們的電腦應該僅僅因為它們被物聯(lián)網(wǎng)和BYOD生態(tài)系統(tǒng)所包圍，就被認為是不安全的。

擁有高權限或管理員權限的授權用戶會對系統(tǒng)和數(shù)據(jù)構成潛在的威脅，而對操作系統(tǒng)和系統(tǒng)工具的未經(jīng)授權的訪問可能導致重大的財務和運營損失。

計算機、個人電腦和工作站在設備中的百分比

2

網(wǎng)絡內(nèi)的其他設備

在金融服務領域，電子設備幾乎和計算機一樣多。在金融服務網(wǎng)絡中，每100臺分類計算機、個人電腦和工作站就有99臺其他設備。

加入AD的設備使銀行面臨風險，因為不適當保護的金融設備允許國家支持的犯罪分子和其他惡意行為者使用相鄰的網(wǎng)絡設備（例如打印機）訪問關鍵銀行信息，以模仿允許的銀行轉(zhuǎn)賬。這在如今是一個真正存在的風險。

網(wǎng)絡犯罪集團策劃了許多針對金融服務的高級持續(xù)性威脅（APT）并取得了成功。

例如，各種報告估計，位于朝鮮的黑客通過對銀行和加密貨幣交易所發(fā)動網(wǎng)絡攻擊，已經(jīng)從更大的金融服務行業(yè)竊取了超過20億美元。在2016年的一個具體例子中，朝鮮的網(wǎng)絡工作人員影響了紐約聯(lián)邦儲備銀行，使其轉(zhuǎn)移了超過8100萬美元的資金。

為了防止這種威脅，關鍵是要保持設備分割控制，以防止金融設備和其他AD連接的設備之間的橫向移動。

當然，這取決于網(wǎng)絡安全利益相關者是否有工具來維護穿越IoT領域的所有設備的詳細資產(chǎn)清單。

3

ATM和POS機設備

首先，必須說明的是，許多ATM位于僅有ATM的VLAN中，或以其他方式與其他設備進行微分。

除此之外，許多ATM機在有大量其他ATM機的網(wǎng)絡中被相對良好地分割。然而，數(shù)據(jù)表明，許多ATM機與其他物聯(lián)網(wǎng)設備相鄰，如安全攝像機和物理安全系統(tǒng)，這些設備可能沒有得到嚴格控制。

自動取款機和POS系統(tǒng)的分類

4

IP攝像機和監(jiān)控系統(tǒng)

PCI自動取款機安全指南明確指出，"在可能和法律允許的情況下，自動取款機應配備安全攝像機。"這使得IP攝像機成為自動取款機最常見的鄰居。

不幸的是，該指導意見并沒有說安全攝像機應該與網(wǎng)絡上的金融設備分開。人們可能會認為，在金融服務業(yè)中，IP攝像機與中央網(wǎng)絡功能是分開的，但事實并非如此。

IP攝像機是ATM機最常見的物聯(lián)網(wǎng)設備鄰居

金融服務領域的網(wǎng)絡安全利益相關者如果想減輕網(wǎng)絡威脅在整個大網(wǎng)絡基礎設施中的橫向移動，就應該注意相鄰和周邊的物聯(lián)網(wǎng)設備。這些設備的互連性為攻擊者提供了一個潛在的切入點，使其能夠破壞關鍵業(yè)務。

5

連接的建筑物

金融服務的一個巨大關注點是影響到數(shù)據(jù)中心的漏洞。正如所有依賴數(shù)據(jù)中心的行業(yè)一樣，金融服務無一例外地依賴能源和電力基礎設施，包括與連接的建筑物和BAS有關的系統(tǒng)。因此，許多銀行已經(jīng)實施了冗余電源，以努力減輕其數(shù)據(jù)中心的風險，這是偉大的第一步。

然而，安全利益相關者應該考慮額外的預防措施，以管理和遏制與能源和電力基礎設施相關的漏洞。我們的數(shù)據(jù)表明，在涉及到聯(lián)網(wǎng)的建筑基礎設施和定義它們的OT設備時，應該更加關注細分策略。

金融服務領域75%的聯(lián)網(wǎng)建筑物聯(lián)網(wǎng)設備由物理安全系統(tǒng)和BAS技術組成，如暖通空調(diào)、溫控器和智能照明。

作為聯(lián)網(wǎng)建筑和BAS的一部分，網(wǎng)絡上的設備顯然與金融服務有關，因為這些機構有許多建筑，并在物理安全和監(jiān)控的設備上投入大量資金。

金融服務互聯(lián)建筑的設備細分

6

BAS和OT

參與支持能源和電力基礎設施的OT設備，如UPS、SCADA/HMI、PLC和其他工業(yè)設備，占金融服務領域物聯(lián)網(wǎng)基礎設施的14.19%。

這些UPS設備同時存在于園區(qū)和數(shù)據(jù)中心，并且有共同的計算機、服務器和物聯(lián)網(wǎng)鄰居。簡而言之，UPS設備是許多設備的鄰居。

金融服務物聯(lián)網(wǎng)設備分類（不包括打印機）

OT和BAS設備不能被忽視。UPS、PLC、SCADA/HMI和IP攝像機占金融服務領域所有物聯(lián)網(wǎng)設備的50%以上（不包括打印機）。

總結(jié)?

金融服務行業(yè)的網(wǎng)絡安全領導者必須認識到，雖然他們已經(jīng)實現(xiàn)了比許多其他行業(yè)更高的虛擬化和設備可視性，但他們?nèi)匀槐仨毺幚泶罅侩y以保障安全的IOT設備，這些設備至今仍廣泛存在于該行業(yè)中，代表著高度的未減輕的網(wǎng)絡風險。

物聯(lián)網(wǎng)包含了無數(shù)的連接設備類型，所有這些設備都必須被持續(xù)監(jiān)控、分類和保護，以全面保護金融服務網(wǎng)絡。

審核編輯 ：李倩