金融行业物联网安全分析

研究表明，许多银行和零售设备都过度暴露在物联网设备中，为关键基础设施和数据中心之间的横向移动提供了更多机会。

1

作为金融设备的个人电脑

在金融服务领域，个人电脑是复杂的工具，金融员工用电脑来访问关键的业务应用程序。

不幸的是，这批电脑的用户与AD连接的个人电脑也有AD定义的电子邮件地址，具有企业命名惯例。这些持续受骗的员工也有经常受到攻击的电子邮件客户端、浏览器和办公套件，他们的电脑应该仅仅因为它们被物联网和BYOD生态系统所包围，就被认为是不安全的。

拥有高权限或管理员权限的授权用户会对系统和数据构成潜在的威胁，而对操作系统和系统工具的未经授权的访问可能导致重大的财务和运营损失。

计算机、个人电脑和工作站在设备中的百分比

2

网络内的其他设备

在金融服务领域，电子设备几乎和计算机一样多。在金融服务网络中，每100台分类计算机、个人电脑和工作站就有99台其他设备。

加入AD的设备使银行面临风险，因为不适当保护的金融设备允许国家支持的犯罪分子和其他恶意行为者使用相邻的网络设备（例如打印机）访问关键银行信息，以模仿允许的银行转账。这在如今是一个真正存在的风险。

网络犯罪集团策划了许多针对金融服务的高级持续性威胁（APT）并取得了成功。

例如，各种报告估计，位于朝鲜的黑客通过对银行和加密货币交易所发动网络攻击，已经从更大的金融服务行业窃取了超过20亿美元。在2016年的一个具体例子中，朝鲜的网络工作人员影响了纽约联邦储备银行，使其转移了超过8100万美元的资金。

为了防止这种威胁，关键是要保持设备分割控制，以防止金融设备和其他AD连接的设备之间的横向移动。

当然，这取决于网络安全利益相关者是否有工具来维护穿越IoT领域的所有设备的详细资产清单。

3

ATM和POS机设备

首先，必须说明的是，许多ATM位于仅有ATM的VLAN中，或以其他方式与其他设备进行微分。

除此之外，许多ATM机在有大量其他ATM机的网络中被相对良好地分割。然而，数据表明，许多ATM机与其他物联网设备相邻，如安全摄像机和物理安全系统，这些设备可能没有得到严格控制。

自动取款机和POS系统的分类

4

IP摄像机和监控系统

PCI自动取款机安全指南明确指出，"在可能和法律允许的情况下，自动取款机应配备安全摄像机。"这使得IP摄像机成为自动取款机最常见的邻居。

不幸的是，该指导意见并没有说安全摄像机应该与网络上的金融设备分开。人们可能会认为，在金融服务业中，IP摄像机与中央网络功能是分开的，但事实并非如此。

IP摄像机是ATM机最常见的物联网设备邻居

金融服务领域的网络安全利益相关者如果想减轻网络威胁在整个大网络基础设施中的横向移动，就应该注意相邻和周边的物联网设备。这些设备的互连性为攻击者提供了一个潜在的切入点，使其能够破坏关键业务。

5

连接的建筑物

金融服务的一个巨大关注点是影响到数据中心的漏洞。正如所有依赖数据中心的行业一样，金融服务无一例外地依赖能源和电力基础设施，包括与连接的建筑物和BAS有关的系统。因此，许多银行已经实施了冗余电源，以努力减轻其数据中心的风险，这是伟大的第一步。

然而，安全利益相关者应该考虑额外的预防措施，以管理和遏制与能源和电力基础设施相关的漏洞。我们的数据表明，在涉及到联网的建筑基础设施和定义它们的OT设备时，应该更加关注细分策略。

金融服务领域75%的联网建筑物联网设备由物理安全系统和BAS技术组成，如暖通空调、温控器和智能照明。

作为联网建筑和BAS的一部分，网络上的设备显然与金融服务有关，因为这些机构有许多建筑，并在物理安全和监控的设备上投入大量资金。

金融服务互联建筑的设备细分

6

BAS和OT

参与支持能源和电力基础设施的OT设备，如UPS、SCADA/HMI、PLC和其他工业设备，占金融服务领域物联网基础设施的14.19%。

这些UPS设备同时存在于园区和数据中心，并且有共同的计算机、服务器和物联网邻居。简而言之，UPS设备是许多设备的邻居。

金融服务物联网设备分类（不包括打印机）

OT和BAS设备不能被忽视。UPS、PLC、SCADA/HMI和IP摄像机占金融服务领域所有物联网设备的50%以上（不包括打印机）。

总结✦

金融服务行业的网络安全领导者必须认识到，虽然他们已经实现了比许多其他行业更高的虚拟化和设备可视性，但他们仍然必须处理大量难以保障安全的IOT设备，这些设备至今仍广泛存在于该行业中，代表着高度的未减轻的网络风险。

物联网包含了无数的连接设备类型，所有这些设备都必须被持续监控、分类和保护，以全面保护金融服务网络。

审核编辑 ：李倩