許多銀行現今仍然依靠「城堡與護城河」的方法 (也稱為「界限安全性」) 來保護資料避免受到惡意攻擊。如同由石牆、護城河和城門保護的中世紀城堡一樣,使用界限安全性保護功能的銀行,在加強防火牆、Proxy 服務器、誘捕系統和其他入侵防禦工具等方面下了很大的功夫。界限安全性透過驗證資料封包和辨認出入組織網路的使用者身分識別來保護網路進出點,然後假設強化的界限內活動是相對安全的。 精明的金融機構現在正超越這種方式,並為網路安全性採用一種新式方法—「零信任」模型。「零信任」模型的宗旨是在預設情況下不信任任何事物,無論內部或外部,並且在授與存取權之前,要求對每個人或裝置進行嚴格驗證。 城堡的周邊仍然很重要,「零信任」模型採用更加細緻入微的方法來管理在這座著名城堡中存取身份識別、資料和裝置,而非只有大量投資建造更厚實的城牆和更寬廣的護城河。因此,無論內部人員是惡意還是粗心,或是隱藏的攻擊者滲透過城牆,都無法自動存取資料。 城堡與護城河方法的限制 在保護當今的企業數位資產方面,因為網路威脅的出現改變了對防護和保護的含義,城堡與護城河的保護方法存在著嚴重限制。大型組職 (包含銀行) 處理分散的網路資料和應用程式,都由員工、客戶和合作夥伴在現場或線上存取。這使得保護城堡周邊更加困難。即使護城河有效地將敵人拒之門外,但對於遭入侵身份識別的使用者,或潛伏在城牆內的其他內部威脅而言,並沒有多大的效果。 以下做法是所有暴露風險的來源,並且在依賴城堡與護城河方法進行安全性保護的銀行中很常見: 一年一次審核員工的應用程式存取權限。 不明確和不一致的存取權限原則,取決於管理員的判斷力,並且在員工異動時會發生控管不足的情況。 IT 過度使用系統管理特殊權限帳戶。 客戶資料儲存在多個檔案共用服務中,而且不清楚誰存取了資料。 過度依賴密碼來驗證使用者。 缺乏資料分類和報告以了解什麼資料在哪裡。 經常使用 USB 隨身碟傳輸包含高敏感性資料的檔案。 「零信任」模型如何增強銀行和客戶的防護能力 「零信任」方法的好處已有完好的記錄,並且越來越多的實際例子證實,這種方法可以防止複雜的網路攻擊。然而,現今仍有許多銀行依然遵循與「零信任」原則背道而馳的做法。 採用「零信任」模型可以協助銀行強化其安全性狀態,因此他們可以放心地支援賦予員工和客戶更多彈性的計劃。例如,銀行行政主管希望面對客戶的員工 (例如客戶關係經理和財務顧問) 不要受限於辦公桌,並在銀行場所外與客戶會面。如今,許多金融機構都透過紙本列印資料或靜態檢視等類似工具來支援這種地域敏捷性。但是,銀行員工和客戶都希望使用即時資料以獲得更多動態體驗。 依賴城堡與護城河方法來確保安全性的銀行,對於將資料分散到實體網路之外躊躇不前。因此,如果客戶會議在銀行場所舉行,銀行業者和財務顧問就只能利用已驗證和嚴謹的投資策略動態模型。 從歷史角度來看,對於十分忙碌的銀行業者或財務顧問來說,共用即時模型更新或與其他銀行或交易人進行積極共同作業非常麻煩,至少在有 VPN 的情況下是如此。然而,這種靈活度是良好的投資決策和客戶滿意度的重要驅動力。「零信任」模型讓關係經理或分析師能夠利用市場資料提供者的深入解析,綜合自己的模型,並隨時隨地靈活地處理不同的客戶案例。 好消息是,這是一個由雲端和「零信任」架構的智慧型安全性新時代,可以簡化和現代化銀行的安全性與合規性。 Microsoft 365 協助銀行轉換安全性 使用 Microsoft 365,銀行可以透過部署以下三個關鍵策略立即採取措施以實現「零信任」安全性: 身分識別和驗證—首先,銀行需確保使用者是他們所說的真實身份,並根據其角色授與存取權。透過 Azure Active Directory (Azure AD),銀行可以使用單一登入 (SSO) 讓經過身份驗證的使用者可以從任何地方連結到應用程式,讓行動員工可以安全地存取資源且不會影響其生產力。 銀行還可以部署強大的驗證方式,例如雙重要素或無密碼的多重要素驗證 (MFA),可將資料外洩風險降低 99.
