Preskoči na glavno vsebino
Microsoft 365
Naroči se
Image of two elevators passing.

Zakaj banke prevzemajo sodoben pristop do kibernetske varnosti – model ničelnega zaupanja

S

Večina bank se še danes zanaša na pristop »grad in jarek«, ki je znan tudi kot »varnostno območje«, da zaščiti podatke pred zlonamernimi napadi. Kot so srednjeveški gradovi zaščiteni s kamnitimi zidovi, jarki in vrati, banke, ki uporabljajo varnostno območje, močno vlagajo v ojačanje njihovih omrežnih območij s požarnimi zidovi, strežniki proxy, platformami honeypot in drugimi orodji za preprečevanje vdorov. Varnostno območje varuje vhodne in izhodne točke omrežja tako, da preveri pakete podatkov in identiteto uporabnikov, ki vstopajo v omrežje organizacije in izstopajo iz njega, in nato predvideva, da je aktivnost znotraj utrjenega območja razmeroma varna.

Pametne finančne ustanove so zdaj nadgradile to paradigmo in uporabljajo sodoben pristop do kibernetske varnosti – model ničelnega zaupanja. Osrednje načelo modela ničelnega zaupanja je, da privzeto ne smemo zaupati nikomur – znotraj ali zunaj – in da je treba pred odobritvijo dostopa strogo preveriti vsako osebo ali napravo.

Območje okoli gradu je še vedno pomembno, toda namesto vedno večjih naložb v gradnjo močnejših zidov in širših jarkov model ničelnega zaupanja zagovarja natančnejši pristop za upravljanje dostopa do identitet, podatkov in naprav v območju gradu. Če torej nekdo vstopi v omrežje in deluje zlonamerno ali brezskrbno ali če je prikritim napadalcem uspelo vstopiti v grad, samodejni dostop do podatkov ni omogočen.

Omejitve pristopa »grad in jarek«

Ko danes govorimo o varovanju digitalnega imetja podjetja, ima pristop »grad in jarek« kritične omejitve, saj je pojav kibernetskih groženj spremenil pomen varovanja in zaščite. Velike organizacije, vključno z bankami, se ukvarjajo z razpršenimi omrežji podatkov in aplikacij, ki so na voljo zaposlenim, strankam in partnerjem na mestu uporabe ali v spletu. Zaradi tega je varovanje območja okoli gradu težje. In tudi če jarek učinkovito odganja sovražnike, ne naredi veliko za uporabnike z ogroženimi identitetami ali druge grožnje, ki prežijo znotraj grajskih zidov.

Spodaj so navedeni viri izpostavljanja, ki so običajni za banke, kjer zanašajo na pristop »grad in jarek«:

  • Pregled pravic za dostop osebja do aplikacij enkrat letno.
  • Dvoumni in nedosledni pravilniki glede pravic za dostop, ki so odvisni od presoje upravitelja in nezadostnega vodenja, ko pride do premeščanja osebja.
  • Prekomerna uporaba skrbniških prednostnih računov s strani IT.
  • Podatki o strankah, shranjeni v več datotekah v skupni rabi, in neznanje o tem, kdo lahko dostopa do njih.
  • Prekomerno zanašanje na gesla za preverjanje pristnosti uporabnikov.
  • Pomanjkanje razvrščanja podatkov in poročanja o tem, kateri podatki so kje.
  • Pogosta uporaba pomnilniških ključkov USB za prenos datotek, ki vsebujejo zelo občutljive podatke.

Kako ničelni model zaupanja nudi bankirjem in strankam več možnosti

Prednosti pristopa ničelnega zaupanja so bile podrobno opisane, vse večje število primerov v realnem svetu pa kaže, da bi ta pristop lahko preprečil sofisticirane kibernetske napade. Vendar pa veliko bank danes še vedno vztraja pri praksah, ki odstopajo od načel ničelnega zaupanja.

Na podlagi modela ničelnega zaupanja lahko banke pomagajo okrepiti svojo varnostno držo, zato da lahko samozavestno podpirajo pobude, ki omogočajo večjo prilagodljivost zaposlenih in strank. Direktorji bank bi na primer želeli doseči, da zaposleni, ki imajo neposreden stik s strankami, na primer upravitelji odnosov in finančni svetovalci, ne bi več sedeli v pisarnah, ampak bi se srečevali s svojimi strankami zunaj bančnih prostorov. Številne finančne ustanove danes podpirajo to geografsko okretnost z analognimi orodji, kot so na primer papirnati izpisi ali statični pogledi njihovega svetovalca. Vendar pa tako zaposleni v banki kot tudi stranke pričakujejo bolj dinamično izkušnjo z uporabo podatkov v realnem času.

Banke, ki se na področju zanašajo na pristop gradu in jarka, niso naklonjene razpršitvi podatkov zunaj fizičnega omrežja. Na tak način lahko njihovi bankirji in finančni svetovalci načnejo temo dinamičnih modelov dokazanih in discipliniranih naložbenih strategij samo, če se srečanja s strankami odvijajo v prostorih banke.

V preteklosti so bančniki ali finančni svetovalci na poti težko dali v skupno rabo posodobitve modelov v realnem času ali aktivno sodelovali z drugimi bankirji ali trgovci, vsaj ne brez VPN. Vendar pa ta okretnost pomembno vpliva na sprejemanje pametnih odločitev glede naložb in zadovoljstvo strank. Model ničelnega zaupanja omogoča upravitelju odnosov ali analitiku, da izkoristi vpoglede iz ponudnikov podatkov na trgu, jih sintetiziranje z lastnimi modeli in dinamično dela z različnimi scenariji strank, kadar koli in kjer koli.

Dobra novica je, da je to nova doba inteligentne varnosti, ki jo spodbujata arhitektura oblaka in ničelnega zaupanja, ki lahko racionalizira in posodobi varnost in skladnost s predpisi bank.

Microsoft 365 pripomore k spremembi bančne varnosti

S storitvijo Microsoft 365 lahko banke takoj naredijo pomembne korake proti zaščiti ničelnega zaupanja, tako da uvedejo tri ključne strategije:

  • Identiteta in preverjanje pristnosti – najpomembnejše je, da banke zagotovijo, da so uporabniki resnično osebe, za katere pravijo, da so, in jim omogočiti dostop v skladu z njihovimi vlogami. Z imenikom Azure Active Directory (Azure AD) lahko banke uporabljajo enotno prijavo (SSO), ki uporabnikom s preverjeno pristnostjo omogoči, da vzpostavijo povezavo z aplikacijami s poljubnega mesta, pri čimer imajo zaposleni na terenu varen dostop do virov brez ogrožanja njihovih storilnosti.

Banke lahko uvedejo tudi močne metode preverjanja pristnosti, kot je dvojno preverjanje pristnosti ali Multi-Factor Authentication (MFA) brez gesla, kar lahko zmanjša tveganje kršitve za 99,9 odstotka. Microsoft Authenticator podpira potisna obvestila, enkratna gesla in biometrične podatke za katero koli aplikacijo, ki je povezana s storitvijo Azure AD.

V napravah s sistemom Windows lahko zaposleni v banki uporabljajo Windows Hello, varno in priročno funkcijo prepoznavanja obraza za vpis v naprave. Navsezadnje pa lahko banke uporabljajo pogojni dostop storitve Azure AD, da zaščitijo vire pred sumljivimi zahtevami, tako da uporabijo ustrezne pravilnike za dostop. Microsoft InTune in Azure AD skupaj zagotavljata, da lahko do storitev Office 365, vključno z e-pošto in aplikacijami na mestu uporabe, dostopajo le upravljane naprave in naprave, ki so skladne s predpisi. S funkcijo InTune lahko tudi ocenite stanje skladnosti s predpisi naprav. Pravilnik pogojnega dostopa se uveljavi glede na stanje skladnosti s predpisi naprave v času, ko poskuša uporabnik dostopati do podatkov.

Infografika, ki opisuje pogojni dostop. Signali (lokacija uporabnika, naprava, tveganje v realnem času, aplikacija) preverijo vse poskuse dostopa (dovoli dostop, zahtevanje MFA ali blokiranje dostopa) ter aplikacije in podatke.

Slika pogojnega dostopa.

  • Zaščita pred grožnjami – s storitvijo Microsoft 365 lahko banke tudi okrepijo možnost zaščite, zaznavanja in odgovarjanja na napade z integrirano in avtomatizirano varnostjo zaščite pred grožnjami Microsofta. Izkorišča enega od največjih znakov za grožnje na svetu, ki so na voljo v Microsoft Intelligent Security Graph, in napredno avtomatizacijo, ki uporablja umetno inteligenco (AI) za izboljšanje prepoznavanja dogodkov in odziva, da lahko varnostne ekipe razrešijo grožnje natančno, učinkovito in pravočasno. V središču za varnost okolja Microsoft 365 je centralizirano vozlišče in poseben delovni prostor, ki ga lahko upravljate in izkoristite vse prednosti inteligentnih varnostnih rešitev v storitvi Microsoft 365 za upravljanje identitete in dostopa, zaščito pred grožnjami, zaščito informacij in upravljanje varnosti.

Posnetek zaslona nadzorne plošče središča za varnost okolja Microsoft 365.

Središče storitve Microsoft 365.

  • Zaščita informacij – medtem ko so identiteta in naprave primarni vektorji ranljivosti za kibernetske napade, so podatki tisti, do katerih se želijo kibernetski napadalci dokopati. S storitvijo Microsoft Information Protection lahko banke izboljšajo svojo zaščito občutljivih informacij – v katerikoli poslovalnici ali na poti. Microsoft 365 omogoča strankam, da 1) prepoznajo in razvrstijo občutljive podatke; 2) uporabijo prilagodljive pravilnike za zaščito; in 3) nadzirajo in nadgradijo občutljive podatke, ki so ogroženi.

Posnetek zaslona Microsoft Azure Information Protection, ki zahteva utemeljitev za zaupno e-poštno sporočilo.

Primer razvrščanja in scenarija za zaščito.

Poenostavitev upravljanja varnosti z ničelnim zaupanjem

S storitvijo Microsoft 365 lahko poenostavite upravljanje varnosti v sodobni arhitekturi ničelnega zaupanja, pri tem pa lahko izkoristite vidnost, obseg in inteligenco, potrebno za boj proti kibernetskemu kriminalu.

Če razmišljate, kako bi zavarovali svoj sodoben »grad«, je okolje ničelnega zaupanja optimalno za boj s sodobnimi grožnjami kibernetske varnosti. Okolje ničelnega zaupanja zahteva do minute natančen pregled nad tem, kdo dostopa do česa, kje in kdaj – ter ugotavlja, ali bi te osebe sploh smele imeti dostop.

Zmogljivosti za varnost in skladnost s predpisi storitve Microsoft 365 pomagajo organizacijam preveriti, ali lahko zaupajo uporabniku ali napravi. Microsoft 365 ponuja tudi celovito rešitev za skupinsko delo in storilnost. Na splošno Microsoft 365 zagotavlja celovito rešitev za pomoč direktorjem bank, ki se osredotočajo na stranke in inovacije.

Sorodne objave