研究表明，許多銀行和零售設備都過度暴露在物聯網設備中，為關鍵基礎設施和數據中心之間的橫向移動提供了更多機會。

1

作為金融設備的個人電腦

在金融服務領域，個人電腦是復雜的工具，金融員工用電腦來訪問關鍵的業務應用程序。

不幸的是，這批電腦的用戶與AD連接的個人電腦也有AD定義的電子郵件地址，具有企業命名慣例。這些持續受騙的員工也有經常受到攻擊的電子郵件客戶端、瀏覽器和辦公套件，他們的電腦應該僅僅因為它們被物聯網和BYOD生態系統所包圍，就被認為是不安全的。

擁有高權限或管理員權限的授權用戶會對系統和數據構成潛在的威脅，而對操作系統和系統工具的未經授權的訪問可能導致重大的財務和運營損失。

計算機、個人電腦和工作站在設備中的百分比

2

網絡內的其他設備

在金融服務領域，電子設備幾乎和計算機一樣多。在金融服務網絡中，每100臺分類計算機、個人電腦和工作站就有99臺其他設備。

加入AD的設備使銀行面臨風險，因為不適當保護的金融設備允許國家支持的犯罪分子和其他惡意行為者使用相鄰的網絡設備（例如打印機）訪問關鍵銀行信息，以模仿允許的銀行轉賬。這在如今是一個真正存在的風險。

網絡犯罪集團策劃了許多針對金融服務的高級持續性威脅（APT）并取得了成功。

例如，各種報告估計，位于朝鮮的黑客通過對銀行和加密貨幣交易所發動網絡攻擊，已經從更大的金融服務行業竊取了超過20億美元。在2016年的一個具體例子中，朝鮮的網絡工作人員影響了紐約聯邦儲備銀行，使其轉移了超過8100萬美元的資金。

為了防止這種威脅，關鍵是要保持設備分割控制，以防止金融設備和其他AD連接的設備之間的橫向移動。

當然，這取決于網絡安全利益相關者是否有工具來維護穿越IoT領域的所有設備的詳細資產清單。

3

ATM和POS機設備

首先，必須說明的是，許多ATM位于僅有ATM的VLAN中，或以其他方式與其他設備進行微分。

除此之外，許多ATM機在有大量其他ATM機的網絡中被相對良好地分割。然而，數據表明，許多ATM機與其他物聯網設備相鄰，如安全攝像機和物理安全系統，這些設備可能沒有得到嚴格控制。

自動取款機和POS系統的分類

4

IP攝像機和監控系統

PCI自動取款機安全指南明確指出，"在可能和法律允許的情況下，自動取款機應配備安全攝像機。"這使得IP攝像機成為自動取款機最常見的鄰居。

不幸的是，該指導意見并沒有說安全攝像機應該與網絡上的金融設備分開。人們可能會認為，在金融服務業中，IP攝像機與中央網絡功能是分開的，但事實并非如此。

IP攝像機是ATM機最常見的物聯網設備鄰居

金融服務領域的網絡安全利益相關者如果想減輕網絡威脅在整個大網絡基礎設施中的橫向移動，就應該注意相鄰和周邊的物聯網設備。這些設備的互連性為攻擊者提供了一個潛在的切入點，使其能夠破壞關鍵業務。

5

連接的建筑物

金融服務的一個巨大關注點是影響到數據中心的漏洞。正如所有依賴數據中心的行業一樣，金融服務無一例外地依賴能源和電力基礎設施，包括與連接的建筑物和BAS有關的系統。因此，許多銀行已經實施了冗余電源，以努力減輕其數據中心的風險，這是偉大的第一步。

然而，安全利益相關者應該考慮額外的預防措施，以管理和遏制與能源和電力基礎設施相關的漏洞。我們的數據表明，在涉及到聯網的建筑基礎設施和定義它們的OT設備時，應該更加關注細分策略。

金融服務領域75%的聯網建筑物聯網設備由物理安全系統和BAS技術組成，如暖通空調、溫控器和智能照明。

作為聯網建筑和BAS的一部分，網絡上的設備顯然與金融服務有關，因為這些機構有許多建筑，并在物理安全和監控的設備上投入大量資金。

金融服務互聯建筑的設備細分

6

BAS和OT

參與支持能源和電力基礎設施的OT設備，如UPS、SCADA/HMI、PLC和其他工業設備，占金融服務領域物聯網基礎設施的14.19%。

這些UPS設備同時存在于園區和數據中心，并且有共同的計算機、服務器和物聯網鄰居。簡而言之，UPS設備是許多設備的鄰居。

金融服務物聯網設備分類（不包括打印機）

OT和BAS設備不能被忽視。UPS、PLC、SCADA/HMI和IP攝像機占金融服務領域所有物聯網設備的50%以上（不包括打印機）。

總結?

金融服務行業的網絡安全領導者必須認識到，雖然他們已經實現了比許多其他行業更高的虛擬化和設備可視性，但他們仍然必須處理大量難以保障安全的IOT設備，這些設備至今仍廣泛存在于該行業中，代表著高度的未減輕的網絡風險。

物聯網包含了無數的連接設備類型，所有這些設備都必須被持續監控、分類和保護，以全面保護金融服務網絡。

審核編輯 ：李倩