web-dev-qa-db-ja.com

Swift(banking)ソフトウェアアーキテクチャは安全ですか?

銀行をハッキングし、銀行からお金を盗む Swift に関するすべてのニュースとともに、脆弱性はSwiftに直接関係していませんでしたが、いくつかの疑問が生じます:

  • Swiftネットワークのソフトウェアコンポーネントは、外部組織によって認定されていますか?厳格なセキュリティテストを受けていますか?(狭い範囲のユーザーが利用できるのではないかと心配です。十分な精査またはセキュリティテスト)。
  • Swiftは何年も前に開始されましたが、ソフトウェアアーキテクチャはセキュリティを考慮して設計されましたか?
  • アーキテクチャはセキュリティレビューに使用できますか?
10
Silverfox

とりわけ、Swiftは、金融取引に同じ標準化されたメッセージングシステムを使用することに同意する金融機関の協力組織です。したがって、金融機関間のメッセージングの主要な標準としてISO 20022の使用を公に推進しています。とはいえ、各メンバーは、それぞれが独自のセキュリティの脆弱性を持つ可能性のあるさまざまなプラットフォームで非常に多種多様なソフトウェアを使用して、この標準を実装する可能性があります。標準自体は少し古くなっており、おそらく改善される可能性がありますが、金融機関に脆弱性をもたらすより大きな問題は、各エンティティの実装とセキュリティ管理策の選択です。

ISO 20022規格はレビューのためにアクセスできますが、各ベンダーの実装にはおそらくアクセスできません。認定に関する限り、これらのコンポーネントは、おそらく攻撃者の観点からのセキュリティではなく、ISO 20022互換性があると認定されます。したがって、これはおそらくあなたの質問の観点からは意味のあるものではありません。

メンバーが遵守しなければならないより厳格なセキュリティ基準のセットを作成することは組織にとって賢明だと思います。おそらくPCI-DSSに似ていますが、PCI-DSSよりも強力ですが、メンバー組織からこれに対する多くの異議があると思います追加の要件は必要ありません。とはいえ、あなたは非常に有効なポイントを挙げていると思います。Swiftを使用している組織が、セキュリティのニーズに対処するために同僚に圧力をかけることは非常に賢明だと思います。さらに重要なことに、これらのメンバー組織の多くは現在、従来のセキュリティ手法を使用して、はるかにハイテクな敵と戦っています。違反に関連する将来の費用を削減するために、その組織がネットワークの強度を高めることにより重点を置く今が良い時でしょう。

最近の一連の攻撃の間に出現したように思われることの1つは、Swiftが接続されているすべての銀行に、潜在的な違反情報とサイバー攻撃を報告するよう依頼する要求を出したことです。そのため、Swiftは個々の銀行にセキュリティ上の責任の多くを任せており、Swiftネットワークを保護するための適切なセキュリティ対策を実行しない銀行は考慮していなかったようです。 。発生した攻撃の側面は、純粋な詐欺検出の観点からのSwiftトランザクションの内部監視がほとんどないことを意味する場合もあります。次のロイターの記事は、銀行間の関係も脆弱であり、弱い銀行の多くはセキュリティの短所を認める可能性が低く、これらの短所は参加しているすべての小規模銀行の間でいくらか一般的である可能性があることを指摘していますネットワークで。同様に、この記事ではSwiftの参加者が独自の非Swift検証方法を増やしてセキュリティの低いSwiftプロセスにセキュリティを追加することの重要性について説明します。業界の内部関係者がSwiftネットワークのセキュリティをあまり信頼しておらず、さまざまな点で既知のリスクであることを意味します。

http://www.reuters.com/article/us-cyber-heist-Swift-specialreport-idUSKCN0YB0DD

最後に、ISO 20022標準は、標準自体の中でセキュリティの点であまり重要ではないことに注意してください。これは非常に古い通信規格であり、今日同様のネットワークが構築された場合におそらく必要となるであろう、多くの最新のセキュリティ制御を必要としません。

1
Trey Blalock

相互接続のための他の多くのプロトコルや方法とは異なり、Swiftトランザクションは完全に分離された環境(つまり、銀行間の確立された保護されたリンク上でのみ)で実行されることを意味します)を覚えておくことは重要です。接続セキュリティの決定は悪い決定(詳細な防御の失敗)である可能性がありますが、この時点での「Swiftへの攻撃」は、銀行のシステムの別のより脆弱な側面(マルウェアを銀行のPCに取り込むなど)を侵害することになります。そして、その違反をピボットポイントとして使用してSwiftシステムに向かって移動し、そのアクセスを使用して盗難を実行します。

これは、銀行の金庫室に侵入し(通常は多大な労力が必要ですが、そうでない場合もあります)、簡単にすべての安全な金庫ボックスのドアをバールでこじ開けて運搬を取得します。預金ボックスをより保護する必要があります。単純なエルボーグリース攻撃に抵抗するためですが、一般的には、ボールト全体へのアクセスを保護するためにより多くの労力が費やされます。

1
Jeff Meden