曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        南非Postbank銀行主密鑰泄漏事件:使用強大的密鑰管理是非常必要的
        發布時間:2020-08-05 10:58:57   閱讀次數:

        在過去的幾個月中,有關2018年12月南非國家郵政銀行運營商PostBank發生的違規事實已經為人所知。該信息非常嚴重,因為它涉及欺詐,使銀行損失了數百萬美元,并嚴重損害了其聲譽。

        南非Postbank銀行主密鑰泄漏事件:使用強大的密鑰管理是非常必要的(圖1)

        PostBank的萬能鑰匙突破

        南非許多報紙報道:“ 南非銀行將在員工偷走萬能鑰匙后更換1200萬張卡?!吧婕暗钠墼p行為涉及盜竊一個主機主密鑰(36位代碼),銀行將其用于生成和保護其平臺的所有密鑰。


        主機主密鑰位于比勒陀利亞的銀行舊的個性化中心。早在2018年12月,幾名流氓員工就設法竊取,解密并在紙上打印密鑰。


        銀行逐漸了解了欺詐的嚴重性。竊取密鑰后,攻擊者使用主密鑰直接訪問銀行帳戶。然后,這些犯罪分子進行了25,000多次欺詐性交易,導致從客戶余額中盜竊了超過320萬美元(5,600萬蘭特)。這些被欺詐的客戶中有許多都從南非社會保障局(SASSA)獲得社會補助。主密鑰主要由銀行用于SASSA的支付系統。


        被盜的主密鑰保護了所有其他加密密鑰。因此,攻擊者可以訪問大型機體系結構中的所有ATM引腳,家庭銀行訪問代碼,客戶數據和信用卡。


        結果,銀行不得不重新生成主密鑰并緊急更換大約1200萬張卡。該銀行蒙受了大約6000萬美元的重大損失。由于故事不再對公眾隱瞞,因此它的聲譽也受到了很大的損害。


        分析

        當前,尚未披露有關欺詐細節的所有信息。欺詐行為發生時,南非郵政銀行擁有現代化的安全保護措施,包括最新的PKI,視頻監控和生物識別控制。那是怎么發生的呢?


        據了解,可以假定以下內容:

        1. 欺詐時,欺詐將涉及銀行的許多員工。

        2. 一些本地董事和/或具有行政權限的人員將屬于這些雇員。

        3. 因此,欺詐行為很可能是內部人員的工作。


        不知道PostBank的密鑰管理是否符合X9.24-1或PCI DSS等財務標準。但是,可以相信,銀行的主密鑰應該已經在特定服務器上受到保護,并具有安全的操作系統,并且實際上已與銀行的主網絡斷開連接。此外,如果沒有一定數量的具有權威權限的“特殊”員工的結合,就無法重建密鑰。 


        此類授權雇員(主要保管人)組將永久更改和更新。因此,流氓員工之間的勾結似乎不可能發生這么大的規模??梢韵嘈?,一些員工在將主密鑰以明文形式存儲在一個(或多個)筆記本電腦上之后復制了該主密鑰。


        看起來,PostBank的密碼系統存在一些缺陷,并且在使用安全的密碼密鑰管理系統(KMS)時不一致。PostBank可能使用了一種非常過時的方法(至少部分地采用了這種方法),例如,打印密鑰信息并將其放在安全的位置作為主密鑰的備份。這可以解釋為什么發生了如此可怕的錯誤。 


        在銀行環境中早期的密鑰管理流程中,主要的托管人通常由三人組成。每個人都擁有鑰匙的一部分,印在紙上,并在鑰匙保管人的責任下存放在專用的保險箱中。


        大多數專家都認為,在這種情況下,PostBank在欺詐時幾乎不可能采用具有健全實踐的現代KMS。 


        結論

        專用密鑰管理系統(KMS)和HSM成本很高,而且此類系統的維護和培訓費用也很高。但是,本文提供的示例演示了如果銀行認為不需要現代密鑰管理系統和HSM而是依賴于較舊的加密管理系統(寬松的或定制的系統)可能會造成的損害。雇用開發人員在沒有強大控制的情況下構建自定義KMS也會在開發期間或生產后導致這種情況。


        一個安全的KMS保護密鑰從因為惡意和流氓員工嚴格內置的實施規則。這樣可以防止一群內部攻擊者訪問密鑰。因此,在現代銀行環境中,KMS和HSM是必需的。 


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精