إرشادات RBI للبنوك لمكافحة الهجمات الإلكترونية المتصاعدة

لتلبية الاحتياجات المتزايدة للعملاء، تتبنى البنوك بشكل متزايد حلول تكنولوجيا المعلومات (IT) لتنفيذ العمليات اليومية. مما يجعلها أهدافًا جذابة لتصعيد الهجمات الإلكترونية. لضمان عمل البنوك الهندية في بيئة مرنة عبر الإنترنت، فإن يصدر بنك الاحتياطي الهندي (RBI) إرشادات منتظمة. وبالتالي، في أحد تعميمه الأخير، بالإضافة إلى التمييز بين الأمن السيبراني وأمن المعلومات، ينصح RBI البنوك بوضع آليات من أجل:

• المراقبة المستمرة لحماية البيانات الشخصية
• نهج مركّز تجاه الأمن السيبراني
• يجب أن يكون مجلس الإدارة/الإدارة العليا على دراية بحاصل التهديد الخاص بالبنك
• مجلس الإدارة/الإدارة العليا لمراقبة التهديدات ومشاركتها والتخفيف من حدتها بشكل استباقي

تدعو إرشادات RBI إلى التدابير التالية لمساعدة البنوك على تحسين وضعها الأمني العام:

1. توفير المراقبة المستمرة

لا تسبق الهجمات الإلكترونية تحذيرات أو جداول زمنية. وبالتالي، يوصي RBI البنوك بإعداد مراقبة مستمرة لمواكبة التهديدات الإلكترونية الناشئة.

يساعدك xviGil على توقع التهديدات والتخفيف من حدتها

الجيل السادس عشر، كلاود سيكتوفر منصة مراقبة المخاطر الرقمية مراقبة مستمرة عبر السطح والويب المظلم. مع التركيز بشكل خاص على: الإشارات إلى البنك وعلامته التجارية وبنيته التحتية.

2. ضمان حماية بيانات العملاء

تعتمد المؤسسات المالية على التكنولوجيا لتعمل بسلاسة. كما أنها تساعدهم على تقديم منتجات رقمية متطورة لتلبية احتياجات عملائهم. ومع ذلك، في هذه العملية، تقوم البنوك بجمع المعلومات الشخصية والحساسة للعملاء.

يجب على البنوك اتخاذ الخطوات المناسبة لضمان السرية والنزاهة وتوافر هذه البيانات بشكل كامل. وعلاوة على ذلك، يتعين على البنوك، بصفتها الجهة الراعية لهذه المعلومات، الحفاظ على البيانات، أثناء نقلها وتخزينها، داخل بيئتها أو بيئة البائعين الخارجيين. ولتحقيق هذه الغاية، يجب على البنوك إنشاء أنظمة وعمليات مناسبة، عبر دورة حياة البيانات/المعلومات.

XviGil يكتشف تسرب البيانات

تراقب xviGil الويب بشكل استباقي بحثًا عن تسرب البيانات. بعد ذلك، تنبه البنوك إلى التسريبات التي تتضمن معلومات عملائها أو تفاصيل بطاقة الائتمان أو تفاصيل بطاقة الخصم. تقوم المنصة أيضًا بالإبلاغ عن تسريبات بيانات الجهات الخارجية التي قد تؤثر على البنوك وعملائها.

3. قم بالإبلاغ عن حوادث الأمن السيبراني إلى RBI

تحتاج البنوك أيضًا إلى إخطار RBI بجميع أنشطة وحوادث الأمن السيبراني غير العادية، بغض النظر عن نجاح أو فشل المحاولات.

تقوم xviGil بإنشاء تقارير لإخطار RBI

تقوم xviGil بإعداد التقارير، وإدراج الحوادث الرئيسية التي قد يتم تقديمها إلى RBI، مع الالتزام بمعايير الامتثال.

4. إدارة مخزون أصول تكنولوجيا المعلومات

تحتاج البنوك إلى الاحتفاظ بمخزون محدث من الأصول بما في ذلك البنية التحتية وتطبيقات الأعمال.

تقوم XviGil بفحص أصولك كل يوم

تقوم xviGil بإجراء عمليات مسح يومية للأصول، لتتبع جميع الأصول التي تواجه الإنترنت، بما في ذلك المجالات والنطاقات الفرعية وعناوين IP وتطبيقات الويب وما إلى ذلك.

5. منع تنفيذ البرامج غير المصرح بها

يجب أن تحتفظ البنوك بمخزون محدث، ويفضل أن يكون مركزيًا، للبرامج المعتمدة/غير المصرح بها.

تراقب xviGil تهديدات تكنولوجيا المعلومات في الظل

تقوم xviGil بتشغيل عمليات فحص البنية التحتية كل يوم وتنبه البنوك إلى أي تهديدات. ونتيجة لذلك، فإنها تحافظ على تهديدات Shadow IT تحت السيطرة.

6. تكوين آمن

يجب على البنوك توثيق متطلبات/تكوينات الأمان الأساسية وتطبيقها على جميع فئات الأجهزة.

XviGil يكتشف الأصول التي تم تكوينها بشكل خاطئ

تقوم xviGil باكتشاف التكوين الخاطئ للأصول التي تواجه الإنترنت والإبلاغ عنها، بالإضافة إلى أهم 10 نقاط ضعف في مشروع أمان تطبيقات الويب المفتوح (OWASP).

7. إدارة مخاطر البائع

تتحمل البنوك مسؤولية الإدارة المناسبة للمخاطر الأمنية المتعلقة بترتيبات الاستعانة بمصادر خارجية والشركاء.

XviGil يكتشف تسريبات الطرف الثالث

تقوم xviGil بمراقبة أي مصادر خارجية تقوم بتسريب معلومات حساسة وإعداد التقارير عنها، وبالتالي تلبية متطلبات RBI لإدارة مخاطر البائع.

8. الدفاع المتقدم عن التهديدات وإدارتها في الوقت الفعلي

يدعو RBI البنوك إلى:

• قم ببناء نظام دفاع قوي ضد تثبيت التعليمات البرمجية الضارة وانتشارها وتنفيذها، في نقاط متعددة في المؤسسة
• ضع في اعتبارك إدراج مواقع/أنظمة الإنترنت في القائمة البيضاء
• ضع في اعتبارك تنفيذ بوابات ويب آمنة مع إمكانات المسح العميق لحزم الشبكة. ومن ثم تأمين حركة المرور (HTTPS، إلخ) التي تمر عبر بوابة الويب/الإنترنت.

يوفر xviGil تنبيهات في الوقت الفعلي

تراقب xviGil وتوفر تنبيهات في الوقت الفعلي، بشأن التهديدات التي تؤثر على العلامة التجارية للبنوك أو البنية التحتية، من مصادر مختلفة عبر الويب السطحي والويب المظلم. بالإضافة إلى ذلك، تقوم المنصة بفحص المنافذ المفتوحة، وقوائم SSL التي تم تكوينها بشكل خاطئ، وحاويات S3 المتسربة، ونقاط ضعف XSS.

9. مكافحة الاحتيال

تم نصح البنوك بالاشتراك في تطبيقات أو خدمات مكافحة التصيد الاحتيالي ومكافحة الاحتيال من مزودي الخدمة الخارجيين. نظرًا لأن هذا سيساعدهم على تحديد مواقع التصيد الإلكتروني/التطبيقات المخادعة وإزالتها.

يكتشف xviGil عمليات الإزالة ويبدأها

تكتشف xviGil تطبيقات التصيد/المخادعة والنطاقات المزيفة وحسابات الوسائط الاجتماعية المزيفة. تقدم CloudSek أيضًا إزالة مواقع التصيد الإلكتروني/تطبيقات rouge هذه.

10. استراتيجية منع تسرب البيانات

يجب على البنوك تطوير استراتيجية شاملة لمنع فقدان/تسرب البيانات لحماية بيانات الأعمال والعملاء الحساسة والخاصة والسرية.

تراقب xviGil تسرب البيانات

تقوم xviGil بالبحث عن تسربات البيانات، بما في ذلك تسريبات الطرف الثالث، بالإضافة إلى تزويد البنوك بمعلومات عن التهديدات في الوقت المناسب وقابلة للتنفيذ.

11. تقييم نقاط الضعف واختبار الاختراق وتمارين الفريق الأحمر

يجب على البنوك إجراء تقييم دوري لنقاط الضعف وتمارين اختبار القلم على جميع الأنظمة الحيوية، وخاصة تلك التي تواجه الإنترنت.

تقوم xviGil بإجراء اختبارات دورية

تُجري xviGil تقييمات ضعف المستوى الأساسي، بالإضافة إلى تمارين اختبار القلم، كل يوم. وينبه البنوك لاحقًا إلى المنافذ المفتوحة، وقوائم SSL التي تم تكوينها بشكل خاطئ، وحاويات S3 المتسربة، وثغرات XSS.

12. الطب الشرعي

يجب على البنوك اتخاذ الترتيبات اللازمة للتحقيق الجنائي ما لم يكن لديها دعم.

تقدم CloudSek خدمات الطب الشرعي والدعم

تقدم CloudSek خدمات الطب الشرعي، إلى جانب الدعم غير المحدود.

13. التكامل الخارجي

أثناء تقديم الخدمات للعملاء، يشارك العديد من أصحاب المصلحة بشكل مباشر أو غير ذلك. تجربتهم لا غنى عنها. إلى جانب ذلك، فإن تكاملها مع أدوات متعددة من شأنه أن يمنح المؤسسات عرضًا للمشهد الأمني بأكمله. وبالتالي، تشجيع اتخاذ قرارات أفضل.

يمكن دمج XviGil بكل سهولة

يمكن دمج xviGil بسهولة مع العديد من منصات SIEMS و SOAR وغيرها من المنصات. وبالتالي إعطاء البنوك رؤية واحدة للمشهد الأمني بأكمله.