周二,英格兰央行执行理事安德鲁·格雷西在英国银行家协会发表讲话,正式启动了一个新框架,帮助识别金融部门可能容易受到网络攻击的领域。金融政策委员会(FPC)建议检测并且提高对网络攻击的抵抗能力,新框架的启动是英格兰央行做出回应的一部分。
“网络安全监测”(CBEST)新框架提供以下帮助:这个新框架称作“网络安全检测”(CBEST),该框架使用政府和可信任的商业供应商提供的情报,对特定金融机构的潜在攻击者进行识别。然后,复制这些潜在的攻击者所使用的技术,从而测试它们在多大程度上能够成功地渗透机构的防御系统。测试完成之后,公司将会举办研讨会,届时测试者和监管机构共同验收测试结果。
获得网络威胁的情报,这些情报来自于经过严格评估标准审查的可靠组织;
提供知识渊博的、技能娴熟的、有能力的网络攻击情报分析师,这些分析师们非常了解金融服务业;
进行真实的网络渗透测试,这些测试所模拟的熟练网络攻击是基于目前有针对的网络威胁情报;
提供标准的关键性能指标,这些指标可以用于评估组织机构检测和应对网络攻击的娴熟程度;
访问基准信息,这些信息可以用于评估金融服务行业的其他部门。
一家公司将通过以上帮助了解他们的薄弱领域。然后,他们将做好更好的准备,实施补救计划。囊括特定的网络威胁情报将确保测试尽可能模拟最新的网络攻击,因此仍然是相关的。
“网络安全监测”(CBEST)新框架不同于金融服务行业正在进行的其他安全测试,因为该框架使用了真正的网络威胁情报,并且关注的是对关键系统和基本服务更熟练的持续攻击。“网络安全监测”新框架的实施,有助于金融公司董事会、基础设施提供商和监管者了解网络攻击的类型、英国金融部门在多大程度上容易受到这些攻击,以及这些检测和修复过程的有效性。这些网络攻击最终将会破坏英国的金融稳定。
安德鲁·格雷西在讲话中指出:“‘网络安全检测’新框架的想法是,从政府和世界其他地方汇集最好的网络威胁信息,针对商业模式以及个别公司的运营,在有限的环境下进行真实模拟测试。测试结果将直接显示该公司抵御网络攻击的能力,这些网络攻击基于当前的威胁信息,最有可能对金融稳定产生不利影响。”
英格兰央行和注册道德安全测试员委员会(CREST)共同制定新的认证标准。该委员会是一个非营利性机构,其代表了技术信息安全产业和数码印象(DigITal Shadows)公司。商业网络情报提供者将首次受到认证标准的审查。