Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

服务于服务者:为什么保护 Web 服务对于 USSA 至关重要

作者:Jason Compton

任何在全球拥有数百万会员的金融机构都面临着重大的网络安全挑战。作为美国军方成员的独家提供商,USAA 面临着直接来源于其成员在保卫国家的工作方面产生的额外复杂性。

这家总部位于德克萨斯州的公司为 1200 万现役和退役的军人及其家人提供银行、保险和投资服务。军事人员部署在世界各地,无论军人会员何时何地需要业务服务,USAA 都有望提供快速可靠的在线体验。

由于许多现役军人面临财务挑战,USAA 致力于通过确保会员始终享有金融服务,最大限度地减少他们对金钱问题的担忧。整个组织都敏锐地感受到这种需求。

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
在 USAA 公司,首席信息官和首席安全官在组织图中具有同等地位。

军人承受的压力

由于可用性具有高优先级,USAA 是在考虑正常运行时间的前提下做出所有安全决策。

“我们是一家数字化组织,提供永远在线、始终连接的服务对我们至关重要,”USAA 首席安全官 Gary McAlum 说,“如果出现安全问题,我们会谈论对会员体验的影响,无论是影响一位会员还是全体会员。”

McAlum 是该公司的第一位首席安全官。在七年前担任该职位之前,他曾在美国空军服役 25 年,其中大部分时间是在国防部的网络安全部门。

在 USAA 公司,McAlum 负责保护企业免受安全性、连续性和合规性方面的所有威胁 — 从大规模网络攻击到小规模欺诈。在为 USAA 及其会员设计保护措施时,例如采用最新推出的多重身份验证,他考虑了大多数会员已经完成了哪些保护行动。

USAA 知道很大一部分会员是深度数据泄露的受害者:超过 2000 万联邦和军事人员在美国人事管理办公室遭受的袭击中受到影响。泄密者将个人信息交给犯罪分子,可被用来侵入现有的金融账户或以欺诈手段开设新账户。McAlum 和他的家人是众多受害者之一。

“我们常常认为军人比其他人更容易受到攻击。他说,社会上一直存在着欺骗和剥削军人的犯罪情况。“因此,我们将重点放在给予教育和提高意识方面,包括增强对网络钓鱼攻击的认识。”

承受大规模攻击

在抵御单个诈骗者的同时,USAA 还必须在面对组织良好的庞大网络攻击时保持业务安全和正常运营。USAA 成为 2012 至 2013 年针对美国金融机构的分布式拒绝服务 (DDoS) 网络攻击“燕子行动”的目标。

USAA 提前获知了这次蓄谋攻击。在评估了 Akamai 提供的网络基础设施后,USAA 确信这次攻击不会损害会员服务。事实证明该预测是正确的。Akamai 采取保护措施转移了大部分流量,否则可能会破坏关键服务。

DDoS 攻击通常针对将域名(如 USAA.com)解析到托管服务器的独立域名服务器 (DNS)。攻击 DNS 之后,合法的流量便无法找到企业。使 DNS 分布在 Akamai 广泛的网络中有助于防范该威胁。

“对我们而言,两个预期的攻击日都没有出现。我们看到一个活动高峰,然后就消散了,”McAlum 说,“Akamai 的网络为我们提供了一个很宽敞的‘前门’,能够非常轻松地消除 DDoS 攻击。”

执行力文化如何影响安全性

考虑到任何安全主管都需要与其他高管紧密协调,USAA 设计了完全独立的、与顶层高级领导密切关联的首席安全官办公室。

“我们想要设立安全预算和问责制,”他说,“现在,从安全到调查再到业务延续,一切都属于我领导的安全小组的管辖。”

在 USAA 公司,首席信息官和首席安全官在组织图中具有同等地位。McAlum 说,这两者并不需要费力寻找共同点,而是有很多共同之处。

“按照董事会的宗旨,我们公司的文化是我们必须始终能为会员提供服务。”他说。

合作关系正在发挥作用:USAA 每年的数字化交易约为 14 亿次,将会继续避免出现重大事故。

由于备受关注的数据泄露保持稳定控制,McAlum 认为公司的稳定性和独特的 CSO-CIO 合作关系可以成为其他公司的典范。

“我们将继续与内部的首席信息官密切合作,因为我们都明白,如果我们的产品和服务无法提供给客户或受到损害,对大家都不利。”他说。

Jason Compton 是一位在企业科技方面有着丰富经验的作家和记者。他是 CRM 杂志的前执行主编。

Related CIO Content