即便在普通人眼里,2023年金融业的动荡不安也是显而易见,比如3月硅谷银行倒闭引发了对金融体系稳定性一连串的恐慌。尽管近几个月来普遍的经济担忧逐渐平息,但金融业在进行转型和保持数字化的同时,仍然面临着巨大压力,同时还要保护日益遭受攻击的全球互联的业务系统网络。在这篇博文中,我们将简要探讨当今金融业面临的三大网络威胁并分享可执行的建议。
01
勒索软件
勒索软件并不是新鲜事,但这类攻击继续以无情的速度造成大规模破坏。报告估计,汇总全球自2018年以来的数据,金融业因勒索软件攻击造成宕机的经济影响高达323亿美元。更令人担忧的是,有报道称发生在金融业的勒索软件攻击正在增加。据SOCRadar在2023年上半年的统计,在勒索软件攻击的前十大目标行业中,金融业排名第7。
虽然上述整体趋势令人不安,但是组织机构可以通过切实可行的措施改善安全态势。我们的建议不是开创性的,而是基础性的作法,在组织机构将注意力转移到更先进的下一代解决方案时,这些作法往往被忽视。
1)评估你的风险:执行勒索软件风险评估,以确定需要进一步修正的差距。互联网上有评估组织机构内部的准备情况的免费工具。
2)保持好的网络安全习惯:持续更新资产清单,定期安装安全补丁,以及主动执行漏洞扫描程序。
3)强化权限访问控制:根据最小特权原则限制对技术资源的访问,并在利用每一个机会强制执行多因素认证(MFA)。
4)保护你的数据:在通过网络分段阻止内部数字资源被一览无余的同时,定期执行离线备份并定期进行备份恢复测试。
5)测试你的计划:在事故发生前,借助桌面推演(table-top exercises)手段,让技术和业务的利益相关者聚在一起测试真实世界的场景和进行决策。
02
供应链
早在2020年,对SolarWinds 的大规模黑客攻击使软件供应链安全成为当年的网络安全焦点,成千上万的用户不知不觉中下载受感染的软件更新。SolarWinds遭遇的复杂攻击策划之精心、执行之隐秘和长久,以致于我们可能永远无法全面理解其造成的影响。SolarWinds事件发生后不久,美国软件开发商Kaseya受到零日漏洞攻击,导致大量的托管服务提供商(MSP)使用的软件受影响,进一步波及这些托管服务提供商的用户。
快进到2023年,我们继续在头条新闻中看到对供应链攻击的报导。最近,数百个组织机构声称受到MOVEit的零日漏洞影响,MOVEit是一种被广泛使用的文件传输程序。迄今为止,报告的受害者组织数量已超过400家,其中不少在金融业。据SC Media称,按照供应链中复杂的关系网络推算,受影响的组织预计可多达73,000个。在MOVEit漏洞的影响持续扩大的同时,另一起供应链攻击备受关注,至少两家银行因使用恶意的开源软件组件受到攻击。
对供应链的攻击揭示了这样的事实:软件开发生命周期(SDLC)如果缺乏严格安全措施和测试标准,那是十分脆弱的。组织机构某种程度上在供应商面前显得无助,以确保执行适当的标准,保障软件开发基础设施安全和主动识别漏洞。尽管如此,组织机构仍可以采取以下措施维护自身权益和追究供应商的责任。
1)对供应商的尽职调查:评估与供应商相关的历史、财务稳定性和安全风险,并审查相关的提升鉴证能力的独立第三方审计报告。
2)合同条款的谈判:尽可能通过合同条款使组织机构处于有利的位置追究供应商的责任,当信息安全事件发生时保障自身权益。
3)对供应商表现的监控:定期评估供应商对书面约定的要求的执行情况和考虑对第三方的安全态势的持续监控。
4)限制供应商的权限:通过特权访问管理(PAM)解决方案控制和监控供应商的访问,避免授予供应商对网络的不受限制的访问权限。
03
网络钓鱼
说到网络威胁必然逃不开网络钓鱼,这种威胁仍然是一种非常普遍和成熟的攻击形式,通常伴随着社会工程学的元素。网络钓鱼的威胁不能完全通过控制的措施进行应对,因此阻止网络钓鱼攻击最终取决于人的因素。不幸的是,网络钓鱼攻击经常得逞,因为人们经常在走神或者手忙脚乱的时候中招。根据Verizon的2023年数据泄露调查报告,74%的泄露涉及人为因素。
遗憾的是,金融业似乎是最常受攻击的行业之一。根据APWG的网络钓鱼活动趋势报告,2022年是有记录以来最高的一年,总共录得470万次网络钓鱼攻击,其中 27.7%专门针对金融业。网络钓鱼攻击的数量不断增加的同时,逃避检测的能力也在提升。生成式人工智能为攻击者提供了一种新工具,可以滥用和制作没有所有常见指示(例如拼写错误、语法错误)的网络钓鱼电子邮件。除了大多数组织机构应当已经实施的现成的技术控制之外,我们还提供了其他可以帮助用户避免成为最脆弱的一环。
1)不断强化信息安全培训:定期组织网络钓鱼预防活动,包括小提示和培训的宣贯,这有助于教会大多数员工遇到疑点时保持谨慎。
2)标记外部电子邮件:对所有的外部电子邮件添加一个简单标记,使终端用户一眼就能清楚地识别这封邮件来自外部。
3)密切留意品牌仿冒:考虑增加服务,主动监控网络上是否有任何可能针对员工或客户的品牌仿冒的迹象。