?根據(jù)英格蘭銀行日前進行的一次系統(tǒng)性風(fēng)險調(diào)查，79%的調(diào)查參與者認(rèn)為，網(wǎng)絡(luò)攻擊是英國金融體系中最常見的風(fēng)險。應(yīng)該指出的是，在俄烏沖突之前進行的一項調(diào)查中，也提到了此類事件風(fēng)險增加的警告。除了連續(xù)第二年成為銀行業(yè)的頭號威脅之外，網(wǎng)絡(luò)攻擊還被確定為65%參與調(diào)查的金融業(yè)公司面臨的最具挑戰(zhàn)性的風(fēng)險。為了更好地抵御潛在的網(wǎng)絡(luò)攻擊，金融機構(gòu)需要開始對網(wǎng)絡(luò)安全、風(fēng)險和彈性進行不同的思考。為什么會這樣?物聯(lián)網(wǎng)和其他運營技術(shù)設(shè)備已經(jīng)大規(guī)模地擴大了金融行業(yè)的攻擊面，同時出現(xiàn)了多重防御盲點，是一個不為人知的安全挑戰(zhàn)。

無法確保擺脫網(wǎng)絡(luò)風(fēng)險和彈性泥潭

當(dāng)談到網(wǎng)絡(luò)風(fēng)險和彈性時，只擁有“網(wǎng)絡(luò)保險”是不夠的。在其最新發(fā)布的彈性業(yè)務(wù)報告中，英格蘭銀行證實，就網(wǎng)絡(luò)而言，網(wǎng)絡(luò)保險的缺口仍然很大，網(wǎng)絡(luò)風(fēng)險造成的損失有90%沒有投保。如果這不能讓人相信加強網(wǎng)絡(luò)風(fēng)險管理最佳實踐應(yīng)該是一項業(yè)務(wù)重點的話，那么今后將會如何應(yīng)對?

英國金融行為監(jiān)管局(FAC) 將運營彈性定義為“企業(yè)、金融市場基礎(chǔ)設(shè)施和金融部門預(yù)防、適應(yīng)和應(yīng)對、恢復(fù)和從運營中斷中學(xué)習(xí)的能力”。正如該機構(gòu)指出的，這種“吸收沖擊而不是使其復(fù)合”的能力至關(guān)重要。作為英國金融行為監(jiān)管局(FAC)規(guī)則和指南的一部分，其適用于銀行、建筑協(xié)會、英國央行審慎監(jiān)管局(PRA)指定的投資公司、保險公司、認(rèn)可的投資交易所、增強范圍的高級管理人員和認(rèn)證制度公司，以及根據(jù)2017年支付服務(wù)條例授權(quán)和注冊的實體和2011年電子貨幣條例授權(quán)和注冊的實體。從2022年3月31日起，且不遲于2025年3月31日，這些實體必須進行必要的投資，以在其影響容限內(nèi)持續(xù)運營。英國金融行為監(jiān)管局(FAC)與英國央行審慎監(jiān)管局(PRA)建議，為了在較高水平了解網(wǎng)絡(luò)彈性，企業(yè)需要能夠回答以下問題：如何識別和保護關(guān)鍵資產(chǎn)?如何檢測和應(yīng)對事件以便恢復(fù)業(yè)務(wù)并從中吸取經(jīng)驗?

了解企業(yè)技術(shù)債務(wù)并查找網(wǎng)絡(luò)安全盲點

可以明確的一點是：絕對不是說金融機構(gòu)內(nèi)部的IT安全通常不完善。但是，當(dāng)開始深入研究物聯(lián)網(wǎng)和其他運營技術(shù)(例如建筑管理系統(tǒng))為網(wǎng)絡(luò)安全領(lǐng)域帶來的設(shè)備細節(jié)時，事情開始變得有些模糊。事實上，金融機構(gòu)采用的任何帶有互聯(lián)網(wǎng)網(wǎng)關(guān)的設(shè)備都可能帶來額外的風(fēng)險，這是另一個弱點。特別是如果這些機構(gòu)沒有充分評估這些硬件和軟件的支持水平或缺乏支持，那么這些硬件和軟件可能會被認(rèn)為是一個有待被網(wǎng)絡(luò)攻擊者利用的漏洞。

這種“技術(shù)債務(wù)”可以被視為增加的一種安全成本，其中傳統(tǒng)設(shè)備或者不再受支持，或者即將失去安全更新和漏洞補丁的安全網(wǎng)，并且會影響防御能力。例如，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全商Armis公司曾經(jīng)進入并掃描了一家金融機構(gòu)的環(huán)境，結(jié)果卻發(fā)現(xiàn)該機構(gòu)所依賴的思科系統(tǒng)反過來又依賴于即將淘汰的技術(shù)。不幸的是，即使在高度監(jiān)管的金融服務(wù)領(lǐng)域，這種缺乏可見性以及因此無法正確評估業(yè)務(wù)安全風(fēng)險的情況也并不罕見。

可見性是擴展網(wǎng)絡(luò)安全和提高業(yè)務(wù)彈性的關(guān)鍵

重要的是，不僅要了解哪些資產(chǎn)構(gòu)成了“隱藏基礎(chǔ)設(shè)施”的一部分，而且還要認(rèn)識到它們在業(yè)務(wù)中的作用、誰可以訪問它們以及它們自己擁有什么訪問權(quán)限。問題在于，當(dāng)人們談?wù)撐锫?lián)網(wǎng)時，傳統(tǒng)的IT安全工具、策略和流程不太可能實現(xiàn)“什么、在哪里、誰和如何”的要求。這可能是供應(yīng)鏈中的物聯(lián)網(wǎng)和安全攝像頭等，可能由外部承包商管理但仍構(gòu)成企業(yè)業(yè)務(wù)不斷擴大的攻擊面一部分的事物。

信息技術(shù)和運營技術(shù)的融合，以及跨越邊界的業(yè)務(wù)網(wǎng)絡(luò)和控制系統(tǒng)，都對金融機構(gòu)的數(shù)字化轉(zhuǎn)型非常有利;和其他技術(shù)一樣，它們也會帶來額外的網(wǎng)絡(luò)風(fēng)險。因此需要一個資產(chǎn)視圖，它可以跟蹤每臺設(shè)備，實時審計和驗證企業(yè)中的每個環(huán)境。通過獲得每項資產(chǎn)的統(tǒng)一和多維視圖，包括以前看不見或管理不善的資產(chǎn)，可以更好地檢測和緩解網(wǎng)絡(luò)威脅。在降低企業(yè)風(fēng)險時，需要這樣的可見性來提供清晰度。

但是，這一解決方案也需要是被動的，以便在提供與現(xiàn)有工具的集成的同時，不可能中斷日常操作。將其視為網(wǎng)絡(luò)資產(chǎn)情報，發(fā)現(xiàn)并識別真實風(fēng)險，以便主動緩解威脅。這是一種不同于常規(guī)的思維方式，但也許現(xiàn)在是人們需要以不同的方式思考網(wǎng)絡(luò)安全、風(fēng)險和彈性的時候了。