近年來，零日漏洞的不斷加劇、勒索軟件的越發(fā)猖獗以及各種安全威脅的持續(xù)升級，使網(wǎng)絡(luò)安全形勢變得愈加嚴峻。金融服務(wù)業(yè)作為前沿技術(shù)的最佳踐行者，面臨的網(wǎng)絡(luò)安全問題更加嚴重復(fù)雜。尤其在新冠疫情期間，移動銀行應(yīng)用程序、移動客戶服務(wù)以及其他數(shù)字工具迅速得到了普及。

根據(jù)思科 CISO 基準研究數(shù)據(jù)表明，2020 年有17% 的公司每天都會收到 10萬 個或更多的安全警報，這一趨勢在疫情發(fā)生后仍在繼續(xù)。數(shù)據(jù)還顯示，2021 年的常見漏洞和暴露數(shù)量創(chuàng)下歷史新高，達到20141個，超過了 2020 年 18325 個的記錄。

據(jù)Adobe 2022 年 FIS 趨勢報告顯示，在接受調(diào)查的金融服務(wù)和保險公司中，有超過一半的公司的移動用戶在 2020 年上半年都出現(xiàn)了顯著增長。此外，報告還發(fā)現(xiàn)，有十分之四的財務(wù)高管表示數(shù)字和移動渠道占其銷售額的一半以上，并預(yù)計這種趨勢將在未來幾年內(nèi)持續(xù)下去。

隨著數(shù)字化進程的加速，金融機構(gòu)迎來了更多的機會以更好地為客戶服務(wù)，但同時也更容易受到安全威脅。每個新工具都會增加新的攻擊面，也會導(dǎo)致出現(xiàn)更多的潛在安全漏洞。

據(jù)IBM曾發(fā)布的數(shù)據(jù)顯示，2021年全球金融業(yè)所遭受的網(wǎng)絡(luò)攻擊占其所修復(fù)攻擊的22.4%，在行業(yè)排名中位居第二。而在這些網(wǎng)絡(luò)攻擊中，排在首位的是網(wǎng)絡(luò)釣魚攻擊，占比46%，漏洞利用則排在第二，占比為31%。其他類型還包括暴力破解、虛擬專用網(wǎng)絡(luò)（VPN）訪問、遠程桌面協(xié)議、可移動介質(zhì)等。

金融業(yè)的數(shù)字化增長并沒有因安全威脅的增加而停止。因此金融機構(gòu)的網(wǎng)絡(luò)安全團隊需要一些有效方法來準確、實時地了解其攻擊面，從而確定最容易被利用的漏洞并優(yōu)先對其進行修補。

傳統(tǒng)安全驗證方法

以下為金融機構(gòu)用來評估其安全狀況的幾種傳統(tǒng)的技術(shù)：

破壞和攻擊模擬

破壞和攻擊模擬 (BAS) 通過模擬攻擊者可能使用的潛在攻擊手段來幫助識別漏洞。這允許動態(tài)控制驗證，但是只是基于代理的，很難部署。它還將模擬限制在一個預(yù)先定義的劇本中-這就意味著攻擊范圍存在不完整性。

手動滲透測試

手動滲透測試允許查看銀行的控制如何抵御現(xiàn)實世界的攻擊，同時提供攻擊者視角的附加輸入。但是這個過程的成本可能會非常高昂，時間周期也可能會很長，每年最多只能完成幾次，這也就意味著它無法提供實時洞察力。此外，測試結(jié)果始終取決于第三方滲透測試人員的技能和范圍。如果測試人員在滲透測試期間漏掉了一個漏洞，它可能會一直不被檢測到，直到被攻擊者利用。

漏洞掃描

漏洞掃描是對公司網(wǎng)絡(luò)的自動化測試，可以根據(jù)需要隨時安排和運行。但是它的匹配方式比較傳統(tǒng)，它根據(jù)版本信息的變化來確認漏洞是否存在，如果漏洞已被修復(fù)，而版本信息未同步更新，則會導(dǎo)致誤報。在大多數(shù)情況下，網(wǎng)絡(luò)安全團隊只會收到掃描檢測到的每個問題的 CVSS 嚴重性等級，然后將其修復(fù)。另外，漏洞掃描還存在警報疲勞的問題。面對大量需要處理的安全威脅，金融機構(gòu)的安全團隊需要專注于那些對業(yè)務(wù)產(chǎn)生最大影響的可利用漏洞。

安全驗證新希望

自動安全驗證(ASV) 提供了一種全新且準確的方法。它是聚焦合規(guī)咨詢之上的安全全生命周期運營的驗證、補救、預(yù)防、監(jiān)測、響應(yīng)、恢復(fù)和持續(xù)性跟蹤，以實現(xiàn)完整的攻擊面管理。

ASV 可以提供持續(xù)覆蓋，使金融機構(gòu)能夠?qū)崟r了解其安全狀況。此外，由于它模擬了現(xiàn)實生活中攻擊者的行為，因此它比基于場景的模擬要更加深入。

不言而喻，金融機構(gòu)需要更高級別的安全措施來保護其客戶的數(shù)據(jù)，同時還要符合相關(guān)合規(guī)標準。

以下是可參考的一些金融機構(gòu)遵循的路線圖：

1）了解攻擊面

繪制其面向 Web 的攻擊面，他們對自己的域、IP、網(wǎng)絡(luò)、服務(wù)和網(wǎng)站有了完整的了解。

2）挑戰(zhàn)攻擊面

使用最新的攻擊技術(shù)安全地利用映射的資產(chǎn)，發(fā)現(xiàn)完整的攻擊向量，包括內(nèi)部和外部。這為他們提供了所需的知識，以了解什么是真正可利用的并且值得進行修復(fù)的資源。

3）確定漏洞修復(fù)的優(yōu)先級

通過利用攻擊路徑模擬，他們可以精確定位每個安全漏洞對業(yè)務(wù)的影響，并對每個經(jīng)過驗證的攻擊向量的根本原因進行重視。這為他們的團隊提供了一個更容易遵循的路線圖來保護他們的機構(gòu)。

4）執(zhí)行修復(fù)路線圖

根據(jù)具有高性價比的修復(fù)清單，金融機構(gòu)正在授權(quán)其安全團隊解決漏洞并衡量他們的努力對其整體 IT 狀況的影響。

如今，在日益嚴峻的網(wǎng)絡(luò)安全形勢下，安全威脅已貫穿到金融機構(gòu)規(guī)劃、設(shè)計、開發(fā)、測試、運維等業(yè)務(wù)運營的全生命周期中，只有不斷革新安全技術(shù)、升級安全工具、提升自身的攻防能力，才能守好每一道安全防線。?