越來越多的大型銀行開始擔心，它們的零售伙伴可能忽視防止金融崩潰的網(wǎng)絡安全保護措施。

網(wǎng)絡攻擊始于混亂。習慣于對價格和利率的變化迅速反應的很多銀行交易員表示有些交易難以完成。尋求幫助的電子郵件沒有得到回復，一部分原因是系統(tǒng)癱瘓，一部分原因是IT部門更關心的是似乎在其數(shù)據(jù)庫中肆虐的惡意軟件，而不是其交易市場的完整性?？赡茉趲讉€小時內(nèi)，關于貸款協(xié)議、對沖模型、經(jīng)常賬戶余額以及其他更神秘的金融信息的大量數(shù)據(jù)由于遭到網(wǎng)絡攻擊而丟失，而銀行董事會只剩下希望和祈禱，希望這些記錄可能保存在任何存儲媒介和任何地方，哪怕只有一小部分。

這是金融領域IT安全專業(yè)人員的噩夢：一家大型銀行可能由于黑客精心策劃的網(wǎng)絡攻擊而瀕臨崩潰。這種災難的后果通常在電影和電視劇中描述，但各國央行現(xiàn)在加強了網(wǎng)絡安全方面的行動。去年秋天，英格蘭銀行(BoE)強調(diào)了其定期進行的網(wǎng)絡安全演習的重要性，并宣布網(wǎng)絡攻擊是對英國金融部門完整性的最大威脅。從澳大利亞到巴林，各國銀行都進行了類似的演習。

這樣的演習并不罕見，各國央行經(jīng)常指責它們的零售伙伴忽視了網(wǎng)絡安全。但近年來，威脅環(huán)境迅速發(fā)生了變化。復雜的國際環(huán)境和地緣沖突讓人們注意到，一些國家完全有能力發(fā)動復雜的網(wǎng)絡攻擊，以推進自己的國家目標。這些國家通常與網(wǎng)絡犯罪集團結盟，并在尋找有利可圖的目標進行攻擊。

在這方面，銀行對于網(wǎng)絡攻擊者來說越來越具有吸引力。多年來，金融機構將良好實踐定義為確保自己的系統(tǒng)得到良好保護。與此同時，很多銀行忽視了這樣一個事實：它們外包給第三方的系統(tǒng)越來越容易被顛覆。英國格洛斯特郡大學網(wǎng)絡安全教授、英國央行前首席信息安全官Buck Rogers表示：“我認為，各國的央行正面臨來自政府的壓力，要求它們加強網(wǎng)絡安全。實際上，金融基礎設施現(xiàn)在是至關重要的基礎設施，我們需要像對待天然氣和電力一樣對待它。我認為，人們擔心的是，這些東西在什么時候會具體化，從而對各國的經(jīng)濟產(chǎn)生影響?”

并非所有的央行都有這些擔憂。國際貨幣基金組織最近的一項研究發(fā)現(xiàn)，在其調(diào)查的51個金融管轄區(qū)中，有一半以上沒有針對金融業(yè)的國家網(wǎng)絡戰(zhàn)略，64%的管轄區(qū)沒有強制要求進行網(wǎng)絡安全測試，甚至沒有就銀行被黑客入侵之后應該如何做給出指導。此外，那些組織網(wǎng)絡安全演習的國家往往把注意力集中在錯誤的威脅類型上，Contrast Security公司網(wǎng)絡戰(zhàn)略高級副總裁Tom Kellermann表示，“他們真正關注的是拒絕服務攻擊。我不認為這是最壞的情況?！?/p>

需要了解網(wǎng)絡安全面臨的風險

將金融服務業(yè)歸類為易受網(wǎng)絡攻擊的行業(yè)，乍一看似乎有悖常理。畢竟，現(xiàn)在大多數(shù)銀行業(yè)務都是在網(wǎng)上進行的：因此，確保銀行和客戶之間的網(wǎng)絡線路保持安全已成為開展業(yè)務的必要條件。Rogers表示，這種態(tài)度有助于金融行業(yè)保持在網(wǎng)絡安全實踐的前沿，主要是因為他們樂于在這個問題上投入大量資金，這是正確的措施，以使其變得更好。

英國央行最近進行的一項調(diào)查發(fā)現(xiàn)，74%的銀行業(yè)高管認為，網(wǎng)絡攻擊對他們的業(yè)務構成了最大威脅。不過，讓Rogers擔心的是，這些高管中有許多人并不完全理解他們所獲得的關于如何最好地預防這種情況的建議。Rogers說，“他們是否了解相關的風險管理，是否有適當?shù)木徑獯胧┖土鞒虂砉芾盹L險?”

不理解的后果可能會導致金融機構內(nèi)部關于網(wǎng)絡安全的決策過程發(fā)生扭曲。Rogers說，“銀行的安全決策甚至由非安全人員做出。例如，首席財務官可能決定將人力資源部門的一部分業(yè)務外包給第三方軟件提供商。除非是資深的首席網(wǎng)絡安全官，否則這個決定可能會是錯誤的。突然之間，銀行可能就會面臨供應鏈的風險?！?/p>

Rogers補充說，這是一個隱藏的威脅，但行業(yè)內(nèi)外并沒有人真正意識到這一點。盡管銀行投入了大量的資金來加強網(wǎng)絡安全，進而提升零售客戶對其業(yè)務的信心，但其中很大一部分涉及將關鍵服務外包給第三方。Kellermann表示：“他們正在擁抱金融科技、API、現(xiàn)代應用程序和多云戰(zhàn)略。因此，他們的攻擊面變得更大了。”

例如，對Solarwinds公司這樣的托管服務提供商(MSP)進行攻擊，可能會在一夜之間使多家金融機構的運營陷入癱瘓。Ion Cleared Derivatives公司每天提供處理數(shù)百萬筆期貨交易的軟件，其中一起違規(guī)事件導致該交易市場癱瘓數(shù)日。通過網(wǎng)絡攻擊構成多個銀行系統(tǒng)之間API，為它們提供多向訪問，也可以達到同樣的目的。Kellermann感嘆道，“沒有人關注API安全!盡管這樣的黑客攻擊在2022年同比增長了257%。 ”

他繼續(xù)說，黑客還可以通過更陰險的方式對銀行施加影響。Kellermann說：“如今，大多數(shù)網(wǎng)絡犯罪的陰謀不僅僅涉及電匯、欺詐或勒索軟件。他們真正關注的是針對非公開市場信息，劫持各機構組織的數(shù)字化轉(zhuǎn)型，利用勒索軟件進行攻擊?！边@些所謂的水坑攻擊，即完全合法的在線基礎設施被網(wǎng)絡犯罪分子的惡意軟件所損害，這一直困擾著很多機構和組織，尤其是現(xiàn)在深陷于長達數(shù)十年的數(shù)字升級中的許多銀行。

這些類型的網(wǎng)絡攻擊無疑是復雜的，但并不超出流氓國家的能力，他們將西方金融部門視為一個特別脆弱的目標。Kellermann說：“他們可以利用網(wǎng)絡犯罪團體的攻擊，從而讓金融機構損失慘重?！彼a充說，一些國家的黑客組織已經(jīng)針對西方主要金融機構發(fā)起了十幾次破壞性的網(wǎng)絡攻擊，只是因為英國和美國情報部門在適當?shù)臅r候共享了關鍵情報才被挫敗。

Kellerman說，“這是我們沒有看到它發(fā)生的唯一原因，但他們嘗試攻擊了14次。”

簡而言之，銀行業(yè)高管需要了解他們面臨的威脅要復雜得多。

最佳的壓力測試

如果這些網(wǎng)絡攻擊以另一家托管服務商為目標，或者更糟的是以此為跳板，進入銀行更有利可圖的部門，可能是為了勒索銀行機構，或者泄露敏感信息，會發(fā)生什么? Rogers解釋說，就后果而言，最壞的情況將是公眾對金融部門本身的信心普遍喪失。雖然最初的后果可能很容易通過部署IT安全團隊和偶爾的救助來彌補，但其政治影響可能是大規(guī)模和持久的。

事實上，最近硅谷銀行的倒閉就證明了這種情況，Rogers解釋說：“美國一家科技銀行倒閉，突然間這可能讓英國首相介入，考慮匯豐銀行將會如何收購這家銀行?！?/p>

Rogers表示，任何對銀行網(wǎng)絡安全彈性的壓力測試都需要考慮，網(wǎng)絡攻擊面已經(jīng)發(fā)生了根本性的變化，對第三方軟件提供商的依賴不會消失。他說，“我敢肯定，大公司會有成千上萬的關鍵第三方。未來的壓力測試應該包括央行量化和提高對這種風險的認識，以及他們是否有B計劃和C計劃”。

這需要比以往任何時候都更深入到供應鏈中。Rogers表示，大多數(shù)大型銀行在頂級關鍵供應商方面都做得很好，無論他們在哪里。他擔心的是那些低于門檻的銀行。金融機構應該誠實地認識到，如果這些規(guī)模較小的服務被黑客破壞，影響會有多嚴重。

一些國家機構在這方面已經(jīng)采取了一些立法行動：例如，歐洲議會最近通過了《數(shù)字操作彈性法案》，要求銀行對其第三方安全供應商的網(wǎng)絡安全負責。Rogers認為，將所有不同的網(wǎng)絡安全壓力測試標準結合起來，或許也會有所幫助。這呼應了G20集團金融穩(wěn)定委員會的類似呼吁。至少對跨國銀行來說，就這些規(guī)則之間的共性達成一項國際協(xié)議，可能會極大地改變它們在某國發(fā)生違規(guī)行為、但對它們在其他國家的業(yè)務產(chǎn)生影響時的定位。

Kellermann強調(diào)，銀行還需要從根本上重新思考他們?nèi)绾卧O計基本的網(wǎng)絡安全策略。他們應該不再只考慮保護自己的場所，或者他們總能成功地防止黑客窺探他們的系統(tǒng)。Kellermann說：“他們確實需要顛覆安全模式，從內(nèi)部進行防御，并真正專注于網(wǎng)絡入侵防御?！?/p>

這必然涉及在應用程序的運行時保護、網(wǎng)絡和基礎設施的微分段、擴展的檢測響應服務以及最重要的人員方面增加投資。Kellermann認為，如果銀行找不到優(yōu)秀的員工(人們可能聽說過全球IT安全技能短缺)，那么他們能做的最佳選擇就是聘請一家專門從事金融網(wǎng)絡安全的托管檢測和響應公司。而且，他們不應該害怕在傳統(tǒng)上被大多數(shù)安全團隊視為禁區(qū)的地方尋找網(wǎng)絡攻擊者，例如高管每天使用的電腦。

Rogers還認為，信息交換也需要改進。銀行可以組織會議或論壇討論威脅行為者和攻擊媒介，但他們需要以更系統(tǒng)的方式利用這些論壇。Rogers表示，銀行需要正確地使用它們。

不過總的來說，Rogers對西方金融機構能夠而且將會齊心協(xié)力抱有希望。他對英國監(jiān)管機構的態(tài)度尤其感到鼓舞，他認為，在金融領域的網(wǎng)絡安全問題上，英國監(jiān)管機構一直在高度關注。他解釋說，如果金融行業(yè)能做到這一點，它能夠為其他關鍵基礎設施的管理者提供一個積極的榜樣，讓他們開始重新評估威脅狀況。不過，與此同時，銀行之間需要就面臨的威脅進行溝通。

Rogers說，“我的建議是，讓我們更多地進行溝通，交換信息，我們需要更專業(yè)?！?/p>