近日，Akamai 發(fā)布了新一期的《互聯(lián)網(wǎng)現(xiàn)狀》報(bào)告，報(bào)告標(biāo)題為“創(chuàng)新遭遇高風(fēng)險(xiǎn)：金融服務(wù)業(yè)的攻擊趨勢”。該報(bào)告重點(diǎn)介紹了以下內(nèi)容：亞太地區(qū)及日本的金融服務(wù)業(yè)仍然是全球遭受攻擊最多的行業(yè)之一，2022 年第 2 季度到 2023 年第 2 季度所遭受的 Web 應(yīng)用程序和 API 攻擊數(shù)量增長 36%，總數(shù)超過 37 億次。此外，該報(bào)告還發(fā)現(xiàn)，本地文件包含 (LFI) 仍然是最主要的攻擊媒介，并且針對亞太地區(qū)及日本金融業(yè)的攻擊中有 92.3% 的攻擊以銀行為目標(biāo)，對金融機(jī)構(gòu)及其客戶構(gòu)成了巨大威脅。

由于亞太地區(qū)及日本的金融機(jī)構(gòu)擴(kuò)張并加速數(shù)字創(chuàng)新，針對這些機(jī)構(gòu)的 Web 應(yīng)用程序和 API 攻擊數(shù)量增長 36%

隨著亞太地區(qū)及日本的金融服務(wù)企業(yè)開拓更多渠道并提供更好的客戶體驗(yàn)，它們使用的第三方腳本越來越多，實(shí)際上其占比已達(dá)到了所用腳本總數(shù)的 40%。這些數(shù)據(jù)點(diǎn)表明，隨著各個(gè)企業(yè)（尤其是銀行和以消費(fèi)者為中心的機(jī)構(gòu)）不斷擴(kuò)展其數(shù)字足跡以覆蓋更多客戶并獲得競爭優(yōu)勢，它們也面臨著嚴(yán)重風(fēng)險(xiǎn)。

Akamai亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān) Reuben Koh 表示：“亞太地區(qū)及日本的金融服務(wù)業(yè)是全球最具創(chuàng)新力和競爭力的行業(yè)之一。金融機(jī)構(gòu)越來越多地轉(zhuǎn)為使用第三方腳本，以便快速為客戶增加新產(chǎn)品、功能及交互式體驗(yàn)。但是，通常企業(yè)的監(jiān)測能力有限，無法識別這些腳本的真實(shí)性以及是否存在潛在漏洞，因此會為企業(yè)帶來另一層風(fēng)險(xiǎn)。由于企業(yè)對存在風(fēng)險(xiǎn)的第三方腳本的監(jiān)測能力有限，攻擊者現(xiàn)在可以利用另一種媒介發(fā)動對銀行及其客戶的攻擊?！?/p>

Akamai 的報(bào)告還發(fā)現(xiàn)，2022 年以來亞太地區(qū)及日本的惡意爬蟲程序流量增長了 128%，這凸顯出針對金融服務(wù)業(yè)客戶及其數(shù)據(jù)的攻擊持續(xù)不斷。網(wǎng)絡(luò)犯罪分子使用爬蟲程序提升攻擊的規(guī)模、效率和有效性。在全球范圍內(nèi)，亞太地區(qū)及日本是針對金融服務(wù)業(yè)的惡意爬蟲程序請求的第二大攻擊目標(biāo)區(qū)域，占全球所有惡意爬蟲程序請求數(shù)量的 39.7%。應(yīng)用場景包括抓取網(wǎng)站內(nèi)容以冒充      金融服務(wù)業(yè)品牌的網(wǎng)站來實(shí)施網(wǎng)絡(luò)釣魚騙局，以及通過自動注入所竊取的用戶名和密碼來實(shí)施撞庫攻擊，從而實(shí)現(xiàn)帳戶接管。這表明攻擊者在不斷地發(fā)展其技術(shù)，并且開始專注于攻擊金融服務(wù)業(yè)消費(fèi)者，以獲得最大的投資回報(bào)。

報(bào)告的其他重要發(fā)現(xiàn)包括： 

• Web 應(yīng)用程序和API依然是攻擊者在亞太地區(qū)及日本的首選攻擊媒介，金融行業(yè)遭受的攻擊在此類攻擊中占50%，緊隨其后的是商業(yè) (19.99%) 和社交媒體 (8.3%)。
• 澳大利亞、新加坡和日本是APJ 地區(qū)遭受攻擊最多的三個(gè)國家，所受攻擊總和在所有Web 應(yīng)用程序和API 攻擊中的占比超過四分之三。作為全球金融中心，這些國家的企業(yè)持續(xù)受到大規(guī)模定向攻擊不足為奇。
• 本地文件包含(LFI) 依舊是最主要的攻擊媒介，在所有攻擊中占比為63.2%，而跨站點(diǎn)腳本攻擊(XSS) 和PHP 注入(PHPi) 分列二三，其占比分別為21.3% 和6.32%。在LFI 攻擊中，攻擊者會利用Web 服務(wù)器上不安全的編碼實(shí)踐或?qū)嶋H漏洞來遠(yuǎn)程執(zhí)行代碼或者訪問本地存儲的敏感信息。例如，基于PHP 的陳舊Web 服務(wù)器更容易遭受LFI 攻擊，因?yàn)榇嬖跁@過其輸入篩選器的已有方法。
• 亞太地區(qū)及日本的金融服務(wù)業(yè)中的企業(yè)必須繼續(xù)留意額外的監(jiān)管監(jiān)督和新的報(bào)告義務(wù)。例如，對第三方腳本的使用不斷增加，可能會讓金融機(jī)構(gòu)難以符合即將實(shí)施的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)v4.0 的要求，該版本中將納入與客戶端腳本監(jiān)測能力及管理相關(guān)的具體內(nèi)容。監(jiān)管機(jī)構(gòu)可能會越來越加強(qiáng)實(shí)施新的法規(guī)的力度，因此各個(gè)企業(yè)必須確保考慮到這些新的合規(guī)性要求，否則可能會面臨罰款或聲譽(yù)受損。

Koh 表示：“亞太地區(qū)及日本的金融服務(wù)企業(yè)必須牢記的是，隨著該行業(yè)的創(chuàng)新步伐加快，網(wǎng)絡(luò)犯罪分子隨時(shí)都在嘗試尋找更復(fù)雜的新方式來發(fā)動網(wǎng)絡(luò)攻擊。金融服務(wù)聚合商以及那些渴望采用開放銀行實(shí)踐的企業(yè)的數(shù)量不斷增加，這意味著該行業(yè)未來的發(fā)展會更加依賴使用 API 和第三方腳本，而這會導(dǎo)致攻擊面的進(jìn)一步擴(kuò)大?！?/p>

他總結(jié)道：“金融機(jī)構(gòu)必須專注于保護(hù)新的數(shù)字產(chǎn)品，不斷向客戶普及有關(guān)網(wǎng)絡(luò)安全最佳實(shí)踐的相關(guān)知識，并投資于面向用戶的流暢安全措施。隨著監(jiān)管機(jī)構(gòu)實(shí)施各種政策來強(qiáng)化網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，金融服務(wù)企業(yè)還必須了解并考慮新的合規(guī)性要求，同時(shí)增強(qiáng)其抵御現(xiàn)代網(wǎng)絡(luò)威脅的安全態(tài)勢和網(wǎng)絡(luò)韌性。”