2023年 10月 11日 – 負(fù)責(zé)支持和保護(hù)網(wǎng)絡(luò)生活的云服務(wù)提供商阿卡邁技術(shù)公司（Akamai Technologies, Inc.，以下簡稱：Akamai）（NASDAQ：AKAM），近日發(fā)布了新一期的《互聯(lián)網(wǎng)現(xiàn)狀》報(bào)告，報(bào)告標(biāo)題為“創(chuàng)新遭遇高風(fēng)險(xiǎn)：金融服務(wù)業(yè)的攻擊趨勢”。該報(bào)告重點(diǎn)介紹了以下內(nèi)容：亞太地區(qū)及日本的金融服務(wù)業(yè)仍然是全球遭受攻擊最多的行業(yè)之一，2022 年第 2 季度到 2023 年第 2 季度所遭受的 Web 應(yīng)用程序和 API 攻擊數(shù)量增長 36%，總數(shù)超過 37 億次。此外，該報(bào)告還發(fā)現(xiàn)，本地文件包含 (LFI) 仍然是最主要的攻擊媒介，并且針對亞太地區(qū)及日本金融業(yè)的攻擊中有 92.3% 的攻擊以銀行為目標(biāo)，對金融機(jī)構(gòu)及其客戶構(gòu)成了巨大威脅。

隨著亞太地區(qū)及日本的金融服務(wù)企業(yè)開拓更多渠道并提供更好的客戶體驗(yàn)，它們使用的第三方腳本越來越多，實(shí)際上其占比已達(dá)到了所用腳本總數(shù)的 40%。這些數(shù)據(jù)點(diǎn)表明，隨著各個(gè)企業(yè)（尤其是銀行和以消費(fèi)者為中心的機(jī)構(gòu)）不斷擴(kuò)展其數(shù)字足跡以覆蓋更多客戶并獲得競爭優(yōu)勢，它們也面臨著嚴(yán)重風(fēng)險(xiǎn)。

Akamai 亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān) Reuben Koh 表示：“亞太地區(qū)及日本的金融服務(wù)業(yè)是全球最具創(chuàng)新力和競爭力的行業(yè)之一。金融機(jī)構(gòu)越來越多地轉(zhuǎn)為使用第三方腳本，以便快速為客戶增加新產(chǎn)品、功能及交互式體驗(yàn)。但是，通常企業(yè)的監(jiān)測能力有限，無法識(shí)別這些腳本的真實(shí)性以及是否存在潛在漏洞，因此會(huì)為企業(yè)帶來另一層風(fēng)險(xiǎn)。由于企業(yè)對存在風(fēng)險(xiǎn)的第三方腳本的監(jiān)測能力有限，攻擊者現(xiàn)在可以利用另一種媒介發(fā)動(dòng)對銀行及其客戶的攻擊?！?/p>

Akamai 的報(bào)告還發(fā)現(xiàn)，2022 年以來亞太地區(qū)及日本的惡意爬蟲程序流量增長了 128%，這凸顯出針對金融服務(wù)業(yè)客戶及其數(shù)據(jù)的攻擊持續(xù)不斷。網(wǎng)絡(luò)犯罪分子使用爬蟲程序提升攻擊的規(guī)模、效率和有效性。在全球范圍內(nèi)，亞太地區(qū)及日本是針對金融服務(wù)業(yè)的惡意爬蟲程序請求的第二大攻擊目標(biāo)區(qū)域，占全球所有惡意爬蟲程序請求數(shù)量的 39.7%。應(yīng)用場景包括抓取網(wǎng)站內(nèi)容以冒充 金融服務(wù)業(yè)品牌的網(wǎng)站來實(shí)施網(wǎng)絡(luò)釣魚騙局，以及通過自動(dòng)注入所竊取的用戶名和密碼來實(shí)施撞庫攻擊，從而實(shí)現(xiàn)帳戶接管。這表明攻擊者在不斷地發(fā)展其技術(shù)，并且開始專注于攻擊金融服務(wù)業(yè)消費(fèi)者，以獲得最大的投資回報(bào)。

報(bào)告的其他重要發(fā)現(xiàn)包括：

Web 應(yīng)用程序和 API 依然是攻擊者在亞太地區(qū)及日本的首選攻擊媒介，金融行業(yè)遭受的攻擊在此類攻擊中占 50%，緊隨其后的是商業(yè) (19.99%) 和社交媒體 (8.3%)。

澳大利亞、新加坡和日本是 APJ 地區(qū)遭受攻擊最多的三個(gè)國家，所受攻擊總和在所有 Web 應(yīng)用程序和 API 攻擊中的占比超過四分之三。作為全球金融中心，這些國家的企業(yè)持續(xù)受到大規(guī)模定向攻擊不足為奇。

本地文件包含 (LFI) 依舊是最主要的攻擊媒介，在所有攻擊中占比為 63.2%，而跨站點(diǎn)腳本攻擊 (XSS) 和 PHP 注入 (PHPi) 分列二三，其占比分別為 21.3% 和 6.32%。在 LFI 攻擊中，攻擊者會(huì)利用 Web 服務(wù)器上不安全的編碼實(shí)踐或?qū)嶋H漏洞來遠(yuǎn)程執(zhí)行代碼或者訪問本地存儲(chǔ)的敏感信息。例如，基于 PHP 的陳舊 Web 服務(wù)器更容易遭受 LFI 攻擊，因?yàn)榇嬖跁?huì)繞過其輸入篩選器的已有方法。

亞太地區(qū)及日本的金融服務(wù)業(yè)中的企業(yè)必須繼續(xù)留意額外的監(jiān)管監(jiān)督和新的報(bào)告義務(wù)。例如，對第三方腳本的使用不斷增加，可能會(huì)讓金融機(jī)構(gòu)難以符合即將實(shí)施的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) v4.0 的要求，該版本中將納入與客戶端腳本監(jiān)測能力及管理相關(guān)的具體內(nèi)容。監(jiān)管機(jī)構(gòu)可能會(huì)越來越加強(qiáng)實(shí)施新的法規(guī)的力度，因此各個(gè)企業(yè)必須確?？紤]到這些新的合規(guī)性要求，否則可能會(huì)面臨罰款或聲譽(yù)受損。

Koh 表示：“亞太地區(qū)及日本的金融服務(wù)企業(yè)必須牢記的是，隨著該行業(yè)的創(chuàng)新步伐加快，網(wǎng)絡(luò)犯罪分子隨時(shí)都在嘗試尋找更復(fù)雜的新方式來發(fā)動(dòng)網(wǎng)絡(luò)攻擊。金融服務(wù)聚合商以及那些渴望采用開放銀行實(shí)踐的企業(yè)的數(shù)量不斷增加，這意味著該行業(yè)未來的發(fā)展會(huì)更加依賴使用 API 和第三方腳本，而這會(huì)導(dǎo)致攻擊面的進(jìn)一步擴(kuò)大?！?/p>

他總結(jié)道：“金融機(jī)構(gòu)必須專注于保護(hù)新的數(shù)字產(chǎn)品，不斷向客戶普及有關(guān)網(wǎng)絡(luò)安全最佳實(shí)踐的相關(guān)知識(shí)，并投資于面向用戶的流暢安全措施。隨著監(jiān)管機(jī)構(gòu)實(shí)施各種政策來強(qiáng)化網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，金融服務(wù)企業(yè)還必須了解并考慮新的合規(guī)性要求，同時(shí)增強(qiáng)其抵御現(xiàn)代網(wǎng)絡(luò)威脅的安全態(tài)勢和網(wǎng)絡(luò)韌性?！?/p>