即便在普通人眼里，2023年金融業(yè)的動蕩不安也是顯而易見，比如3月硅谷銀行倒閉引發(fā)了對金融體系穩(wěn)定性一連串的恐慌。盡管近幾個月來普遍的經(jīng)濟擔憂逐漸平息，但金融業(yè)在進行轉(zhuǎn)型和保持數(shù)字化的同時，仍然面臨著巨大壓力，同時還要保護日益遭受攻擊的全球互聯(lián)的業(yè)務系統(tǒng)網(wǎng)絡。在這篇博文中，我們將簡要探討當今金融業(yè)面臨的三大網(wǎng)絡威脅并分享可執(zhí)行的建議。

01、勒索軟件

勒索軟件并不是新鮮事，但這類攻擊繼續(xù)以無情的速度造成大規(guī)模破壞。報告估計，匯總?cè)蜃?018年以來的數(shù)據(jù)，金融業(yè)因勒索軟件攻擊造成宕機的經(jīng)濟影響高達323億美元。更令人擔憂的是，有報道稱發(fā)生在金融業(yè)的勒索軟件攻擊正在增加。據(jù)SOCRadar在2023年上半年的統(tǒng)計，在勒索軟件攻擊的前十大目標行業(yè)中，金融業(yè)排名第7。

雖然上述整體趨勢令人不安，但是組織機構(gòu)可以通過切實可行的措施改善安全態(tài)勢。我們的建議不是開創(chuàng)性的，而是基礎性的作法，在組織機構(gòu)將注意力轉(zhuǎn)移到更先進的下一代解決方案時，這些作法往往被忽視。

1）評估你的風險：執(zhí)行勒索軟件風險評估，以確定需要進一步修正的差距?；ヂ?lián)網(wǎng)上有評估組織機構(gòu)內(nèi)部的準備情況的免費工具。

2）保持好的網(wǎng)絡安全習慣：持續(xù)更新資產(chǎn)清單，定期安裝安全補丁，以及主動執(zhí)行漏洞掃描程序。

3）強化權(quán)限訪問控制：根據(jù)最小特權(quán)原則限制對技術(shù)資源的訪問，并在利用每一個機會強制執(zhí)行多因素認證（MFA）。

4）保護你的數(shù)據(jù)：在通過網(wǎng)絡分段阻止內(nèi)部數(shù)字資源被一覽無余的同時，定期執(zhí)行離線備份并定期進行備份恢復測試。

5）測試你的計劃：在事故發(fā)生前，借助桌面推演（table-top exercises）手段，讓技術(shù)和業(yè)務的利益相關者聚在一起測試真實世界的場景和進行決策。

02、供應鏈

早在2020年，對SolarWinds 的大規(guī)模黑客攻擊使軟件供應鏈安全成為當年的網(wǎng)絡安全焦點，成千上萬的用戶不知不覺中下載受感染的軟件更新。SolarWinds遭遇的復雜攻擊策劃之精心、執(zhí)行之隱秘和長久，以致于我們可能永遠無法全面理解其造成的影響。SolarWinds事件發(fā)生后不久，美國軟件開發(fā)商Kaseya受到零日漏洞攻擊，導致大量的托管服務提供商（MSP）使用的軟件受影響，進一步波及這些托管服務提供商的用戶。

快進到2023年，我們繼續(xù)在頭條新聞中看到對供應鏈攻擊的報導。最近，數(shù)百個組織機構(gòu)聲稱受到MOVEit的零日漏洞影響，MOVEit是一種被廣泛使用的文件傳輸程序。迄今為止，報告的受害者組織數(shù)量已超過400家，其中不少在金融業(yè)。據(jù)SC Media稱，按照供應鏈中復雜的關系網(wǎng)絡推算，受影響的組織預計可多達73,000個。在MOVEit漏洞的影響持續(xù)擴大的同時，另一起供應鏈攻擊備受關注，至少兩家銀行因使用惡意的開源軟件組件受到攻擊。

對供應鏈的攻擊揭示了這樣的事實：軟件開發(fā)生命周期（SDLC）如果缺乏嚴格安全措施和測試標準，那是十分脆弱的。組織機構(gòu)某種程度上在供應商面前顯得無助，以確保執(zhí)行適當?shù)臉藴?，保障軟件開發(fā)基礎設施安全和主動識別漏洞。盡管如此，組織機構(gòu)仍可以采取以下措施維護自身權(quán)益和追究供應商的責任。

1）對供應商的盡職調(diào)查：評估與供應商相關的歷史、財務穩(wěn)定性和安全風險，并審查相關的提升鑒證能力的獨立第三方審計報告。

2）合同條款的談判：盡可能通過合同條款使組織機構(gòu)處于有利的位置追究供應商的責任，當信息安全事件發(fā)生時保障自身權(quán)益。

3）對供應商表現(xiàn)的監(jiān)控：定期評估供應商對書面約定的要求的執(zhí)行情況和考慮對第三方的安全態(tài)勢的持續(xù)監(jiān)控。

4）限制供應商的權(quán)限：通過特權(quán)訪問管理（PAM）解決方案控制和監(jiān)控供應商的訪問，避免授予供應商對網(wǎng)絡的不受限制的訪問權(quán)限。

03、網(wǎng)絡釣魚

說到網(wǎng)絡威脅必然逃不開網(wǎng)絡釣魚，這種威脅仍然是一種非常普遍和成熟的攻擊形式，通常伴隨著社會工程學的元素。網(wǎng)絡釣魚的威脅不能完全通過控制的措施進行應對，因此阻止網(wǎng)絡釣魚攻擊最終取決于人的因素。不幸的是，網(wǎng)絡釣魚攻擊經(jīng)常得逞，因為人們經(jīng)常在走神或者手忙腳亂的時候中招。根據(jù)Verizon的2023年數(shù)據(jù)泄露調(diào)查報告，74%的泄露涉及人為因素。

遺憾的是，金融業(yè)似乎是最常受攻擊的行業(yè)之一。根據(jù)APWG的網(wǎng)絡釣魚活動趨勢報告，2022年是有記錄以來最高的一年，總共錄得470萬次網(wǎng)絡釣魚攻擊，其中 27.7%專門針對金融業(yè)。網(wǎng)絡釣魚攻擊的數(shù)量不斷增加的同時，逃避檢測的能力也在提升。生成式人工智能為攻擊者提供了一種新工具，可以濫用和制作沒有所有常見指示（例如拼寫錯誤、語法錯誤）的網(wǎng)絡釣魚電子郵件。除了大多數(shù)組織機構(gòu)應當已經(jīng)實施的現(xiàn)成的技術(shù)控制之外，我們還提供了其他可以幫助用戶避免成為最脆弱的一環(huán)。

1）不斷強化信息安全培訓：定期組織網(wǎng)絡釣魚預防活動，包括小提示和培訓的宣貫，這有助于教會大多數(shù)員工遇到疑點時保持謹慎。

2）標記外部電子郵件：對所有的外部電子郵件添加一個簡單標記，使終端用戶一眼就能清楚地識別這封郵件來自外部。

3）密切留意品牌仿冒：考慮增加服務，主動監(jiān)控網(wǎng)絡上是否有任何可能針對員工或客戶的品牌仿冒的跡象。