銀行、投資和保險(xiǎn)公司預(yù)計(jì)將面臨勒索軟件、DDoS攻擊、合規(guī)和AI作為其首要風(fēng)險(xiǎn)。

隨著網(wǎng)絡(luò)犯罪分子對(duì)AI的利用程度加深，金融部門(mén)將面臨一系列愈發(fā)嚴(yán)重的安全威脅。

由于金融部門(mén)公司處理大量敏感數(shù)據(jù)和交易，因此它們尤其容易受到網(wǎng)絡(luò)風(fēng)險(xiǎn)的影響。該行業(yè)普遍存在的網(wǎng)絡(luò)風(fēng)險(xiǎn)包括網(wǎng)絡(luò)釣魚(yú)、勒索軟件、數(shù)據(jù)泄露、DDoS和高級(jí)持續(xù)性威脅(APT)。

向混合工作模式轉(zhuǎn)變、云計(jì)算的日益普及以及傳統(tǒng)加密技術(shù)面臨的新型威脅，都給本已壓力重重的金融行業(yè)的CISO帶來(lái)了更大的壓力——他們本就面臨著遵守眾多管理該行業(yè)的法律、法規(guī)和標(biāo)準(zhǔn)的重?fù)?dān)。

以下是金融公司目前面臨的最重大的網(wǎng)絡(luò)威脅。

1. 勒索軟件

據(jù)Statista統(tǒng)計(jì)，2024年，全球有三分之二(65%)的金融機(jī)構(gòu)報(bào)告遭遇了勒索軟件攻擊，這一比例較2021年的34%大幅上升。網(wǎng)絡(luò)安全評(píng)論網(wǎng)站Comparitech的最新研究顯示，平均勒索要求為420萬(wàn)美元，而實(shí)際支付的平均勒索金額甚至更高，達(dá)到740萬(wàn)美元。

Comparitech發(fā)現(xiàn)，近年來(lái)針對(duì)金融企業(yè)的勒索軟件攻擊總數(shù)達(dá)到395起，其中2023年(105起)和2021年(104起)為高發(fā)期。

身份管理供應(yīng)商CyberArk的現(xiàn)場(chǎng)技術(shù)辦公室高級(jí)總監(jiān)David Higgins警告稱：“企業(yè)需要注意，支付贖金可能可以恢復(fù)對(duì)系統(tǒng)的訪問(wèn)，但并不能消除攻擊者的訪問(wèn)權(quán)限，也不一定能阻止他們出售已成功竊取的數(shù)據(jù)?！?/p>

網(wǎng)絡(luò)安全供應(yīng)商SonicWall表示，更廣泛地看，去年針對(duì)金融部門(mén)公司的惡意軟件攻擊數(shù)量翻了一番。

2. 網(wǎng)絡(luò)釣魚(yú)和社交攻擊

由于其擁有海量敏感數(shù)據(jù)，如銀行憑證和個(gè)人身份信息(PII)，金融服務(wù)行業(yè)也成為品牌冒充攻擊的主要目標(biāo)。

網(wǎng)絡(luò)安全和內(nèi)容交付供應(yīng)商Akamai的最新報(bào)告顯示，在2023年8月至2024年7月期間，三分之二(68%)已識(shí)別的網(wǎng)絡(luò)釣魚(yú)頁(yè)面針對(duì)的是金融機(jī)構(gòu)及其客戶。

通過(guò)假冒銀行網(wǎng)站獲取的信息，可以讓網(wǎng)絡(luò)犯罪分子掠奪在線賬戶或通過(guò)地下市場(chǎng)出售被盜的銀行憑證。

電子錢(qián)包和加密貨幣賬戶的憑證在暗網(wǎng)上的售價(jià)介于120美元至400美元之間。此類詐騙的高回報(bào)使金融服務(wù)成為品牌濫用和網(wǎng)絡(luò)釣魚(yú)攻擊的主要目標(biāo)。

采用更嚴(yán)格的身份驗(yàn)證和多因素身份驗(yàn)證 (MFA) 可以降低遭受網(wǎng)絡(luò)釣魚(yú)攻擊的風(fēng)險(xiǎn)。采用防范電子郵件欺詐和欺騙的技術(shù)也有益處。

電子郵件安全專家Proofpoint的網(wǎng)絡(luò)安全策略師Matt Cooke建議：“企業(yè)應(yīng)部署如基于域的消息身份驗(yàn)證、報(bào)告和一致性 (DMARC) 保護(hù)等電子郵件身份驗(yàn)證協(xié)議，以防止網(wǎng)絡(luò)犯罪分子冒充其身份，并降低與品牌相關(guān)的電子郵件欺詐風(fēng)險(xiǎn)。”

3. DDoS攻擊

金融機(jī)構(gòu)依賴高可用性，因此DDoS攻擊構(gòu)成嚴(yán)重威脅。

金融行業(yè)面臨來(lái)自黑客活動(dòng)企業(yè)的重大威脅，這些企業(yè)將金融機(jī)構(gòu)視為經(jīng)濟(jì)權(quán)力的象征，并通過(guò)DDoS攻擊來(lái)推進(jìn)政治或社會(huì)議程，由此造成不便和經(jīng)濟(jì)損失，同時(shí)引起公眾對(duì)其訴求的關(guān)注。

DDoS攻擊往往受地緣政治緊張局勢(shì)的驅(qū)動(dòng)，包括以色列-哈馬斯沖突和烏克蘭戰(zhàn)爭(zhēng)。例如，7月發(fā)生的一起出于政治動(dòng)機(jī)的DDoS攻擊針對(duì)的是以色列的一家主要金融服務(wù)公司，攻擊源自一個(gè)全球分布的僵尸網(wǎng)絡(luò)，持續(xù)近24小時(shí)，峰值流量達(dá)到798Gbps。

據(jù)Akamai稱，在2024年上半年，全球金融服務(wù)行業(yè)遭受DDoS攻擊的頻率高于任何其他行業(yè)。

這一問(wèn)題遠(yuǎn)不止局限于沖突地區(qū)。

據(jù)網(wǎng)絡(luò)性能管理供應(yīng)商N(yùn)etScout稱，在2024年上半年，保險(xiǎn)機(jī)構(gòu)和經(jīng)紀(jì)公司在歐洲、中東和非洲地區(qū) (EMEA) 是網(wǎng)絡(luò)犯罪分子瞄準(zhǔn)的前十大行業(yè)之一。

NetScout的威脅情報(bào)負(fù)責(zé)人Richard Hummel告訴記者：“關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，特別是銀行和金融服務(wù)行業(yè)，過(guò)去四年中DDoS攻擊活動(dòng)增加了55%?！?/p>

4. 高級(jí)持續(xù)性威脅(APT)

金融機(jī)構(gòu)經(jīng)常成為由國(guó)家(主要是朝鮮或伊朗)贊助的APT攻擊者以及其他尋求竊取資金、操縱金融系統(tǒng)或獲取情報(bào)的APT攻擊者的目標(biāo)。

威脅情報(bào)公司ReliaQuest警告稱：“APT企業(yè)將繼續(xù)使用復(fù)雜手段，包括‘自給自足’(LotL)技術(shù)，以逃避檢測(cè)。對(duì)該行業(yè)而言，保護(hù)敏感數(shù)字資產(chǎn)和加強(qiáng)交易安全至關(guān)重要?！?/p>

朝鮮國(guó)家支持的企業(yè)，如Lazarus，因?qū)⒕W(wǎng)絡(luò)攻擊貨幣化而臭名昭著——最引人注目的就是通過(guò)2016年2月對(duì)紐約聯(lián)邦儲(chǔ)備銀行屬于孟加拉國(guó)銀行的賬戶進(jìn)行的網(wǎng)絡(luò)搶劫。最近，朝鮮網(wǎng)絡(luò)間諜還瞄準(zhǔn)了加密貨幣交易所和錢(qián)包，以竊取或清洗加密貨幣。

5. 內(nèi)部威脅

內(nèi)部威脅在金融機(jī)構(gòu)中尤為突出，往往因權(quán)限過(guò)大和隱藏的秘密而加劇。

對(duì)系統(tǒng)和數(shù)據(jù)擁有特權(quán)訪問(wèn)權(quán)限的不滿或虛偽員工可能會(huì)造成巨大危害。安全供應(yīng)商SentinelOne警告稱：“在金融行業(yè)，內(nèi)部威脅可能導(dǎo)致數(shù)據(jù)泄露、欺詐或敏感財(cái)務(wù)信息被盜?！?/p>

通過(guò)管理訪問(wèn)控制和確保敏感信息僅對(duì)授權(quán)人員開(kāi)放，可以在一定程度上降低這種風(fēng)險(xiǎn)。

6. 安全債務(wù)

應(yīng)用風(fēng)險(xiǎn)管理供應(yīng)商Veracode的最新研究顯示，金融服務(wù)行業(yè)中有76%的企業(yè)存在超過(guò)一年仍未修復(fù)的漏洞，50%的企業(yè)存在關(guān)鍵安全債務(wù)。

Veracode研究人員發(fā)現(xiàn)，金融行業(yè)中40%的應(yīng)用程序存在安全債務(wù)，略好于跨行業(yè)平均水平42%。金融行業(yè)中僅有5.5%的應(yīng)用程序沒(méi)有漏洞。

所有安全債務(wù)中，大部分(84%)影響的是第一方代碼，但關(guān)鍵安全債務(wù)中，大部分(78%)來(lái)自第三方依賴項(xiàng)。研究人員發(fā)現(xiàn)，與第三方漏洞需要13個(gè)月相比，金融企業(yè)在前九個(gè)月內(nèi)修復(fù)了一半的第一方漏洞。

Veracode警告稱，修復(fù)或至少緩解不安全代碼的延遲威脅著金融部門(mén)的安全，而且金融部門(mén)的安全債務(wù)正在不斷加劇，而非改善。

7. 軟件供應(yīng)鏈風(fēng)險(xiǎn)

Verizon最新一版的《數(shù)據(jù)泄露調(diào)查報(bào)告》警告稱，過(guò)去一年中，由供應(yīng)鏈攻擊導(dǎo)致的泄露事件激增了68%，特別是針對(duì)軟件、數(shù)據(jù)處理和IT基礎(chǔ)設(shè)施領(lǐng)域的關(guān)鍵供應(yīng)商。

“隨著對(duì)第三方IT服務(wù)依賴的增加，供應(yīng)鏈網(wǎng)絡(luò)威脅也對(duì)金融服務(wù)與保險(xiǎn)(FSI)行業(yè)構(gòu)成了重大風(fēng)險(xiǎn)?！盩rend Micro的SecOps和威脅情報(bào)負(fù)責(zé)人Lewis Duke告訴記者。

去年12月，一家服務(wù)提供商遭到勒索軟件攻擊，導(dǎo)致60家美國(guó)信用合作社面臨服務(wù)中斷。更早之前的2020年，廣泛應(yīng)用于政府和工業(yè)的SolarWinds的Orion網(wǎng)絡(luò)監(jiān)控軟件遭到供應(yīng)鏈攻擊，這一事件敲響了關(guān)于此類威脅的警鐘。

“為了降低這種風(fēng)險(xiǎn)，F(xiàn)SI企業(yè)必須實(shí)施嚴(yán)格的供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃，并對(duì)第三方提供商進(jìn)行全面的安全評(píng)估和審計(jì)?！盩rend Micro的Duke建議道。

專家警告稱，在復(fù)雜的供應(yīng)鏈攻擊中，開(kāi)源組件和第三方庫(kù)的漏洞正越來(lái)越多地被利用。

“SBOM(軟件物料清單)自動(dòng)化工具會(huì)掃描依賴項(xiàng)，以在開(kāi)發(fā)生命周期的早期識(shí)別并緩解漏洞，從而減少暴露于這些威脅的風(fēng)險(xiǎn)。”云原生應(yīng)用安全供應(yīng)商Aqua Security的現(xiàn)場(chǎng)CISO Philip Pearson表示。

8. 加密劫持

加密劫持是指惡意軟件滲入企業(yè)網(wǎng)絡(luò)并竊取資源以挖掘加密貨幣。威脅行為者通過(guò)惡意網(wǎng)站、瀏覽器擴(kuò)展、釣魚(yú)郵件、不安全的云實(shí)例以及利用漏洞來(lái)傳播這種惡意軟件。

根據(jù)SonicWall的數(shù)據(jù)，安全研究人員報(bào)告稱，截至2023年底，全球加密劫持事件同比增長(zhǎng)了659%。

ReliaQuest警告稱，受金錢(qián)驅(qū)使的網(wǎng)絡(luò)犯罪分子和國(guó)家支持的APT企業(yè)都對(duì)金融行業(yè)構(gòu)成了加密劫持威脅，他們覬覦該行業(yè)巨大的計(jì)算能力。

9. 新興的量子加密威脅

量子計(jì)算機(jī)正在向解決當(dāng)今公鑰加密所依賴的復(fù)雜數(shù)學(xué)問(wèn)題邁進(jìn)。一旦投入運(yùn)行，它們可能使當(dāng)前的加密技術(shù)過(guò)時(shí)，從而使敏感金融數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)。

“量子計(jì)算機(jī)對(duì)金融部門(mén)企業(yè)依賴的基于RSA或橢圓曲線的公鑰加密系統(tǒng)構(gòu)成了威脅，”AI和量子技術(shù)專家SandboxAQ的網(wǎng)絡(luò)安全總經(jīng)理Marc Manzano博士表示，“為了降低這種風(fēng)險(xiǎn)，金融機(jī)構(gòu)需要建立全面的計(jì)劃來(lái)現(xiàn)代化加密管理?！?/p>

幸運(yùn)的是，這一威脅早已被預(yù)見(jiàn)，并且多年來(lái)一直在研發(fā)能夠抵御量子計(jì)算機(jī)密碼分析攻擊的加密算法。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)于2024年8月發(fā)布了第一套量子抗性算法。早期采用這些技術(shù)將使機(jī)構(gòu)符合全球最佳實(shí)踐和監(jiān)管期望。

由美國(guó)財(cái)政部和英格蘭銀行主持的七國(guó)集團(tuán)網(wǎng)絡(luò)專家小組(CEG)建議金融當(dāng)局和機(jī)構(gòu)采取積極措施應(yīng)對(duì)量子風(fēng)險(xiǎn)。

企業(yè)應(yīng)規(guī)劃其IT基礎(chǔ)設(shè)施向量子抗性加密的分階段遷移，以確保在后量子時(shí)代的數(shù)據(jù)安全。

10. 新興的AI輔助攻擊

AI加速了撞庫(kù)和暴力破解攻擊，使網(wǎng)絡(luò)犯罪分子能夠以人類無(wú)法匹敵的速度測(cè)試密碼。通用AI工具還可能被濫用，以創(chuàng)建更具說(shuō)服力的釣魚(yú)詐騙。

“AI的濫用加劇了釣魚(yú)活動(dòng)，”全球網(wǎng)絡(luò)咨詢公司CyXcel的首席產(chǎn)品官M(fèi)egha Kumar表示，“那些明顯的、錯(cuò)別字連篇的詐騙郵件已經(jīng)成為過(guò)去?，F(xiàn)在，網(wǎng)絡(luò)犯罪分子可以發(fā)送高度定制化、看起來(lái)專業(yè)的消息，這些消息更有可能欺騙人們。”

“雖然像ChatGPT這樣的商業(yè)生成式AI工具試圖建立防護(hù)欄，以防止不法分子將技術(shù)用于惡意目的，但WormGPT等對(duì)抗性工具已經(jīng)出現(xiàn)，以填補(bǔ)攻擊者的空白?！盉lackBerry Cyber的英國(guó)及愛(ài)爾蘭地區(qū)和新興市場(chǎng)副總裁Keiron Holyome補(bǔ)充道。

研究表明，通用AI可能被濫用，以創(chuàng)建能夠規(guī)避銀行使用的生物識(shí)別工具的欺詐性語(yǔ)音印記。

而這只是冰山一角。

犯罪分子可能會(huì)利用AI快速梳理海量數(shù)據(jù)集，識(shí)別出有價(jià)值的數(shù)據(jù)盜竊目標(biāo)，以及其他惡意應(yīng)用。

“由AI賦能的惡意軟件可以學(xué)習(xí)典型的用戶或網(wǎng)絡(luò)行為，通過(guò)更好地模仿正常活動(dòng)來(lái)發(fā)動(dòng)攻擊或進(jìn)行數(shù)據(jù)滲漏，從而規(guī)避檢測(cè)。”Holyome表示，“由AI驅(qū)動(dòng)的偵察工具可能促進(jìn)對(duì)網(wǎng)絡(luò)漏洞的自主掃描，并自動(dòng)選擇最有效的漏洞利用方式?！?/p>

11. 更嚴(yán)格的監(jiān)管制度

這本身不是一種網(wǎng)絡(luò)威脅，但銀行、保險(xiǎn)和投資公司尤其受到越來(lái)越多法規(guī)和合規(guī)要求的約束，而且即將出臺(tái)新的網(wǎng)絡(luò)安全嚴(yán)格規(guī)定。

“未能實(shí)施適當(dāng)?shù)木W(wǎng)絡(luò)安全措施可能會(huì)使[金融部門(mén)企業(yè)]面臨聲譽(yù)風(fēng)險(xiǎn)以及執(zhí)法風(fēng)險(xiǎn)，包括根據(jù)《通用數(shù)據(jù)保護(hù)條例》(GDPR)面臨的巨額罰款?！甭蓭熓聞?wù)所Hunton Andrews Kurth的合伙人Sarah Pearce警告道，“隨著即將出臺(tái)的網(wǎng)絡(luò)安全法律框架不斷發(fā)展和變得更加具體，我們看到對(duì)運(yùn)營(yíng)韌性的關(guān)注也在增加。”

《數(shù)字運(yùn)營(yíng)韌性法案》(DORA)法規(guī)將于2025年1月在整個(gè)歐盟生效，要求銀行建立全面的風(fēng)險(xiǎn)管理框架。

“在未來(lái)一年內(nèi)，銀行例如將需要根據(jù)DORA履行重大的網(wǎng)絡(luò)安全義務(wù)?！盤(pán)earce表示，“這些義務(wù)將根據(jù)其提供的產(chǎn)品和服務(wù)的具體類型而有所不同?！?/p>