近年來，零日漏洞的不斷加劇、勒索軟件的越發(fā)猖獗以及各種安全威脅的持續(xù)升級(jí)，使網(wǎng)絡(luò)安全形勢(shì)變得愈加嚴(yán)峻。金融服務(wù)業(yè)作為前沿技術(shù)的最佳踐行者，面臨的網(wǎng)絡(luò)安全問題更加嚴(yán)重復(fù)雜。尤其在新冠疫情期間，移動(dòng)銀行應(yīng)用程序、移動(dòng)客戶服務(wù)以及其他數(shù)字工具迅速得到了普及。

根據(jù)思科 CISO 基準(zhǔn)研究數(shù)據(jù)表明，2020 年有17% 的公司每天都會(huì)收到 10萬 個(gè)或更多的安全警報(bào)，這一趨勢(shì)在疫情發(fā)生后仍在繼續(xù)。數(shù)據(jù)還顯示，2021 年的常見漏洞和暴露數(shù)量創(chuàng)下歷史新高，達(dá)到20141個(gè)，超過了 2020 年 18325 個(gè)的記錄。

據(jù)Adobe 2022 年 FIS 趨勢(shì)報(bào)告顯示，在接受調(diào)查的金融服務(wù)和保險(xiǎn)公司中，有超過一半的公司的移動(dòng)用戶在 2020 年上半年都出現(xiàn)了顯著增長(zhǎng)。此外，報(bào)告還發(fā)現(xiàn)，有十分之四的財(cái)務(wù)高管表示數(shù)字和移動(dòng)渠道占其銷售額的一半以上，并預(yù)計(jì)這種趨勢(shì)將在未來幾年內(nèi)持續(xù)下去。

隨著數(shù)字化進(jìn)程的加速，金融機(jī)構(gòu)迎來了更多的機(jī)會(huì)以更好地為客戶服務(wù)，但同時(shí)也更容易受到安全威脅。每個(gè)新工具都會(huì)增加新的攻擊面，也會(huì)導(dǎo)致出現(xiàn)更多的潛在安全漏洞。

據(jù)IBM曾發(fā)布的數(shù)據(jù)顯示，2021年全球金融業(yè)所遭受的網(wǎng)絡(luò)攻擊占其所修復(fù)攻擊的22.4%，在行業(yè)排名中位居第二。而在這些網(wǎng)絡(luò)攻擊中，排在首位的是網(wǎng)絡(luò)釣魚攻擊，占比46%，漏洞利用則排在第二，占比為31%。其他類型還包括暴力破解、虛擬專用網(wǎng)絡(luò)（VPN）訪問、遠(yuǎn)程桌面協(xié)議、可移動(dòng)介質(zhì)等。

金融業(yè)的數(shù)字化增長(zhǎng)并沒有因安全威脅的增加而停止。因此金融機(jī)構(gòu)的網(wǎng)絡(luò)安全團(tuán)隊(duì)需要一些有效方法來準(zhǔn)確、實(shí)時(shí)地了解其攻擊面，從而確定最容易被利用的漏洞并優(yōu)先對(duì)其進(jìn)行修補(bǔ)。

傳統(tǒng)安全驗(yàn)證方法

以下為金融機(jī)構(gòu)用來評(píng)估其安全狀況的幾種傳統(tǒng)的技術(shù)：

破壞和攻擊模擬

破壞和攻擊模擬 (BAS) 通過模擬攻擊者可能使用的潛在攻擊手段來幫助識(shí)別漏洞。這允許動(dòng)態(tài)控制驗(yàn)證，但是只是基于代理的，很難部署。它還將模擬限制在一個(gè)預(yù)先定義的劇本中-這就意味著攻擊范圍存在不完整性。

手動(dòng)滲透測(cè)試

手動(dòng)滲透測(cè)試允許查看銀行的控制如何抵御現(xiàn)實(shí)世界的攻擊，同時(shí)提供攻擊者視角的附加輸入。但是這個(gè)過程的成本可能會(huì)非常高昂，時(shí)間周期也可能會(huì)很長(zhǎng)，每年最多只能完成幾次，這也就意味著它無法提供實(shí)時(shí)洞察力。此外，測(cè)試結(jié)果始終取決于第三方滲透測(cè)試人員的技能和范圍。如果測(cè)試人員在滲透測(cè)試期間漏掉了一個(gè)漏洞，它可能會(huì)一直不被檢測(cè)到，直到被攻擊者利用。

漏洞掃描

漏洞掃描是對(duì)公司網(wǎng)絡(luò)的自動(dòng)化測(cè)試，可以根據(jù)需要隨時(shí)安排和運(yùn)行。但是它的匹配方式比較傳統(tǒng)，它根據(jù)版本信息的變化來確認(rèn)漏洞是否存在，如果漏洞已被修復(fù)，而版本信息未同步更新，則會(huì)導(dǎo)致誤報(bào)。在大多數(shù)情況下，網(wǎng)絡(luò)安全團(tuán)隊(duì)只會(huì)收到掃描檢測(cè)到的每個(gè)問題的 CVSS 嚴(yán)重性等級(jí)，然后將其修復(fù)。另外，漏洞掃描還存在警報(bào)疲勞的問題。面對(duì)大量需要處理的安全威脅，金融機(jī)構(gòu)的安全團(tuán)隊(duì)需要專注于那些對(duì)業(yè)務(wù)產(chǎn)生最大影響的可利用漏洞。

安全驗(yàn)證新希望

自動(dòng)安全驗(yàn)證(ASV) 提供了一種全新且準(zhǔn)確的方法。它是聚焦合規(guī)咨詢之上的安全全生命周期運(yùn)營(yíng)的驗(yàn)證、補(bǔ)救、預(yù)防、監(jiān)測(cè)、響應(yīng)、恢復(fù)和持續(xù)性跟蹤，以實(shí)現(xiàn)完整的攻擊面管理。

ASV 可以提供持續(xù)覆蓋，使金融機(jī)構(gòu)能夠?qū)崟r(shí)了解其安全狀況。此外，由于它模擬了現(xiàn)實(shí)生活中攻擊者的行為，因此它比基于場(chǎng)景的模擬要更加深入。

不言而喻，金融機(jī)構(gòu)需要更高級(jí)別的安全措施來保護(hù)其客戶的數(shù)據(jù)，同時(shí)還要符合相關(guān)合規(guī)標(biāo)準(zhǔn)。

以下是可參考的一些金融機(jī)構(gòu)遵循的路線圖：

1）了解攻擊面

繪制其面向 Web 的攻擊面，他們對(duì)自己的域、IP、網(wǎng)絡(luò)、服務(wù)和網(wǎng)站有了完整的了解。

2）挑戰(zhàn)攻擊面

使用最新的攻擊技術(shù)安全地利用映射的資產(chǎn)，發(fā)現(xiàn)完整的攻擊向量，包括內(nèi)部和外部。這為他們提供了所需的知識(shí)，以了解什么是真正可利用的并且值得進(jìn)行修復(fù)的資源。

3）確定漏洞修復(fù)的優(yōu)先級(jí)

通過利用攻擊路徑模擬，他們可以精確定位每個(gè)安全漏洞對(duì)業(yè)務(wù)的影響，并對(duì)每個(gè)經(jīng)過驗(yàn)證的攻擊向量的根本原因進(jìn)行重視。這為他們的團(tuán)隊(duì)提供了一個(gè)更容易遵循的路線圖來保護(hù)他們的機(jī)構(gòu)。

4）執(zhí)行修復(fù)路線圖

根據(jù)具有高性價(jià)比的修復(fù)清單，金融機(jī)構(gòu)正在授權(quán)其安全團(tuán)隊(duì)解決漏洞并衡量他們的努力對(duì)其整體 IT 狀況的影響。

如今，在日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，安全威脅已貫穿到金融機(jī)構(gòu)規(guī)劃、設(shè)計(jì)、開發(fā)、測(cè)試、運(yùn)維等業(yè)務(wù)運(yùn)營(yíng)的全生命周期中，只有不斷革新安全技術(shù)、升級(jí)安全工具、提升自身的攻防能力，才能守好每一道安全防線。?