銀行、投資和保險公司預計將面臨勒索軟件、DDoS攻擊、合規和AI作為其首要風險。

隨著網絡犯罪分子對AI的利用程度加深，金融部門將面臨一系列愈發嚴重的安全威脅。

由于金融部門公司處理大量敏感數據和交易，因此它們尤其容易受到網絡風險的影響。該行業普遍存在的網絡風險包括網絡釣魚、勒索軟件、數據泄露、DDoS和高級持續性威脅(APT)。

向混合工作模式轉變、云計算的日益普及以及傳統加密技術面臨的新型威脅，都給本已壓力重重的金融行業的CISO帶來了更大的壓力——他們本就面臨著遵守眾多管理該行業的法律、法規和標準的重擔。

以下是金融公司目前面臨的最重大的網絡威脅。

1. 勒索軟件

據Statista統計，2024年，全球有三分之二(65%)的金融機構報告遭遇了勒索軟件攻擊，這一比例較2021年的34%大幅上升。網絡安全評論網站Comparitech的最新研究顯示，平均勒索要求為420萬美元，而實際支付的平均勒索金額甚至更高，達到740萬美元。

Comparitech發現，近年來針對金融企業的勒索軟件攻擊總數達到395起，其中2023年(105起)和2021年(104起)為高發期。

身份管理供應商CyberArk的現場技術辦公室高級總監David Higgins警告稱：“企業需要注意，支付贖金可能可以恢復對系統的訪問，但并不能消除攻擊者的訪問權限，也不一定能阻止他們出售已成功竊取的數據。”

網絡安全供應商SonicWall表示，更廣泛地看，去年針對金融部門公司的惡意軟件攻擊數量翻了一番。

2. 網絡釣魚和社交攻擊

由于其擁有海量敏感數據，如銀行憑證和個人身份信息(PII)，金融服務行業也成為品牌冒充攻擊的主要目標。

網絡安全和內容交付供應商Akamai的最新報告顯示，在2023年8月至2024年7月期間，三分之二(68%)已識別的網絡釣魚頁面針對的是金融機構及其客戶。

通過假冒銀行網站獲取的信息，可以讓網絡犯罪分子掠奪在線賬戶或通過地下市場出售被盜的銀行憑證。

電子錢包和加密貨幣賬戶的憑證在暗網上的售價介于120美元至400美元之間。此類詐騙的高回報使金融服務成為品牌濫用和網絡釣魚攻擊的主要目標。

采用更嚴格的身份驗證和多因素身份驗證 (MFA) 可以降低遭受網絡釣魚攻擊的風險。采用防范電子郵件欺詐和欺騙的技術也有益處。

電子郵件安全專家Proofpoint的網絡安全策略師Matt Cooke建議：“企業應部署如基于域的消息身份驗證、報告和一致性 (DMARC) 保護等電子郵件身份驗證協議，以防止網絡犯罪分子冒充其身份，并降低與品牌相關的電子郵件欺詐風險?！?/p>

3. DDoS攻擊

金融機構依賴高可用性，因此DDoS攻擊構成嚴重威脅。

金融行業面臨來自黑客活動企業的重大威脅，這些企業將金融機構視為經濟權力的象征，并通過DDoS攻擊來推進政治或社會議程，由此造成不便和經濟損失，同時引起公眾對其訴求的關注。

DDoS攻擊往往受地緣政治緊張局勢的驅動，包括以色列-哈馬斯沖突和烏克蘭戰爭。例如，7月發生的一起出于政治動機的DDoS攻擊針對的是以色列的一家主要金融服務公司，攻擊源自一個全球分布的僵尸網絡，持續近24小時，峰值流量達到798Gbps。

據Akamai稱，在2024年上半年，全球金融服務行業遭受DDoS攻擊的頻率高于任何其他行業。

這一問題遠不止局限于沖突地區。

據網絡性能管理供應商NetScout稱，在2024年上半年，保險機構和經紀公司在歐洲、中東和非洲地區 (EMEA) 是網絡犯罪分子瞄準的前十大行業之一。

NetScout的威脅情報負責人Richard Hummel告訴記者：“關鍵基礎設施行業，特別是銀行和金融服務行業，過去四年中DDoS攻擊活動增加了55%。”

4. 高級持續性威脅(APT)

金融機構經常成為由國家(主要是朝鮮或伊朗)贊助的APT攻擊者以及其他尋求竊取資金、操縱金融系統或獲取情報的APT攻擊者的目標。

威脅情報公司ReliaQuest警告稱：“APT企業將繼續使用復雜手段，包括‘自給自足’(LotL)技術，以逃避檢測。對該行業而言，保護敏感數字資產和加強交易安全至關重要。”

朝鮮國家支持的企業，如Lazarus，因將網絡攻擊貨幣化而臭名昭著——最引人注目的就是通過2016年2月對紐約聯邦儲備銀行屬于孟加拉國銀行的賬戶進行的網絡搶劫。最近，朝鮮網絡間諜還瞄準了加密貨幣交易所和錢包，以竊取或清洗加密貨幣。

5. 內部威脅

內部威脅在金融機構中尤為突出，往往因權限過大和隱藏的秘密而加劇。

對系統和數據擁有特權訪問權限的不滿或虛偽員工可能會造成巨大危害。安全供應商SentinelOne警告稱：“在金融行業，內部威脅可能導致數據泄露、欺詐或敏感財務信息被盜?！?/p>

通過管理訪問控制和確保敏感信息僅對授權人員開放，可以在一定程度上降低這種風險。

6. 安全債務

應用風險管理供應商Veracode的最新研究顯示，金融服務行業中有76%的企業存在超過一年仍未修復的漏洞，50%的企業存在關鍵安全債務。

Veracode研究人員發現，金融行業中40%的應用程序存在安全債務，略好于跨行業平均水平42%。金融行業中僅有5.5%的應用程序沒有漏洞。

所有安全債務中，大部分(84%)影響的是第一方代碼，但關鍵安全債務中，大部分(78%)來自第三方依賴項。研究人員發現，與第三方漏洞需要13個月相比，金融企業在前九個月內修復了一半的第一方漏洞。

Veracode警告稱，修復或至少緩解不安全代碼的延遲威脅著金融部門的安全，而且金融部門的安全債務正在不斷加劇，而非改善。

7. 軟件供應鏈風險

Verizon最新一版的《數據泄露調查報告》警告稱，過去一年中，由供應鏈攻擊導致的泄露事件激增了68%，特別是針對軟件、數據處理和IT基礎設施領域的關鍵供應商。

“隨著對第三方IT服務依賴的增加，供應鏈網絡威脅也對金融服務與保險(FSI)行業構成了重大風險?！盩rend Micro的SecOps和威脅情報負責人Lewis Duke告訴記者。

去年12月，一家服務提供商遭到勒索軟件攻擊，導致60家美國信用合作社面臨服務中斷。更早之前的2020年，廣泛應用于政府和工業的SolarWinds的Orion網絡監控軟件遭到供應鏈攻擊，這一事件敲響了關于此類威脅的警鐘。

“為了降低這種風險，FSI企業必須實施嚴格的供應商風險管理計劃，并對第三方提供商進行全面的安全評估和審計?！盩rend Micro的Duke建議道。

專家警告稱，在復雜的供應鏈攻擊中，開源組件和第三方庫的漏洞正越來越多地被利用。

“SBOM(軟件物料清單)自動化工具會掃描依賴項，以在開發生命周期的早期識別并緩解漏洞，從而減少暴露于這些威脅的風險?！痹圃鷳冒踩藺qua Security的現場CISO Philip Pearson表示。

8. 加密劫持

加密劫持是指惡意軟件滲入企業網絡并竊取資源以挖掘加密貨幣。威脅行為者通過惡意網站、瀏覽器擴展、釣魚郵件、不安全的云實例以及利用漏洞來傳播這種惡意軟件。

根據SonicWall的數據，安全研究人員報告稱，截至2023年底，全球加密劫持事件同比增長了659%。

ReliaQuest警告稱，受金錢驅使的網絡犯罪分子和國家支持的APT企業都對金融行業構成了加密劫持威脅，他們覬覦該行業巨大的計算能力。

9. 新興的量子加密威脅

量子計算機正在向解決當今公鑰加密所依賴的復雜數學問題邁進。一旦投入運行，它們可能使當前的加密技術過時，從而使敏感金融數據面臨泄露風險。

“量子計算機對金融部門企業依賴的基于RSA或橢圓曲線的公鑰加密系統構成了威脅，”AI和量子技術專家SandboxAQ的網絡安全總經理Marc Manzano博士表示，“為了降低這種風險，金融機構需要建立全面的計劃來現代化加密管理。”

幸運的是，這一威脅早已被預見，并且多年來一直在研發能夠抵御量子計算機密碼分析攻擊的加密算法。

美國國家標準與技術研究院(NIST)于2024年8月發布了第一套量子抗性算法。早期采用這些技術將使機構符合全球最佳實踐和監管期望。

由美國財政部和英格蘭銀行主持的七國集團網絡專家小組(CEG)建議金融當局和機構采取積極措施應對量子風險。

企業應規劃其IT基礎設施向量子抗性加密的分階段遷移，以確保在后量子時代的數據安全。

10. 新興的AI輔助攻擊

AI加速了撞庫和暴力破解攻擊，使網絡犯罪分子能夠以人類無法匹敵的速度測試密碼。通用AI工具還可能被濫用，以創建更具說服力的釣魚詐騙。

“AI的濫用加劇了釣魚活動，”全球網絡咨詢公司CyXcel的首席產品官Megha Kumar表示，“那些明顯的、錯別字連篇的詐騙郵件已經成為過去?，F在，網絡犯罪分子可以發送高度定制化、看起來專業的消息，這些消息更有可能欺騙人們?！?/p>

“雖然像ChatGPT這樣的商業生成式AI工具試圖建立防護欄，以防止不法分子將技術用于惡意目的，但WormGPT等對抗性工具已經出現，以填補攻擊者的空白?！盉lackBerry Cyber的英國及愛爾蘭地區和新興市場副總裁Keiron Holyome補充道。

研究表明，通用AI可能被濫用，以創建能夠規避銀行使用的生物識別工具的欺詐性語音印記。

而這只是冰山一角。

犯罪分子可能會利用AI快速梳理海量數據集，識別出有價值的數據盜竊目標，以及其他惡意應用。

“由AI賦能的惡意軟件可以學習典型的用戶或網絡行為，通過更好地模仿正?；顒觼戆l動攻擊或進行數據滲漏，從而規避檢測。”Holyome表示，“由AI驅動的偵察工具可能促進對網絡漏洞的自主掃描，并自動選擇最有效的漏洞利用方式?！?/p>

11. 更嚴格的監管制度

這本身不是一種網絡威脅，但銀行、保險和投資公司尤其受到越來越多法規和合規要求的約束，而且即將出臺新的網絡安全嚴格規定。

“未能實施適當的網絡安全措施可能會使[金融部門企業]面臨聲譽風險以及執法風險，包括根據《通用數據保護條例》(GDPR)面臨的巨額罰款?！甭蓭熓聞账鵋unton Andrews Kurth的合伙人Sarah Pearce警告道，“隨著即將出臺的網絡安全法律框架不斷發展和變得更加具體，我們看到對運營韌性的關注也在增加?！?/p>

《數字運營韌性法案》(DORA)法規將于2025年1月在整個歐盟生效，要求銀行建立全面的風險管理框架。

“在未來一年內，銀行例如將需要根據DORA履行重大的網絡安全義務。”Pearce表示，“這些義務將根據其提供的產品和服務的具體類型而有所不同?！?/p>