近年来,零日漏洞不断增多,勒索软件猖獗,各类安全威胁不断升级,网络安全形势越来越严峻。金融服务业作为前沿科技的最佳实践者,面临着更加严峻复杂的网络安全问题。特别是在COVID-19大流行期间,移动银行应用程序、移动客户服务和其他数字工具迅速普及。根据思科CISO基准研究,到2020年,17%的公司每天将收到100,000条或更多的安全警报,这一趋势在大流行后仍在继续。数据还显示,2021年常见漏洞和暴露数量创下历史新高,达到20141个,打破了2020年的18325个记录。根据Adob??e的《2022年FIS趋势报告》,超过一半的受访金融服务和保险公司在2020年上半年发现移动用户显着增长。此外,该报告还发现,十分之四的财务主管表示,数字和移动渠道占他们一半以上的销售额,他们预计这一趋势将在未来几年继续下去。随着数字化进程的加速,金融机构有更多机会更好地服务客户,但同时也更容易受到安全威胁。每个新工具都会增加一个新的攻击面,并导致更多潜在的安全漏洞。IBM公布的数据显示,2021年全球金融业遭受的网络攻击占其修复的攻击的22.4%,位居行业第二。在这些网络攻击中,钓鱼攻击排名第一,占比46%,漏洞利用排名第二,占比31%。其他类型包括暴力攻击、虚拟专用网络(VPN)访问、远程桌面协议、可移动媒体等。随着安全威胁的增加,金融业的数字化增长并未停止。因此,金融机构的网络安全团队需要一些有效的方法来准确、实时地了解其攻击面,以便识别最容易利用的漏洞并确定修复的优先级。传统的安全验证方法以下是金融机构用来评估其安全态势的一些传统技术:破坏和攻击模拟破坏和攻击模拟(BAS)通过模拟攻击者可能使用的潜在攻击向量来帮助识别漏洞。这允许对身份验证进行动态控制,但仅基于代理且难以部署。它还将模拟限制为预定义的剧本——这意味着攻击的范围是??不完整的。手动渗透测试手动渗透测试允许查看银行的控制如何抵御现实世界的攻击,同时从攻击者的角度提供额外的输入。但这个过程可能既费钱又费时,而且一年最多只能进行几次,这意味着它不能提供实时洞察力。此外,测试结果始终取决于第三方渗透测试人员的技能和范围。如果测试人员在渗透测试期间遗漏了一个漏洞,它可能会一直未被发现,直到被攻击者利用为止。漏洞扫描漏洞扫描是企业网络的自动化测试,可以根据需要安排和运行。但是,它的搭配方式比较传统。根据版本信息的变化来确认漏洞是否存在。如果漏洞已经修复,但版本信息没有同步更新,会导致误报。在大多数情况下,网络安全团队只会收到扫描检测到的每个问题的CVSS严重性评级,然后修复它。此外,漏洞扫描会遭受警报疲劳。由于需要应对如此多的安全威胁,金融机构安全团队需要关注那些对业务影响最大的可利用漏洞。安全验证新希望自动安全验证(ASV)提供了一种新的准确方法。它专注于基于合规咨询的安全生命周期操作的验证、修复、预防、监控、响应、恢复和持续跟踪,以实现完整的攻击面管理。ASV可以提供持续覆盖,使金融机构能够实时了解其安全状况。此外,由于它模拟了现实生活中攻击者的行为,因此它比基于场景的模拟要深入得多。不用说,金融机构需要更高级别的安全性来保护其客户的数据,同时满足相关的合规性标准。以下是一些金融机构要遵循的路线图:1)了解攻击面映射他们面向Web的攻击面,他们对他们的域、IP、网络、服务和网站有完整的了解。2)具有挑战性的攻击面使用最新的攻击技术安全地利用映射资产并发现完整的内部和外部攻击媒介。这为他们提供了了解什么是真正可用且值得修复的知识。3)确定漏洞修复的优先级通过利用攻击路径模拟,他们可以查明每个安全漏洞对业务的影响,并将重点放在每个已验证攻击向量的根本原因上。这为他们的团队提供了一个更容易遵循的路线图来保护他们的机构。4)执行补救路线图通过具有成本效益的补救清单,金融机构正在授权其安全团队解决漏洞并衡量其工作对其整体IT状况的影响。在网络安全形势日益严峻的今天,安全威胁已经渗透到金融机构业务运营的规划、设计、开发、测试、运维等全生命周期。只有不断创新安全技术,升级安全工具,提升攻防能力,才能守住每一道防线。
