来源:企业网D1net
随着网络犯罪手段的不断升级,金融行业正面临前所未有的网络安全挑战。勒索软件、网络钓鱼、DDoS攻击、高级持续性威胁(APT)等网络风险频发,对金融机构的数据安全和业务运营构成严重威胁。同时,内部威胁、安全债务、软件供应链风险以及新兴的量子加密和AI辅助攻击也日益凸显。此外,更严格的监管制度要求金融机构必须加强网络安全措施,以防范潜在风险。面对这些挑战,金融机构亟需加强安全防护,提升网络安全水平,确保业务稳健运行和客户数据安全。
银行、投资和保险公司预计将面临勒索软件、DDoS攻击、合规和AI作为其首要风险。
随着网络犯罪分子对AI的利用程度加深,金融部门将面临一系列愈发严重的安全威胁。
由于金融部门公司处理大量敏感数据和交易,因此它们尤其容易受到网络风险的影响。该行业普遍存在的网络风险包括网络钓鱼、勒索软件、数据泄露、DDoS和高级持续性威胁(APT)。
向混合工作模式转变、云计算的日益普及以及传统加密技术面临的新型威胁,都给本已压力重重的金融行业的CISO带来了更大的压力——他们本就面临着遵守众多管理该行业的法律、法规和标准的重担。
以下是金融公司目前面临的最重大的网络威胁。
1. 勒索软件
据Statista统计,2024年,全球有三分之二(65%)的金融机构报告遭遇了勒索软件攻击,这一比例较2021年的34%大幅上升。网络安全评论网站Comparitech的最新研究显示,平均勒索要求为420万美元,而实际支付的平均勒索金额甚至更高,达到740万美元。
Comparitech发现,近年来针对金融企业的勒索软件攻击总数达到395起,其中2023年(105起)和2021年(104起)为高发期。
身份管理供应商CyberArk的现场技术办公室高级总监David Higgins警告称:“企业需要注意,支付赎金可能可以恢复对系统的访问,但并不能消除攻击者的访问权限,也不一定能阻止他们出售已成功窃取的数据。”
网络安全供应商SonicWall表示,更广泛地看,去年针对金融部门公司的恶意软件攻击数量翻了一番。
2. 网络钓鱼和社交攻击
由于其拥有海量敏感数据,如银行凭证和个人身份信息(PII),金融服务行业也成为品牌冒充攻击的主要目标。
网络安全和内容交付供应商Akamai的最新报告显示,在2023年8月至2024年7月期间,三分之二(68%)已识别的网络钓鱼页面针对的是金融机构及其客户。
通过假冒银行网站获取的信息,可以让网络犯罪分子掠夺在线账户或通过地下市场出售被盗的银行凭证。
电子钱包和加密货币账户的凭证在暗网上的售价介于120美元至400美元之间。此类诈骗的高回报使金融服务成为品牌滥用和网络钓鱼攻击的主要目标。
采用更严格的身份验证和多因素身份验证 (MFA) 可以降低遭受网络钓鱼攻击的风险。采用防范电子邮件欺诈和欺骗的技术也有益处。
电子邮件安全专家Proofpoint的网络安全策略师Matt Cooke建议:“企业应部署如基于域的消息身份验证、报告和一致性 (DMARC) 保护等电子邮件身份验证协议,以防止网络犯罪分子冒充其身份,并降低与品牌相关的电子邮件欺诈风险。”
3. DDoS攻击
金融机构依赖高可用性,因此DDoS攻击构成严重威胁。
金融行业面临来自黑客活动企业的重大威胁,这些企业将金融机构视为经济权力的象征,并通过DDoS攻击来推进政治或社会议程,由此造成不便和经济损失,同时引起公众对其诉求的关注。
DDoS攻击往往受地缘政治紧张局势的驱动,包括以色列-哈马斯冲突和乌克兰战争。例如,7月发生的一起出于政治动机的DDoS攻击针对的是以色列的一家主要金融服务公司,攻击源自一个全球分布的僵尸网络,持续近24小时,峰值流量达到798Gbps。
据Akamai称,在2024年上半年,全球金融服务行业遭受DDoS攻击的频率高于任何其他行业。
这一问题远不止局限于冲突地区。
据网络性能管理供应商NetScout称,在2024年上半年,保险机构和经纪公司在欧洲、中东和非洲地区 (EMEA) 是网络犯罪分子瞄准的前十大行业之一。
NetScout的威胁情报负责人Richard Hummel告诉记者:“关键基础设施行业,特别是银行和金融服务行业,过去四年中DDoS攻击活动增加了55%。”
4. 高级持续性威胁(APT)
金融机构经常成为由国家(主要是朝鲜或伊朗)赞助的APT攻击者以及其他寻求窃取资金、操纵金融系统或获取情报的APT攻击者的目标。
威胁情报公司ReliaQuest警告称:“APT企业将继续使用复杂手段,包括‘自给自足’(LotL)技术,以逃避检测。对该行业而言,保护敏感数字资产和加强交易安全至关重要。”
朝鲜国家支持的企业,如Lazarus,因将网络攻击货币化而臭名昭著——最引人注目的就是通过2016年2月对纽约联邦储备银行属于孟加拉国银行的账户进行的网络抢劫。最近,朝鲜网络间谍还瞄准了加密货币交易所和钱包,以窃取或清洗加密货币。
5. 内部威胁
内部威胁在金融机构中尤为突出,往往因权限过大和隐藏的秘密而加剧。
对系统和数据拥有特权访问权限的不满或虚伪员工可能会造成巨大危害。安全供应商SentinelOne警告称:“在金融行业,内部威胁可能导致数据泄露、欺诈或敏感财务信息被盗。”
通过管理访问控制和确保敏感信息仅对授权人员开放,可以在一定程度上降低这种风险。
6. 安全债务
应用风险管理供应商Veracode的最新研究显示,金融服务行业中有76%的企业存在超过一年仍未修复的漏洞,50%的企业存在关键安全债务。
Veracode研究人员发现,金融行业中40%的应用程序存在安全债务,略好于跨行业平均水平42%。金融行业中仅有5.5%的应用程序没有漏洞。
所有安全债务中,大部分(84%)影响的是第一方代码,但关键安全债务中,大部分(78%)来自第三方依赖项。研究人员发现,与第三方漏洞需要13个月相比,金融企业在前九个月内修复了一半的第一方漏洞。
Veracode警告称,修复或至少缓解不安全代码的延迟威胁着金融部门的安全,而且金融部门的安全债务正在不断加剧,而非改善。
7. 软件供应链风险
Verizon最新一版的《数据泄露调查报告》警告称,过去一年中,由供应链攻击导致的泄露事件激增了68%,特别是针对软件、数据处理和IT基础设施领域的关键供应商。
“随着对第三方IT服务依赖的增加,供应链网络威胁也对金融服务与保险(FSI)行业构成了重大风险。”Trend Micro的SecOps和威胁情报负责人Lewis Duke告诉记者。
去年12月,一家服务提供商遭到勒索软件攻击,导致60家美国信用合作社面临服务中断。更早之前的2020年,广泛应用于政府和工业的SolarWinds的Orion网络监控软件遭到供应链攻击,这一事件敲响了关于此类威胁的警钟。
“为了降低这种风险,FSI企业必须实施严格的供应商风险管理计划,并对第三方提供商进行全面的安全评估和审计。”Trend Micro的Duke建议道。
专家警告称,在复杂的供应链攻击中,开源组件和第三方库的漏洞正越来越多地被利用。
“SBOM(软件物料清单)自动化工具会扫描依赖项,以在开发生命周期的早期识别并缓解漏洞,从而减少暴露于这些威胁的风险。”云原生应用安全供应商Aqua Security的现场CISO Philip Pearson表示。
8. 加密劫持
加密劫持是指恶意软件渗入企业网络并窃取资源以挖掘加密货币。威胁行为者通过恶意网站、浏览器扩展、钓鱼邮件、不安全的云实例以及利用漏洞来传播这种恶意软件。
根据SonicWall的数据,安全研究人员报告称,截至2023年底,全球加密劫持事件同比增长了659%。
ReliaQuest警告称,受金钱驱使的网络犯罪分子和国家支持的APT企业都对金融行业构成了加密劫持威胁,他们觊觎该行业巨大的计算能力。
9. 新兴的量子加密威胁
量子计算机正在向解决当今公钥加密所依赖的复杂数学问题迈进。一旦投入运行,它们可能使当前的加密技术过时,从而使敏感金融数据面临泄露风险。
“量子计算机对金融部门企业依赖的基于RSA或椭圆曲线的公钥加密系统构成了威胁,”AI和量子技术专家SandboxAQ的网络安全总经理Marc Manzano博士表示,“为了降低这种风险,金融机构需要建立全面的计划来现代化加密管理。”
幸运的是,这一威胁早已被预见,并且多年来一直在研发能够抵御量子计算机密码分析攻击的加密算法。
美国国家标准与技术研究院(NIST)于2024年8月发布了第一套量子抗性算法。早期采用这些技术将使机构符合全球最佳实践和监管期望。
由美国财政部和英格兰银行主持的七国集团网络专家小组(CEG)建议金融当局和机构采取积极措施应对量子风险。
企业应规划其IT基础设施向量子抗性加密的分阶段迁移,以确保在后量子时代的数据安全。
10. 新兴的AI辅助攻击
AI加速了撞库和暴力破解攻击,使网络犯罪分子能够以人类无法匹敌的速度测试密码。通用AI工具还可能被滥用,以创建更具说服力的钓鱼诈骗。
“AI的滥用加剧了钓鱼活动,”全球网络咨询公司CyXcel的首席产品官Megha Kumar表示,“那些明显的、错别字连篇的诈骗邮件已经成为过去。现在,网络犯罪分子可以发送高度定制化、看起来专业的消息,这些消息更有可能欺骗人们。”
“虽然像ChatGPT这样的商业生成式AI工具试图建立防护栏,以防止不法分子将技术用于恶意目的,但WormGPT等对抗性工具已经出现,以填补攻击者的空白。”BlackBerry Cyber的英国及爱尔兰地区和新兴市场副总裁Keiron Holyome补充道。
研究表明,通用AI可能被滥用,以创建能够规避银行使用的生物识别工具的欺诈性语音印记。而这只是冰山一角。
犯罪分子可能会利用AI快速梳理海量数据集,识别出有价值的数据盗窃目标,以及其他恶意应用。
“由AI赋能的恶意软件可以学习典型的用户或网络行为,通过更好地模仿正常活动来发动攻击或进行数据渗漏,从而规避检测。”Holyome表示,“由AI驱动的侦察工具可能促进对网络漏洞的自主扫描,并自动选择最有效的漏洞利用方式。”
11. 更严格的监管制度
这本身不是一种网络威胁,但银行、保险和投资公司尤其受到越来越多法规和合规要求的约束,而且即将出台新的网络安全严格规定。
“未能实施适当的网络安全措施可能会使[金融部门企业]面临声誉风险以及执法风险,包括根据《通用数据保护条例》(GDPR)面临的巨额罚款。”律师事务所Hunton Andrews Kurth的合伙人Sarah Pearce警告道,“随着即将出台的网络安全法律框架不断发展和变得更加具体,我们看到对运营韧性的关注也在增加。”
《数字运营韧性法案》(DORA)法规将于2025年1月在整个欧盟生效,要求银行建立全面的风险管理框架。
“在未来一年内,银行例如将需要根据DORA履行重大的网络安全义务。”Pearce表示,“这些义务将根据其提供的产品和服务的具体类型而有所不同。”
