銀行、投資和保險公司預計將面臨勒索軟件、DDoS攻擊、合規(guī)和AI作為其首要風險。

隨著網(wǎng)絡犯罪分子對AI的利用程度加深，金融部門將面臨一系列愈發(fā)嚴重的安全威脅。

由于金融部門公司處理大量敏感數(shù)據(jù)和交易，因此它們尤其容易受到網(wǎng)絡風險的影響。該行業(yè)普遍存在的網(wǎng)絡風險包括網(wǎng)絡釣魚、勒索軟件、數(shù)據(jù)泄露、DDoS和高級持續(xù)性威脅(APT)。

向混合工作模式轉(zhuǎn)變、云計算的日益普及以及傳統(tǒng)加密技術(shù)面臨的新型威脅，都給本已壓力重重的金融行業(yè)的CISO帶來了更大的壓力——他們本就面臨著遵守眾多管理該行業(yè)的法律、法規(guī)和標準的重擔。

以下是金融公司目前面臨的最重大的網(wǎng)絡威脅。

1. 勒索軟件

據(jù)Statista統(tǒng)計，2024年，全球有三分之二(65%)的金融機構(gòu)報告遭遇了勒索軟件攻擊，這一比例較2021年的34%大幅上升。網(wǎng)絡安全評論網(wǎng)站Comparitech的最新研究顯示，平均勒索要求為420萬美元，而實際支付的平均勒索金額甚至更高，達到740萬美元。

Comparitech發(fā)現(xiàn)，近年來針對金融企業(yè)的勒索軟件攻擊總數(shù)達到395起，其中2023年(105起)和2021年(104起)為高發(fā)期。

身份管理供應商CyberArk的現(xiàn)場技術(shù)辦公室高級總監(jiān)David Higgins警告稱：“企業(yè)需要注意，支付贖金可能可以恢復對系統(tǒng)的訪問，但并不能消除攻擊者的訪問權(quán)限，也不一定能阻止他們出售已成功竊取的數(shù)據(jù)?！?/p>

網(wǎng)絡安全供應商SonicWall表示，更廣泛地看，去年針對金融部門公司的惡意軟件攻擊數(shù)量翻了一番。

2. 網(wǎng)絡釣魚和社交攻擊

由于其擁有海量敏感數(shù)據(jù)，如銀行憑證和個人身份信息(PII)，金融服務行業(yè)也成為品牌冒充攻擊的主要目標。

網(wǎng)絡安全和內(nèi)容交付供應商Akamai的最新報告顯示，在2023年8月至2024年7月期間，三分之二(68%)已識別的網(wǎng)絡釣魚頁面針對的是金融機構(gòu)及其客戶。

通過假冒銀行網(wǎng)站獲取的信息，可以讓網(wǎng)絡犯罪分子掠奪在線賬戶或通過地下市場出售被盜的銀行憑證。

電子錢包和加密貨幣賬戶的憑證在暗網(wǎng)上的售價介于120美元至400美元之間。此類詐騙的高回報使金融服務成為品牌濫用和網(wǎng)絡釣魚攻擊的主要目標。

采用更嚴格的身份驗證和多因素身份驗證 (MFA) 可以降低遭受網(wǎng)絡釣魚攻擊的風險。采用防范電子郵件欺詐和欺騙的技術(shù)也有益處。

電子郵件安全專家Proofpoint的網(wǎng)絡安全策略師Matt Cooke建議：“企業(yè)應部署如基于域的消息身份驗證、報告和一致性 (DMARC) 保護等電子郵件身份驗證協(xié)議，以防止網(wǎng)絡犯罪分子冒充其身份，并降低與品牌相關(guān)的電子郵件欺詐風險。”

3. DDoS攻擊

金融機構(gòu)依賴高可用性，因此DDoS攻擊構(gòu)成嚴重威脅。

金融行業(yè)面臨來自黑客活動企業(yè)的重大威脅，這些企業(yè)將金融機構(gòu)視為經(jīng)濟權(quán)力的象征，并通過DDoS攻擊來推進政治或社會議程，由此造成不便和經(jīng)濟損失，同時引起公眾對其訴求的關(guān)注。

DDoS攻擊往往受地緣政治緊張局勢的驅(qū)動，包括以色列-哈馬斯沖突和烏克蘭戰(zhàn)爭。例如，7月發(fā)生的一起出于政治動機的DDoS攻擊針對的是以色列的一家主要金融服務公司，攻擊源自一個全球分布的僵尸網(wǎng)絡，持續(xù)近24小時，峰值流量達到798Gbps。

據(jù)Akamai稱，在2024年上半年，全球金融服務行業(yè)遭受DDoS攻擊的頻率高于任何其他行業(yè)。

這一問題遠不止局限于沖突地區(qū)。

據(jù)網(wǎng)絡性能管理供應商NetScout稱，在2024年上半年，保險機構(gòu)和經(jīng)紀公司在歐洲、中東和非洲地區(qū) (EMEA) 是網(wǎng)絡犯罪分子瞄準的前十大行業(yè)之一。

NetScout的威脅情報負責人Richard Hummel告訴記者：“關(guān)鍵基礎設施行業(yè)，特別是銀行和金融服務行業(yè)，過去四年中DDoS攻擊活動增加了55%?！?/p>

4. 高級持續(xù)性威脅(APT)

金融機構(gòu)經(jīng)常成為由國家(主要是朝鮮或伊朗)贊助的APT攻擊者以及其他尋求竊取資金、操縱金融系統(tǒng)或獲取情報的APT攻擊者的目標。

威脅情報公司ReliaQuest警告稱：“APT企業(yè)將繼續(xù)使用復雜手段，包括‘自給自足’(LotL)技術(shù)，以逃避檢測。對該行業(yè)而言，保護敏感數(shù)字資產(chǎn)和加強交易安全至關(guān)重要。”

朝鮮國家支持的企業(yè)，如Lazarus，因?qū)⒕W(wǎng)絡攻擊貨幣化而臭名昭著——最引人注目的就是通過2016年2月對紐約聯(lián)邦儲備銀行屬于孟加拉國銀行的賬戶進行的網(wǎng)絡搶劫。最近，朝鮮網(wǎng)絡間諜還瞄準了加密貨幣交易所和錢包，以竊取或清洗加密貨幣。

5. 內(nèi)部威脅

內(nèi)部威脅在金融機構(gòu)中尤為突出，往往因權(quán)限過大和隱藏的秘密而加劇。

對系統(tǒng)和數(shù)據(jù)擁有特權(quán)訪問權(quán)限的不滿或虛偽員工可能會造成巨大危害。安全供應商SentinelOne警告稱：“在金融行業(yè)，內(nèi)部威脅可能導致數(shù)據(jù)泄露、欺詐或敏感財務信息被盜。”

通過管理訪問控制和確保敏感信息僅對授權(quán)人員開放，可以在一定程度上降低這種風險。

6. 安全債務

應用風險管理供應商Veracode的最新研究顯示，金融服務行業(yè)中有76%的企業(yè)存在超過一年仍未修復的漏洞，50%的企業(yè)存在關(guān)鍵安全債務。

Veracode研究人員發(fā)現(xiàn)，金融行業(yè)中40%的應用程序存在安全債務，略好于跨行業(yè)平均水平42%。金融行業(yè)中僅有5.5%的應用程序沒有漏洞。

所有安全債務中，大部分(84%)影響的是第一方代碼，但關(guān)鍵安全債務中，大部分(78%)來自第三方依賴項。研究人員發(fā)現(xiàn)，與第三方漏洞需要13個月相比，金融企業(yè)在前九個月內(nèi)修復了一半的第一方漏洞。

Veracode警告稱，修復或至少緩解不安全代碼的延遲威脅著金融部門的安全，而且金融部門的安全債務正在不斷加劇，而非改善。

7. 軟件供應鏈風險

Verizon最新一版的《數(shù)據(jù)泄露調(diào)查報告》警告稱，過去一年中，由供應鏈攻擊導致的泄露事件激增了68%，特別是針對軟件、數(shù)據(jù)處理和IT基礎設施領域的關(guān)鍵供應商。

“隨著對第三方IT服務依賴的增加，供應鏈網(wǎng)絡威脅也對金融服務與保險(FSI)行業(yè)構(gòu)成了重大風險?！盩rend Micro的SecOps和威脅情報負責人Lewis Duke告訴記者。

去年12月，一家服務提供商遭到勒索軟件攻擊，導致60家美國信用合作社面臨服務中斷。更早之前的2020年，廣泛應用于政府和工業(yè)的SolarWinds的Orion網(wǎng)絡監(jiān)控軟件遭到供應鏈攻擊，這一事件敲響了關(guān)于此類威脅的警鐘。

“為了降低這種風險，F(xiàn)SI企業(yè)必須實施嚴格的供應商風險管理計劃，并對第三方提供商進行全面的安全評估和審計?！盩rend Micro的Duke建議道。

專家警告稱，在復雜的供應鏈攻擊中，開源組件和第三方庫的漏洞正越來越多地被利用。

“SBOM(軟件物料清單)自動化工具會掃描依賴項，以在開發(fā)生命周期的早期識別并緩解漏洞，從而減少暴露于這些威脅的風險?！痹圃鷳冒踩藺qua Security的現(xiàn)場CISO Philip Pearson表示。

8. 加密劫持

加密劫持是指惡意軟件滲入企業(yè)網(wǎng)絡并竊取資源以挖掘加密貨幣。威脅行為者通過惡意網(wǎng)站、瀏覽器擴展、釣魚郵件、不安全的云實例以及利用漏洞來傳播這種惡意軟件。

根據(jù)SonicWall的數(shù)據(jù)，安全研究人員報告稱，截至2023年底，全球加密劫持事件同比增長了659%。

ReliaQuest警告稱，受金錢驅(qū)使的網(wǎng)絡犯罪分子和國家支持的APT企業(yè)都對金融行業(yè)構(gòu)成了加密劫持威脅，他們覬覦該行業(yè)巨大的計算能力。

9. 新興的量子加密威脅

量子計算機正在向解決當今公鑰加密所依賴的復雜數(shù)學問題邁進。一旦投入運行，它們可能使當前的加密技術(shù)過時，從而使敏感金融數(shù)據(jù)面臨泄露風險。

“量子計算機對金融部門企業(yè)依賴的基于RSA或橢圓曲線的公鑰加密系統(tǒng)構(gòu)成了威脅，”AI和量子技術(shù)專家SandboxAQ的網(wǎng)絡安全總經(jīng)理Marc Manzano博士表示，“為了降低這種風險，金融機構(gòu)需要建立全面的計劃來現(xiàn)代化加密管理?！?/p>

幸運的是，這一威脅早已被預見，并且多年來一直在研發(fā)能夠抵御量子計算機密碼分析攻擊的加密算法。

美國國家標準與技術(shù)研究院(NIST)于2024年8月發(fā)布了第一套量子抗性算法。早期采用這些技術(shù)將使機構(gòu)符合全球最佳實踐和監(jiān)管期望。

由美國財政部和英格蘭銀行主持的七國集團網(wǎng)絡專家小組(CEG)建議金融當局和機構(gòu)采取積極措施應對量子風險。

企業(yè)應規(guī)劃其IT基礎設施向量子抗性加密的分階段遷移，以確保在后量子時代的數(shù)據(jù)安全。

10. 新興的AI輔助攻擊

AI加速了撞庫和暴力破解攻擊，使網(wǎng)絡犯罪分子能夠以人類無法匹敵的速度測試密碼。通用AI工具還可能被濫用，以創(chuàng)建更具說服力的釣魚詐騙。

“AI的濫用加劇了釣魚活動，”全球網(wǎng)絡咨詢公司CyXcel的首席產(chǎn)品官Megha Kumar表示，“那些明顯的、錯別字連篇的詐騙郵件已經(jīng)成為過去?，F(xiàn)在，網(wǎng)絡犯罪分子可以發(fā)送高度定制化、看起來專業(yè)的消息，這些消息更有可能欺騙人們?！?/p>

“雖然像ChatGPT這樣的商業(yè)生成式AI工具試圖建立防護欄，以防止不法分子將技術(shù)用于惡意目的，但WormGPT等對抗性工具已經(jīng)出現(xiàn)，以填補攻擊者的空白?！盉lackBerry Cyber的英國及愛爾蘭地區(qū)和新興市場副總裁Keiron Holyome補充道。

研究表明，通用AI可能被濫用，以創(chuàng)建能夠規(guī)避銀行使用的生物識別工具的欺詐性語音印記。

而這只是冰山一角。

犯罪分子可能會利用AI快速梳理海量數(shù)據(jù)集，識別出有價值的數(shù)據(jù)盜竊目標，以及其他惡意應用。

“由AI賦能的惡意軟件可以學習典型的用戶或網(wǎng)絡行為，通過更好地模仿正?；顒觼戆l(fā)動攻擊或進行數(shù)據(jù)滲漏，從而規(guī)避檢測?！盚olyome表示，“由AI驅(qū)動的偵察工具可能促進對網(wǎng)絡漏洞的自主掃描，并自動選擇最有效的漏洞利用方式。”

11. 更嚴格的監(jiān)管制度

這本身不是一種網(wǎng)絡威脅，但銀行、保險和投資公司尤其受到越來越多法規(guī)和合規(guī)要求的約束，而且即將出臺新的網(wǎng)絡安全嚴格規(guī)定。

“未能實施適當?shù)木W(wǎng)絡安全措施可能會使[金融部門企業(yè)]面臨聲譽風險以及執(zhí)法風險，包括根據(jù)《通用數(shù)據(jù)保護條例》(GDPR)面臨的巨額罰款?！甭蓭熓聞账鵋unton Andrews Kurth的合伙人Sarah Pearce警告道，“隨著即將出臺的網(wǎng)絡安全法律框架不斷發(fā)展和變得更加具體，我們看到對運營韌性的關(guān)注也在增加?！?/p>

《數(shù)字運營韌性法案》(DORA)法規(guī)將于2025年1月在整個歐盟生效，要求銀行建立全面的風險管理框架。

“在未來一年內(nèi)，銀行例如將需要根據(jù)DORA履行重大的網(wǎng)絡安全義務?！盤earce表示，“這些義務將根據(jù)其提供的產(chǎn)品和服務的具體類型而有所不同?！?/p>