近年來，零日漏洞的不斷加劇、勒索軟件的越發猖獗以及各種安全威脅的持續升級，使網絡安全形勢變得愈加嚴峻。金融服務業作為前沿技術的最佳踐行者，面臨的網絡安全問題更加嚴重復雜。尤其在新冠疫情期間，移動銀行應用程序、移動客戶服務以及其他數字工具迅速得到了普及。

根據思科 CISO 基準研究數據表明，2020 年有17% 的公司每天都會收到 10萬 個或更多的安全警報，這一趨勢在疫情發生后仍在繼續。數據還顯示，2021 年的常見漏洞和暴露數量創下歷史新高，達到20141個，超過了 2020 年 18325 個的記錄。

據Adobe 2022 年 FIS 趨勢報告顯示，在接受調查的金融服務和保險公司中，有超過一半的公司的移動用戶在 2020 年上半年都出現了顯著增長。此外，報告還發現，有十分之四的財務高管表示數字和移動渠道占其銷售額的一半以上，并預計這種趨勢將在未來幾年內持續下去。

隨著數字化進程的加速，金融機構迎來了更多的機會以更好地為客戶服務，但同時也更容易受到安全威脅。每個新工具都會增加新的攻擊面，也會導致出現更多的潛在安全漏洞。

據IBM曾發布的數據顯示，2021年全球金融業所遭受的網絡攻擊占其所修復攻擊的22.4%，在行業排名中位居第二。而在這些網絡攻擊中，排在首位的是網絡釣魚攻擊，占比46%，漏洞利用則排在第二，占比為31%。其他類型還包括暴力破解、虛擬專用網絡（VPN）訪問、遠程桌面協議、可移動介質等。

金融業的數字化增長并沒有因安全威脅的增加而停止。因此金融機構的網絡安全團隊需要一些有效方法來準確、實時地了解其攻擊面，從而確定最容易被利用的漏洞并優先對其進行修補。

傳統安全驗證方法

以下為金融機構用來評估其安全狀況的幾種傳統的技術：

破壞和攻擊模擬

破壞和攻擊模擬 (BAS) 通過模擬攻擊者可能使用的潛在攻擊手段來幫助識別漏洞。這允許動態控制驗證，但是只是基于代理的，很難部署。它還將模擬限制在一個預先定義的劇本中-這就意味著攻擊范圍存在不完整性。

手動滲透測試

手動滲透測試允許查看銀行的控制如何抵御現實世界的攻擊，同時提供攻擊者視角的附加輸入。但是這個過程的成本可能會非常高昂，時間周期也可能會很長，每年最多只能完成幾次，這也就意味著它無法提供實時洞察力。此外，測試結果始終取決于第三方滲透測試人員的技能和范圍。如果測試人員在滲透測試期間漏掉了一個漏洞，它可能會一直不被檢測到，直到被攻擊者利用。

漏洞掃描

漏洞掃描是對公司網絡的自動化測試，可以根據需要隨時安排和運行。但是它的匹配方式比較傳統，它根據版本信息的變化來確認漏洞是否存在，如果漏洞已被修復，而版本信息未同步更新，則會導致誤報。在大多數情況下，網絡安全團隊只會收到掃描檢測到的每個問題的 CVSS 嚴重性等級，然后將其修復。另外，漏洞掃描還存在警報疲勞的問題。面對大量需要處理的安全威脅，金融機構的安全團隊需要專注于那些對業務產生最大影響的可利用漏洞。

安全驗證新希望

自動安全驗證(ASV) 提供了一種全新且準確的方法。它是聚焦合規咨詢之上的安全全生命周期運營的驗證、補救、預防、監測、響應、恢復和持續性跟蹤，以實現完整的攻擊面管理。

ASV 可以提供持續覆蓋，使金融機構能夠實時了解其安全狀況。此外，由于它模擬了現實生活中攻擊者的行為，因此它比基于場景的模擬要更加深入。

不言而喻，金融機構需要更高級別的安全措施來保護其客戶的數據，同時還要符合相關合規標準。

以下是可參考的一些金融機構遵循的路線圖：

1）了解攻擊面

繪制其面向 Web 的攻擊面，他們對自己的域、IP、網絡、服務和網站有了完整的了解。

2）挑戰攻擊面

使用最新的攻擊技術安全地利用映射的資產，發現完整的攻擊向量，包括內部和外部。這為他們提供了所需的知識，以了解什么是真正可利用的并且值得進行修復的資源。

3）確定漏洞修復的優先級

通過利用攻擊路徑模擬，他們可以精確定位每個安全漏洞對業務的影響，并對每個經過驗證的攻擊向量的根本原因進行重視。這為他們的團隊提供了一個更容易遵循的路線圖來保護他們的機構。

4）執行修復路線圖

根據具有高性價比的修復清單，金融機構正在授權其安全團隊解決漏洞并衡量他們的努力對其整體 IT 狀況的影響。

如今，在日益嚴峻的網絡安全形勢下，安全威脅已貫穿到金融機構規劃、設計、開發、測試、運維等業務運營的全生命周期中，只有不斷革新安全技術、升級安全工具、提升自身的攻防能力，才能守好每一道安全防線。?