即便在普通人眼里，2023年金融業(yè)的動(dòng)蕩不安也是顯而易見，比如3月硅谷銀行倒閉引發(fā)了對(duì)金融體系穩(wěn)定性一連串的恐慌。盡管近幾個(gè)月來普遍的經(jīng)濟(jì)擔(dān)憂逐漸平息，但金融業(yè)在進(jìn)行轉(zhuǎn)型和保持?jǐn)?shù)字化的同時(shí)，仍然面臨著巨大壓力，同時(shí)還要保護(hù)日益遭受攻擊的全球互聯(lián)的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)。在這篇博文中，我們將簡(jiǎn)要探討當(dāng)今金融業(yè)面臨的三大網(wǎng)絡(luò)威脅并分享可執(zhí)行的建議。

01、勒索軟件

勒索軟件并不是新鮮事，但這類攻擊繼續(xù)以無情的速度造成大規(guī)模破壞。報(bào)告估計(jì)，匯總?cè)蜃?018年以來的數(shù)據(jù)，金融業(yè)因勒索軟件攻擊造成宕機(jī)的經(jīng)濟(jì)影響高達(dá)323億美元。更令人擔(dān)憂的是，有報(bào)道稱發(fā)生在金融業(yè)的勒索軟件攻擊正在增加。據(jù)SOCRadar在2023年上半年的統(tǒng)計(jì)，在勒索軟件攻擊的前十大目標(biāo)行業(yè)中，金融業(yè)排名第7。

雖然上述整體趨勢(shì)令人不安，但是組織機(jī)構(gòu)可以通過切實(shí)可行的措施改善安全態(tài)勢(shì)。我們的建議不是開創(chuàng)性的，而是基礎(chǔ)性的作法，在組織機(jī)構(gòu)將注意力轉(zhuǎn)移到更先進(jìn)的下一代解決方案時(shí)，這些作法往往被忽視。

1）評(píng)估你的風(fēng)險(xiǎn)：執(zhí)行勒索軟件風(fēng)險(xiǎn)評(píng)估，以確定需要進(jìn)一步修正的差距。互聯(lián)網(wǎng)上有評(píng)估組織機(jī)構(gòu)內(nèi)部的準(zhǔn)備情況的免費(fèi)工具。

2）保持好的網(wǎng)絡(luò)安全習(xí)慣：持續(xù)更新資產(chǎn)清單，定期安裝安全補(bǔ)丁，以及主動(dòng)執(zhí)行漏洞掃描程序。

3）強(qiáng)化權(quán)限訪問控制：根據(jù)最小特權(quán)原則限制對(duì)技術(shù)資源的訪問，并在利用每一個(gè)機(jī)會(huì)強(qiáng)制執(zhí)行多因素認(rèn)證（MFA）。

4）保護(hù)你的數(shù)據(jù)：在通過網(wǎng)絡(luò)分段阻止內(nèi)部數(shù)字資源被一覽無余的同時(shí)，定期執(zhí)行離線備份并定期進(jìn)行備份恢復(fù)測(cè)試。

5）測(cè)試你的計(jì)劃：在事故發(fā)生前，借助桌面推演（table-top exercises）手段，讓技術(shù)和業(yè)務(wù)的利益相關(guān)者聚在一起測(cè)試真實(shí)世界的場(chǎng)景和進(jìn)行決策。

02、供應(yīng)鏈

早在2020年，對(duì)SolarWinds 的大規(guī)模黑客攻擊使軟件供應(yīng)鏈安全成為當(dāng)年的網(wǎng)絡(luò)安全焦點(diǎn)，成千上萬的用戶不知不覺中下載受感染的軟件更新。SolarWinds遭遇的復(fù)雜攻擊策劃之精心、執(zhí)行之隱秘和長(zhǎng)久，以致于我們可能永遠(yuǎn)無法全面理解其造成的影響。SolarWinds事件發(fā)生后不久，美國(guó)軟件開發(fā)商Kaseya受到零日漏洞攻擊，導(dǎo)致大量的托管服務(wù)提供商（MSP）使用的軟件受影響，進(jìn)一步波及這些托管服務(wù)提供商的用戶。

快進(jìn)到2023年，我們繼續(xù)在頭條新聞中看到對(duì)供應(yīng)鏈攻擊的報(bào)導(dǎo)。最近，數(shù)百個(gè)組織機(jī)構(gòu)聲稱受到MOVEit的零日漏洞影響，MOVEit是一種被廣泛使用的文件傳輸程序。迄今為止，報(bào)告的受害者組織數(shù)量已超過400家，其中不少在金融業(yè)。據(jù)SC Media稱，按照供應(yīng)鏈中復(fù)雜的關(guān)系網(wǎng)絡(luò)推算，受影響的組織預(yù)計(jì)可多達(dá)73,000個(gè)。在MOVEit漏洞的影響持續(xù)擴(kuò)大的同時(shí)，另一起供應(yīng)鏈攻擊備受關(guān)注，至少兩家銀行因使用惡意的開源軟件組件受到攻擊。

對(duì)供應(yīng)鏈的攻擊揭示了這樣的事實(shí)：軟件開發(fā)生命周期（SDLC）如果缺乏嚴(yán)格安全措施和測(cè)試標(biāo)準(zhǔn)，那是十分脆弱的。組織機(jī)構(gòu)某種程度上在供應(yīng)商面前顯得無助，以確保執(zhí)行適當(dāng)?shù)臉?biāo)準(zhǔn)，保障軟件開發(fā)基礎(chǔ)設(shè)施安全和主動(dòng)識(shí)別漏洞。盡管如此，組織機(jī)構(gòu)仍可以采取以下措施維護(hù)自身權(quán)益和追究供應(yīng)商的責(zé)任。

1）對(duì)供應(yīng)商的盡職調(diào)查：評(píng)估與供應(yīng)商相關(guān)的歷史、財(cái)務(wù)穩(wěn)定性和安全風(fēng)險(xiǎn)，并審查相關(guān)的提升鑒證能力的獨(dú)立第三方審計(jì)報(bào)告。

2）合同條款的談判：盡可能通過合同條款使組織機(jī)構(gòu)處于有利的位置追究供應(yīng)商的責(zé)任，當(dāng)信息安全事件發(fā)生時(shí)保障自身權(quán)益。

3）對(duì)供應(yīng)商表現(xiàn)的監(jiān)控：定期評(píng)估供應(yīng)商對(duì)書面約定的要求的執(zhí)行情況和考慮對(duì)第三方的安全態(tài)勢(shì)的持續(xù)監(jiān)控。

4）限制供應(yīng)商的權(quán)限：通過特權(quán)訪問管理（PAM）解決方案控制和監(jiān)控供應(yīng)商的訪問，避免授予供應(yīng)商對(duì)網(wǎng)絡(luò)的不受限制的訪問權(quán)限。

03、網(wǎng)絡(luò)釣魚

說到網(wǎng)絡(luò)威脅必然逃不開網(wǎng)絡(luò)釣魚，這種威脅仍然是一種非常普遍和成熟的攻擊形式，通常伴隨著社會(huì)工程學(xué)的元素。網(wǎng)絡(luò)釣魚的威脅不能完全通過控制的措施進(jìn)行應(yīng)對(duì)，因此阻止網(wǎng)絡(luò)釣魚攻擊最終取決于人的因素。不幸的是，網(wǎng)絡(luò)釣魚攻擊經(jīng)常得逞，因?yàn)槿藗兘?jīng)常在走神或者手忙腳亂的時(shí)候中招。根據(jù)Verizon的2023年數(shù)據(jù)泄露調(diào)查報(bào)告，74%的泄露涉及人為因素。

遺憾的是，金融業(yè)似乎是最常受攻擊的行業(yè)之一。根據(jù)APWG的網(wǎng)絡(luò)釣魚活動(dòng)趨勢(shì)報(bào)告，2022年是有記錄以來最高的一年，總共錄得470萬次網(wǎng)絡(luò)釣魚攻擊，其中 27.7%專門針對(duì)金融業(yè)。網(wǎng)絡(luò)釣魚攻擊的數(shù)量不斷增加的同時(shí)，逃避檢測(cè)的能力也在提升。生成式人工智能為攻擊者提供了一種新工具，可以濫用和制作沒有所有常見指示（例如拼寫錯(cuò)誤、語法錯(cuò)誤）的網(wǎng)絡(luò)釣魚電子郵件。除了大多數(shù)組織機(jī)構(gòu)應(yīng)當(dāng)已經(jīng)實(shí)施的現(xiàn)成的技術(shù)控制之外，我們還提供了其他可以幫助用戶避免成為最脆弱的一環(huán)。

1）不斷強(qiáng)化信息安全培訓(xùn)：定期組織網(wǎng)絡(luò)釣魚預(yù)防活動(dòng)，包括小提示和培訓(xùn)的宣貫，這有助于教會(huì)大多數(shù)員工遇到疑點(diǎn)時(shí)保持謹(jǐn)慎。

2）標(biāo)記外部電子郵件：對(duì)所有的外部電子郵件添加一個(gè)簡(jiǎn)單標(biāo)記，使終端用戶一眼就能清楚地識(shí)別這封郵件來自外部。

3）密切留意品牌仿冒：考慮增加服務(wù)，主動(dòng)監(jiān)控網(wǎng)絡(luò)上是否有任何可能針對(duì)員工或客戶的品牌仿冒的跡象。