金融服務(wù)公司須優(yōu)先阻止網(wǎng)絡(luò)攻擊

張如旭

自從新型冠狀病毒疫情發(fā)生以來，數(shù)字渠道的采用在各行業(yè)領(lǐng)域都呈現(xiàn)指數(shù)級增長。這種轉(zhuǎn)變使 96 %的組織對某種形式的數(shù)字暴露持開放態(tài)度，為網(wǎng)絡(luò)犯罪分子和欺詐者提供了網(wǎng)絡(luò)攻擊的機(jī)會

金融機(jī)構(gòu)的數(shù)據(jù)泄露、欺詐和勒索軟件攻擊急劇增加，已經(jīng)敲響了警鐘，因為它們在處理一些最敏感和最有價值的個人身份信息（PII），并且是國民經(jīng)濟(jì)的基石。

數(shù)據(jù)泄露對金融服務(wù)公司的影響是代價高昂的，不僅因為數(shù)據(jù)本身具有的價值，還因為隨之而來的聲譽(yù)損害和監(jiān)管負(fù)擔(dān)。隨著數(shù)字化在未來的發(fā)展，漏洞發(fā)生的頻率不斷上升，金融機(jī)構(gòu)必須將提高其安全性作為優(yōu)先事項。

數(shù)字化和網(wǎng)絡(luò)攻擊

在過去的一年多時間里，人們目睹了大規(guī)模的數(shù)字遷移，因為幾乎所有的事情都在網(wǎng)上進(jìn)行，金融服務(wù)行業(yè)經(jīng)歷了快速而震撼的轉(zhuǎn)變。

現(xiàn)在，50 %的消費者每周至少通過應(yīng)用程序或網(wǎng)站與銀行互動一次，而兩年前其比例只有 32 %。隨著在線時間的增加，客戶的期望也在增加?？蛻衄F(xiàn)在選擇網(wǎng)上銀行或移動銀行，無論他們使用什么設(shè)備，也無論他們是在工作、在家還是在路上，都可以獲得更好的體驗。在創(chuàng)造更好用戶體驗的競爭中，金融服務(wù)提供商必須通過改進(jìn)數(shù)據(jù)使用來更好地了解他們的客戶是誰、在哪里以及使用什么設(shè)備。

這種數(shù)字化的速度和規(guī)模使金融服務(wù)行業(yè)變得更加脆弱。而繼醫(yī)療保健行業(yè)之后，金融服務(wù)行業(yè)成為網(wǎng)絡(luò)攻擊者最主要的目標(biāo)，占到所有數(shù)據(jù)泄露事件的 12 %。Forge Rock 公司日前發(fā)布的一份調(diào)查報告表明，針對金融服務(wù)行業(yè)的勒索軟件攻擊增加了 471 %，從 2020 年第一季度報告的 7 起事件增加到 2020 年第二季度的 40 起。

勒索軟件和未經(jīng)授權(quán)訪問漏洞的大量增加表明，網(wǎng)絡(luò)犯罪分子在金融服務(wù)機(jī)構(gòu)最容易受到網(wǎng)絡(luò)攻擊的時候?qū)ｉT針對金融數(shù)據(jù)。在實施新的數(shù)字解決方案的熱潮中，一些金融服務(wù)公司在建設(shè)足夠的安全基礎(chǔ)設(shè)施方面出現(xiàn)了不足。

最重要的是，金融服務(wù)行業(yè)正在經(jīng)歷監(jiān)管轉(zhuǎn)型期。金融服務(wù)公司一直承受著滿足歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）、修訂后的支付服務(wù)指令 2（PSD2）以及英國和歐盟的開放銀行等法規(guī)的壓力。在瞬息萬變的環(huán)境中，許多企業(yè)難以遵守規(guī)定，從而將他們的消費者數(shù)據(jù)和安全置于危險之中。

網(wǎng)絡(luò)安全漏洞的真正代價

不可否認(rèn)數(shù)據(jù)泄露問題的嚴(yán)重性，特別是勒索軟件攻擊。在發(fā)生了幾起備受關(guān)注的網(wǎng)絡(luò)攻擊之后，美國司法部宣布將對勒索軟件攻擊的調(diào)查提升到與恐怖主義類似的優(yōu)先級。與此同時，英國網(wǎng)絡(luò)防御負(fù)責(zé)人警告說，與一些在線間諜活動相比，勒索軟件攻擊現(xiàn)在對英國國家安全構(gòu)成的威脅更大。

2019 年，金融服務(wù)行業(yè)為英國經(jīng)濟(jì)貢獻(xiàn)了 1 320 億英鎊，占經(jīng)濟(jì)總量的 6.9 %。鑒于金融數(shù)據(jù)的價值，網(wǎng)絡(luò)犯罪分子不斷針對金融服務(wù)行業(yè)進(jìn)行網(wǎng)絡(luò)攻擊也就不足為奇了。預(yù)計今年勒索軟件攻擊的損失將增長到 149 億英鎊，這是必須阻止的趨勢。

但這不僅僅是財務(wù)和成本的當(dāng)務(wù)之急，違規(guī)行為可能會破壞企業(yè)的聲譽(yù)。2020 年英國最引人注目的網(wǎng)絡(luò)安全事件之一是對英國外匯商 Travelex 公司的勒索軟件攻擊，該公司由于計算機(jī)病毒入侵而被迫關(guān)閉其網(wǎng)絡(luò)。后來發(fā)現(xiàn)該公司已向黑客支付了 180 萬英鎊的贖金，這一舉動被業(yè)界批評，認(rèn)為將會鼓勵更多網(wǎng)絡(luò)攻擊。

構(gòu)建嚴(yán)密的安全基礎(chǔ)設(shè)施

為了扭轉(zhuǎn)這種日益嚴(yán)重的威脅，金融服務(wù)公司需要優(yōu)先加強(qiáng)其安全態(tài)勢，他們應(yīng)該采取 3 個關(guān)鍵步驟，來幫助他們保護(hù)消費者數(shù)據(jù)、防止聲譽(yù)受損，并避免違規(guī)成本。

安全從業(yè)人員很清楚，網(wǎng)絡(luò)攻擊可能來自任何地方：消費者、員工或物聯(lián)網(wǎng)設(shè)備。因此，金融服務(wù)公司必須實施一種解決方案來解決這 3 種潛在的攻擊媒介，而不僅是 1～2 個。做到這一點的最佳方法是圍繞數(shù)字身份的概念構(gòu)建一個安全設(shè)施——即使用實時場景數(shù)據(jù)來識別客戶、員工或連接設(shè)備是誰，他們應(yīng)該訪問什么。采用以身份為中心的方法，優(yōu)點是，一旦有足夠的保證知道它是正確的設(shè)備、客戶或員工，那么也可以建立更好的用戶體驗。

一旦金融服務(wù)公司擁有圍繞身份構(gòu)建的安全功能，下一步應(yīng)該是納入零信任政策。這在實踐中意味著每臺設(shè)備上的每個用戶都只有適當(dāng)級別的權(quán)限，并在被授予訪問權(quán)限之前經(jīng)過身份驗證。為了應(yīng)對當(dāng)前級別的復(fù)雜攻擊，企業(yè)應(yīng)該假設(shè)第三方并不能讓人信任，直到他們以其他方式進(jìn)行驗證。構(gòu)建混合訪問控制平臺意味著金融服務(wù)公司可以始終確保無論在何種環(huán)境中部署服務(wù)，都可以知道誰在訪問他們的系統(tǒng)—— 并且將有效邊界從網(wǎng)絡(luò)邊緣移動到每個單獨的存儲數(shù)據(jù)。

最后，企業(yè)應(yīng)該利用人工智能的新應(yīng)用來加速和簡化這種增強(qiáng)的身份和訪問管理（IAM）系統(tǒng)。身份治理是一個自動化系統(tǒng)，其中最先進(jìn)的系統(tǒng)利用人工智能自動識別并應(yīng)用適當(dāng)?shù)挠脩粼L問權(quán)限。它還能自動識別可疑的訪問請求模式，在違規(guī)發(fā)生之前發(fā)出警報。這對企業(yè)的影響是，負(fù)責(zé)監(jiān)管用戶訪問的安全團(tuán)隊可以用更少的資源更快地完成任務(wù)，并且從被動防御轉(zhuǎn)變?yōu)橹鲃宇A(yù)防。

網(wǎng)絡(luò)犯罪分子利用了疫情帶來的混亂和影響。數(shù)字遷移暴露了金融服務(wù)公司普遍存在的系統(tǒng)安全漏洞，并使保護(hù)敏感數(shù)據(jù)變得越來越困難。

將以身份為中心的安全方法、零信任態(tài)勢和現(xiàn)代人工智能支持的身份治理解決方案結(jié)合起來，這對金融服務(wù)公司來說至關(guān)重要。成功的回報將是持續(xù)的客戶忠誠度，但失敗的代價可能是巨大的。