摘 要:金融服务业高度依赖网络,使服务效率获得极大提升。随着人们对数字金融服务依赖性日益增强,网络安全成为金融服务业关注的焦点。与此同时,受利益驱使,金融服务业成为网络攻击的重点目标。首先,分析了金融服务业网络安全面临的风险挑战;其次,总结了金融服务业网络安全遭受威胁的攻击类型;最后,针对相关风险挑战和威胁提出总体应对策略思考。
1.5 混合工作场所的环境变化增加 IT 系统复杂性的风险
金融服务业掌握、处理和存储着个人和机构极其敏感和有价值的数据信息,受利益驱动成为网络攻击者的重要目标之一。以信息技术为代表的新一轮科技革命,推动了金融服务业向移动化、数字化、智能化和云端化加速发展。当前,金融服务业网络安全面临各种风险挑战和威胁,给网络攻击者获取可货币化的可乘之机,网络攻击数量在过去十年中呈持续增长态势。随着金融服务业网络威胁的日益增加,增强网络安全持续保障能力,有效规避网络安全风险威胁成为一项长期而艰巨的任务。
金融服务业即从事金融服务业务的行业。目前,我国金融服务业包括银行、证券、保险、信托、基金等多个分支。网络安全风险是指敏感数据、关键资产、财务或声誉受损的可能性,这些损害通常是由网络攻击或数据泄露造成的。从 2015 年到 2021 年,银行和保险是全球网络攻击者针对性最强的目标行业。国际商业机器公司(International Business Machines Corporation,IBM)研究显示,2022 年针对金融服务业的攻击中有 70% 针对银行、16% 针对保险公司、14%针对其他金融机构。波士顿咨询公司(Boston Consulting Group,BCG)的报告显示,金融服务业成为网络攻击受害者的可能性是其他行业的300 倍,金融服务业网络犯罪的平均成本比所有其他行业高出40%。IBM《2023年数据泄露成本》报告显示,2023 年全球数据泄露的平均成本为445 万美元,其中金融服务业数据泄露的平均成本位居总平均值之上。金融服务业组织者高度关注网络威胁,根据美国州级银行监管者会议(Conference of State Bank Supervisors,CSBS)在2021 年 9 月进行的一项调查可知,超过 80% 的银行家将网络安全风险评为“极其重要”的内部风险,是任何其他类别操作风险的两倍多,超过上一年报告的 60%。
近年来,互联网、大数据、云计算、人工智能、区块链等技术加速创新,逐渐融入经济社会发展各领域全过程。金融服务业也广泛利用数字技术、大数据等进行决策服务行动,以实现经济快速增长和生活质量改善。金融机构采用云计算、人工智能、数字服务等新兴技术,满足其数字技术的创新。大多数金融机构利用基于云的服务提高信息处理、欺诈检测和财务分析能力。但同时,从本地到云的转变使得传统基于边界的防御不再有效,给机构带来了新的安全挑战。由于数字化转型,以及虚拟银行和数字金融服务的出现,使得金融服务业开始运用更多新应用程序、设备和基础架构组件,攻击面扩大。上述因素导致金融服务业及其客户的网络安全风险上升。
金融机构越来越依赖技术和数据向客户提供产品和服务,因此面临着不断变化的监管环境。由于金融服务业客户来自全球各地,因此其业务通常受到当地政府和国际监管机构监管。金融服务业除了需遵守中央政府和地方部门的规定,还应遵守国际法规,不仅需要确保数据得到适当保护,还需要确保数据符合《通用数据保护条例》(General Data Protection Regulation,GDPR)等法规定义的管辖范围以外的数据传输限制。金融服务业被委托处理大量敏感数据,这些数据必须按照多样化的法规要求进行保护。同时,金融机构越来越依赖技术和数据向客户提供产品和服务,所面临的监管环境在不断变化。随着金融机构监管范围扩大,有关数据保护、隐私标准及网络安全的要求也随之变化。复杂的监管环境导致执法更严格,监管费用和罚款随之增加,给金融服务业造成一定的资金损失。2020 年 8 月,第一资本金融公司(Capital One)因未能识别和管理网络风险导致了 2019 年的大规模数据泄露,被美国政府罚款 8 000 万美元。
金融服务业大多依靠第三方服务商实现其数字化运营,因此对网络安全几乎没有控制权,即使自己的安全系统对网络攻击具有很强的弹性,第三方服务商也有可能成为网络安全链中的薄弱环节,为网络攻击者提供访问数据的通道,很容易受到网络攻击和破坏。软件供应链攻击是指在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽和漏洞劫持或篡改合法软件,从而绕过传统的安全检查,达到非法目的的一种攻击类型。网络攻击者更多地针对软件供应商,通过看似合法的产品下载或更新,向供应链中的客户提供恶意代码,2020 年底全球发生的太阳风(Solar Winds)供应链攻击事件就是最典型的例证。
区块链是一个分布式存储数据库,通过建立“机器信任”解决传统金融服务中存在的各种痛点问题,成为金融创新的新兴技术。与此同时,区块链技术衍生出的各种金融形态,产生了复杂性更强、传播性更广的风险因素,针对这些演化而来的新型风险,使用传统的方法难以控制,给金融风险管理研究与监管制度设计带来新挑战。例如,以比特币为首的加密货币存在冲击传统货币体系、投机炒作、金融犯罪等诸多风险。随着比特币、以太坊等数字货币的兴起,数字货币的投机行为带来了套利问题,若加密货币在流通过程中因没有办法受到监管部门审核监督,则存在被洗钱、恐怖融资等非法利用的风险。
1.5 混合工作场所的环境变化增加 IT 系统复杂性的风险
自新冠疫情以后,远程工作、混合劳动力和基于云的软件技术已经无处不在。包括金融服务业在内的各个行业都在采用支持远程访问、通信和协作的新技术。混合工作场所的环境变化增加了信息技术(Information Technology,IT)系统的复杂性,由此带来新的网络风险。金融服务业从基本服务转向使用云服务展开业务活动,而云服务协议需要各种数据共享法规,这为网络攻击者打开了一扇门,方便其在财务数据上设置陷阱。线上远程办公环境给金融服务业带来数据安全和法规遵从性等风险。
全球金融服务业网络安全威胁态势在不断发生变化,影响网络安全的威胁攻击类型主要包括:勒索软件攻击、网络钓鱼攻击、Web 应用程序攻击、漏洞利用攻击、分布式拒绝服务(Distributed Denial of Service,DDoS) 攻 击、高 级 持 续 性 威 胁(Advanced Persistent Threat,APT)攻击、内部攻击等。金融服务业已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标。
勒索软件是一种恶意软件,它阻止或限制用户访问其系统或数据,向受害者声称要对外公布或出售被盗的数据,直到受害者向攻击者支付赎金。虽然任何组织都可能成为勒索软件攻击的对象,但金融服务业仍是勒索软件攻击的主要目标。NordLocker 的一项研究表明,金融业在 2022 年遭受的勒索软件攻击次数激增,修复成本也在不断增长,对于金融服务业而言,修复勒索软件攻击的平均成本为 210 万美元,这些成本包括业务中断、数据丢失、生产力损失、声誉受损、员工培训和灾难恢复等。
网络钓鱼是指通过网络钓鱼工具包,在电子交互过程中隐藏并为攻击者获取机密数据、收集除电子邮件地址和密码以外的敏感信息。例如银行卡、信用卡、身份证号码和家庭住址等信息,并进行以营利为目的的恶意操作。如今,网络攻击者能够通过托管解决方案使用网络钓鱼即服务(Phishing as a Service,PhaaS),向运营商支付在 PhaaS 模型中运行网络钓鱼活动的费用,包括欺骗性登录页面、网站托管、网络钓鱼邮件模板创建、网络钓鱼电子邮件分发、凭据解析和整体编排。相关报告显示,2022 年第三季度,金融服务业是受恶意电子邮件影响最大的行业,网络攻击者针对金融服务业的网络钓鱼攻击中,成功获得初始访问权限占比 46%。
Web 应用程序攻击是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码、修改网站权限、获取网站用户隐私信息等,常见的 Web 攻击方式有跨站脚本(Cross Site Scripting,CSS)攻击、跨站请求伪造(Cross Site Request Forgery,CSRF)攻击和SQL注入(SQL Injection)攻击等。金融服务业许多机构都在使用Web应用程序共享数据文件和协同线上工作,可能面临攻击者诱导员工点击进入不明链接,从而引发网络安全问题。Web 应用程序中的错误配置会使组织容易受到网络攻击。《2022 年互联网现状 / 安全》报告显示,Akamai 公司在 2020 年观察到全球发生了 63 亿次 Web 攻击,其中金融服务业遭受的攻击占比 12%。针对金融服务最常见的 Web 攻击类型是本地文件包含(占比 52%),其次是 SQL 注入(占比 33%)和跨站点脚本(占比 9%)。
漏洞是计算机软件、硬件或服务组件中的弱点。网络攻击者通过漏洞利用攻击能够访问目标网络,获取更高的权限执行其他恶意操作。在金融服务业,31% 的攻击是由漏洞利用造成的,网络攻击者在 2021 年针对美国金融机构的 3 次攻击中使用漏洞利用攻击作为初始访问的媒介,利用包括 Java 反序列化(CVE-2021-35464)和 Citrix 路径遍历(CVE-2019-19781)漏洞在内的多个已知漏洞,获得对受害者网络的初始访问权限。攻击者通过攻击中的零日漏洞访问目标网络,例如 Kaseya 供应链勒索软件攻击和 Microsoft Exchange Server 事件(CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 和CVE-2021-26855)。2021 年 被 利 用 的 5 大 漏洞中有 4 个是新的,其中包括 Log4j 漏洞 CVE-2021-44228。
DDoS 攻击会使网站的流量过载,导致其无法运行。网络攻击者使用 DDoS 攻击时,利用流量淹没目标网站使其崩溃。网络攻击者利用各种受感染的计算机系统生成攻击流量,并利用现成的工具包和 DDoS 出租网站执行 DDoS 攻击。DDoS 攻击中断业务运营,给受害者带来重大的经济损失,对金融机构构成重大威胁。2021 年 6 月,负责运营德国合作银行技术的德国组织 Fiducia&GADIT 成为 DDoS 攻击的目标,影响了全国 800 多家金融机构;2022 年 2 月,乌克兰政府和银行网站连遭两波大规模 DDoS 攻击,导致政府和银行网站服务受限;同年 5 月,俄罗斯最大银行 Sberbank 遭到有史以来规模最大的 DDoS 攻击,峰值流量最高达 450 GB/s。
金融服务业面临 APT 攻击。其中,发起高级持续性威胁的团体通常由国家暗中赞助,它们未经授权访问计算机网络,且能在很长一段时间内不被发现。这些复杂而隐蔽的威胁,结合了先进的入侵和欺骗技术,使网络攻击者能够访问账户管理应用程序。这类对特定机构或行业的攻击,都是有预谋的、有组织的攻击行为,其攻击方法复杂多变,能够对攻击目标造成严重的数据泄露或破坏。相关报告显示,2021 年第三季度,检测发生在银行 / 金融部门的 APT攻击占比 37%。有些网络犯罪集团会在网络上共享攻击策略、技术、程序、工具和资源,以破坏金融机构,从而导致网络攻击增加。
金融服务业内控风险通常与不恰当操作和内部控制程序、信息系统出错和人工失误等密切相关,该风险在内部控制和信息系统存在缺陷时容易导致不可预期的损失。常见的内部威胁包括:心怀不满的员工;员工的错误操作;个人滥用敏感信息谋取私利,通过窃取机密客户数据或知识产权以获取经济利益等。近年来,内部攻击越来越普遍,该攻击不仅较难检测而且危害巨大,造成系统服务中断甚至关键数据丢失。在 2020 年至 2022 年的短短两年内,全球内部威胁事件数量增加了 44%。2021 年 9 月,纽约一家信用合作社的内部人员造成了数据泄露,据称是被解雇后的一名前员工进入公司系统,在 40 分钟内删除了 21.3 GB 的公司数据和文件。
随着网络威胁的不断升级和监管需求的增加,金融机构亟须建立全面的网络安全应对策略,以保护其系统和受委托的数据免受网络攻击者攻击。
随着网络攻击者策略变化和技术迭代升级,金融服务业必须对有价值的数据和服务的防御措施进行改进,以应对不断变化的威胁形势。为实现这一目标,金融服务业机构需要建立包括人员、流程、技术在内的安全策略框架,从威胁中学习并适应针对威胁的防御措施——一种以威胁为中心的方法。大多数金融服务业机构已经在其基础设施中部署了多级防御系统,包括网络攻击防御和检测解决方案。德勤《2021 年金融网络调查》的 3 个关键发现之一是“企业可能有虚假的安全感”。为了确保在网络犯罪情况下的最大安全性,金融服务业机构在抵御网络攻击时,不仅要将影响和损失降到最小,还要保持这种弹性,以应对新出现的威胁。
访问管理策略对金融服务业数据安全性和法规遵从性至关重要。金融服务业面临着勒索软件、数据泄露等各种威胁,攻击者利用受损的凭据和特权访问实现攻击。如何对敏感客户数据的访问权限进行管理是金融行业大多数法规的主要关注点,金融服务业可以通过各种方式对数据和系统的访问权限进行管理。访问管理策略的主要组件包括:一是云访问安全代理(Cloud Access Security Broker,CASB)。CASB解决方案监视和管理对组织的基于云的应用程序的访问。随着金融服务业追求数字化转型并将核心应用程序转移到云端,CASB 解决方案对于保护敏感客户数据免受未经授权的访问变得至关重要。二是多重身份验证(Multi-Factor Authentication,MFA)。MFA 要求用户使用多因素(如密码和物理令牌)的组合向账户进行身份验证。MFA 通常根据支付卡行业数据安全标准等法规强制要求访问客户财务数据。三是特权访问管理(Privileged Access Management,PAM)。Verizon 发布的《2023 数据泄露报告》显示,74% 的安全事件被证明存在人为因素,包括错误使用权限、滥用特权、钓鱼攻击、身份泄露等。由于开放式银行和数字化转型计划,金融服务扩展了第三方关系。PAM 解决方案对于具有更高访问权限来监控、管理敏感系统和数据的账户至关重要。四是零信任网络访问(Zero Trust Network Access,ZTNA)。由 于远程办公的需求,安全的远程访问解决方案变得必不可少,以便员工可以远程访问公司数据和系统。ZTNA 解决方案可以通过提供对数据的访问,使金融机构能够管理数据安全风险,并符合法规遵从性要求。
随着金融服务业采用更加分散的 IT 基础架构,可以通过现代安全解决方案增强网络性能和安全性。一是软件定义广域网络(Software Defined Wide Area Network,SD-WAN)。SD-WAN 是一种网络优化工具,旨在通过各种网络媒体识别 SD-WAN 接入点之间的最佳路由。这可以确保延迟敏感型应用程序具有所需的网络性能,并且可以利用与 SD-WAN 解决方案一起部署或集成的安全解决方案来保护流经企业网的所有流量。二是防火墙即服务(FireWall as a Service,FWaaS)。与其他基于云的云托管解决方案一样,FWaaS 为金融服务提供更高的灵活性和可扩展性。FWaaS 可以与组织的基于云的应用程序一起部署保护网络安全,还可为本地IT 资源提供高性能和可扩展保护。
随着远程工作兴起,端点安全对于金融机构来说比以往任何时候都更加重要。由于员工在家工作,传统网络边界之外的设备可以访问敏感的企业和客户数据以及企业资源。如果这些设备感染了恶意软件,攻击者可以利用远程访问直接进行攻击。因此,金融服务需要能够预防、检测和应对员工设备上潜在的、受感染的解决方案。一些适用的网络安全解决方案包括:一是扩展检测和响应(Extended Detection and Response,XDR)。随着恶意软件和其他网络攻击日益复杂化,传统的独立端点安全解决方案变得逐渐无效。XDR 解决方案旨在采用更全面的方法来检测和修复威胁,从多个来源(端点、电子邮件、网络流量等)收集数据,并对其进行分析以识别这些攻击。二是安全网络网关(Secure Web Gateway,SWG)。员工面临的许多安全威胁都来自互联网。用户可能会意外浏览到恶意或受感染的网站,或者被网络钓鱼电子邮件定向诱导。SWG 位于用户和互联网之间并代理所有连接,使组织能够阻止对不适当或危险站点的访问并监视恶意内容。
随着网络攻击变得越来越普遍,金融服务业需要在面对攻击时做出快速响应、恢复运营,以维护系统的稳定。在金融服务业,网络攻击者访问系统的时间越长,窃取或加密有价值数据、泄露用户凭据、部署持久性机制以加深其对系统控制的机会就越多,因此 7×24 h 全天候威胁监控至关重要。越早检测到入侵指标,就能越快地采取措施防止对金融机构造成伤害。为了结束网络攻击者干预,安全团队必须监控财务数据变化情况并确定其优先级。为此,金融服务业需要了解相关威胁,培养能够应对这些威胁的安全人员,加大对黑灰产组织及网络攻击者的防范力度,通过建立黑灰产组织画像的方法,有力提升威胁事件的响应速度。
金融服务业是受政府和行业监管的、最严格的行业之一,每个组织都有监管合规的责任和义务,遵守网络安全法规对防止网络安全漏洞至关重要。不同的组织会受到各种法规约束,每个法规都有自己的要求和强制性的安全控制措施,不同的银行根据其经营范围监管相应内容。例如,在美国,金融业监管局(Financial Industry Regulatory Authority,FINRA)在跨国层面运作,货币监理署(Office of the Comptroller of the Currency,OCC)在国家层面运作,纽约州金融服务部(New York Department of Financial Services,NYDFS)在州一级运作。金融服务业应符合国际的监管和监督降低合规成本,因此必须制订全面的网络安全计划,实施强大的网络安全标准,创建内部报告系统。当前,制订安全计划时必须考虑的法规包括:一是 GDPR。欧盟 GDPR 是对个人数据保护具有深远影响的法规之一,在其合规性要求中内置了安全性。任何处理欧盟公民数据的公司均受 GDPR 的约束。二是《萨班斯 - 奥克斯利法案》(Sarbanes-Oxley Act,SOX)。SOX 是一项美国法规,旨在保护上市公司的股东。它侧重于规范企业透明度,以防止金融欺诈。三是《支付卡行业数据安全 标 准》(Payment Card Industry Data Security Standard,PCI DSS)。PCI DSS 由主要支付卡品牌开发,用于保护持卡人数据。所有处理支付卡交易的商户均须受 PCI DSS 约束。四是《银行保密法》(Bank Secrecy Act,BSA)。BSA 是美国的一项法规,也称为货币和外汇交易报告法。其重点是防止洗钱和资助恐怖主义。五是《格雷姆 - 里奇 - 布里利法案》(Gramm-Leach-Bliley Act,GLBA)。GLBA 是一项美国联邦法规,旨在保护金融机构的客户。
网络威胁在任何国家扩散都会使世界变得不安全,弥合这些差距需要标准制定机构、各国监管机构、行业协会、私营部门、执法机构、国际组织及其他能力建设者共同合作努力。通过采取没收网络犯罪者收益、法律程序起诉罪犯等有效措施,加重网络攻击者攻击成本及其所要承担的法律后果。进一步加强国际合作,防止、破坏和威慑攻击者,从源头上遏阻金融服务业网络安全威胁的发生。例如,2021 年 3 月5 日,欧盟网络安全局(European Union Agency for Cybersecurity,ENISA)发布《欧盟金融领域网络安全倡议》,阐述欧洲在金融领域部署的与网络安全有关的政策举措,实现了金融部门间的协调合作,提升了网络弹性。
金融服务业的业务开展高度依赖金融网络和信息系统支撑。同时,由于其涉及大量敏感数据和资金流动,具有极高的回报潜力,因此成为黑客组织和不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标。随着针对金融服务业机构的 APT 攻击、精准式网络攻击日益猖獗,网络安全威胁不断飙升。近几年,金融服务业对数字环境依赖程度日益扩大,对此,监管部门及金融机构需要不断考虑和完善网络安全的期望,重视金融服务业网络安全,守住不发生重大风险和安全事件底线,做好应对风险挑战和威胁的准备。
引用格式:嵇海丽周 . 金融服务业网络安全风险威胁分析和应对策略 [J]. 信息安全与通信保密 ,2023(12):105-113.
嵇海丽周,女,硕士,产品营销经理,主要研究方向为网络信息技术安全的产品管理和技术品牌创新等。
编辑:陈十九
审核:商密君
原文始发于微信公众号(商密君):金融服务业网络安全风险威胁分析和应对策略
评论