首页 / 资源 / 新闻及趋势 / ISACA Now博客 / 2023 / 金融行业面临的三大网络威胁

金融行业面临的三大网络威胁

乔什·哈米德决定
作者: 乔什·哈米德决定, 高级副总裁, 首席信息官, 他是Altra联邦信用合作社的成员,也是ISACA新兴趋势工作组的成员
发表日期: 2023年8月4日

即使是旁观者也能看出,今年是金融行业动荡的一年. 我们可以回想一下三月 硅谷银行崩溃这引发了对金融体系稳定性的一连串恐慌. 尽管近几个月来普遍的经济担忧已经平息, 金融部门在试图转型和保持数字相关性的过程中,继续面临巨大压力, 同时保护日益受到攻击的全球互联系统网络. 在这篇博文中, 我们将简要探讨当今金融业面临的三大网络威胁, 还有一些可行的建议.

1. Ransomware

勒索软件似乎已经不是什么新鲜事了, 但攻击仍在以无情的速度造成大规模破坏. 一份报告 估计对全球经济的影响为32美元.自2018年以来,由于与金融部门的勒索软件攻击相关的停机时间,损失了30亿美元. 更令人担忧的是,有报道称,针对金融部门的勒索软件攻击正在增加. 据SOCRadar报道, 在2023年上半年,金融业是勒索软件攻击的第七大目标行业.

尽管这些趋势令金融部门不安,但还是有一些 组织可以采取的实际步骤 改善它的姿势. 虽然这些建议都不是突破性的, 它们是基础的,但随着组织将注意力转向更先进的下一代解决方案,它们经常被低估.

  1. 评估你的风险: 执行勒索软件风险评估,以确定需要进一步补救的差距. 网上有几个免费的工具 帮助评估组织的准备情况.
  2. 保持良好的网络卫生: 保持更新的资产清单, 保持定期打补丁的节奏,并不断扫描新的漏洞.
  3. 实施强大的访问控制: 根据最小特权原则限制对技术资源的访问,并利用一切机会执行MFA.
  4. 保护你的资料: 使用时防止活动不受阻碍 网络市场细分, 经常执行与网络隔离的备份,并定期测试恢复过程.
  5. 测试你的计划: 练习 桌面演习 它将技术和业务利益相关者聚集在一起,在事件发生之前测试真实场景并权衡决策.

2. 供应链

供应链攻击在2020年成为焦点,大规模的 SolarWinds黑客 据称,这影响了数千名在不知情的情况下下载受感染软件更新的客户. 这次复杂的攻击是如此精心策划,并在很长一段时间内秘密执行,以至于我们可能永远无法完全了解其影响范围. 太阳风事件发生后不久, Kaseya受到了一个零日漏洞的影响 影响了一长串托管服务提供商(msp)使用的软件, 这反过来又传染给了他们的许多客户.

快进到2023年,我们继续看到供应链攻击成为头条新闻. 最近,据称有数百家组织受到了 MOVEit的零日漏洞是一种流行的用于文件传输的软件程序. 到目前为止, 报告的受害者超过400人,其中许多据说包括 金融部门的组织. 据SC Media报道, 可能多达73个,由于供应链中复杂的关系网络,000个组织受到影响. 尽管MOVEit妥协的范围仍在继续, 银行业似乎一直是关注的焦点 另一个供应链攻击 这次攻击针对至少两家使用恶意开源软件包的银行.

供应链攻击暴露了缺乏严格的安全性和测试标准的软件开发生命周期(sdlc)的脆弱性. 在某种程度上, 组织受供应商的摆布,以确保执行足够的标准来保持其开发基础设施的安全,并主动识别漏洞. 尽管如此,组织还是可以采取一些措施来保护自己,并让供应商承担责任.

  1. 对供应商进行尽职调查: 评估与供应商相关的历史、财务稳定性和安全风险 审查任何增加保证的独立审计报告.
  2. 协商合同: 尽可能地, 确保合同中有足够的条款,使供应商承担责任,并在违约事件中提供一些保护.
  3. 监控供应商性能: 定期评估供应商对商定标准的遵从性,并考虑一个服务 持续监控第三方安全态势.
  4. 限制供应商访问: 通过使用控制和监视供应商访问的特权访问管理(PAM)解决方案,避免授予供应商不受限制的网络访问权.

3. 网络钓鱼

我们知道它要来了, 然而,网络钓鱼仍然是最普遍和经过验证的攻击形式之一, 通常与社会工程的元素相结合. 控制永远不会达到百分之百的预防, 因此,挫败网络钓鱼攻击往往归结为人类的判断. 不幸的是, 网络钓鱼策略很有效,因为它们通常足够有说服力,可以抓住那些心不在焉或忙于多任务处理的毫无防备的用户. 根据 威瑞森2023年数据泄露调查报告在美国,74%的违规行为涉及人为因素.

不幸的是,金融部门似乎是最具针对性的部门之一. 根据 APWG网络钓鱼活动趋势报告在美国,2022年是有记录以来最高的一年,有4人死亡.700万次网络钓鱼攻击,27.其中7%专门针对金融业. 随着网络钓鱼攻击的数量不断增加,它们逃避检测的能力也在不断增强. 生成式人工智能为对手提供了一个新工具 由他们支配 滥用和伪造网络钓鱼邮件 这些都没有常见的指标,比如拼写错误,语法错误等等. 除了大多数组织应该已经具备的明显的技术控制之外, 有一些步骤可以帮助用户避免成为最薄弱的环节.

  1. 训练,再训练; 源源不断的 批准网络钓鱼活动,并提供提示和培训 将有助于教学 大多数 员工要放慢速度,发现指标.
  2. 标记外部邮件: 在外部电子邮件中添加一个简单的标签,使最终用户能够清楚地看到来自组织外部的电子邮件.
  3. 注意模仿: 考虑添加 主动监视web的服务 寻找任何可能针对员工或顾客的品牌仿冒迹象.

 

ISACA年度报告

2023
复选标记

2022
复选标记

2021
复选标记

2020
复选标记

2019
复选标记