為什么金融服務(wù)公司必須優(yōu)先阻止網(wǎng)絡(luò )攻擊的興
發(fā)布時(shí)間:2021-07-04 12:50
來(lái)源:企業(yè)網(wǎng)D1Net
閱讀:0
作者:Nick Caley
欄目: 網(wǎng)絡(luò )安全
自從冠狀病毒疫情發(fā)生以來(lái)�,數字渠道的采用在各行業(yè)領(lǐng)域都在呈指數級增長(cháng)�。這種轉變使96%的組織對某種形式的數字暴露持開(kāi)放態(tài)度���,為網(wǎng)絡(luò )犯罪分子和欺詐者提供了網(wǎng)絡(luò )攻擊的機會(huì )���。
金融機構的數據泄露���、欺詐和勒索軟件攻擊急劇增加���。這已經(jīng)敲響了警鐘����,因為它們處理一些最敏感和最有價(jià)值的個(gè)人身份信息(PII)����,并且是國民經(jīng)濟的基石�。
數據泄露對金融服務(wù)公司的影響是代價(jià)高昂的����,不僅因為數據本身具有的價(jià)值���,還因為隨之而來(lái)的聲譽(yù)損害和監管負擔��。隨著(zhù)數字化在未來(lái)的發(fā)展�,漏洞發(fā)生的頻率不斷上升��,金融機構必須將提高其安全性作為優(yōu)先事項�����。
數字化和網(wǎng)絡(luò )攻擊:同一枚硬幣的兩個(gè)方面?
在過(guò)去的一年多時(shí)間中����,人們目睹了大規模的數字遷移���,因為幾乎所有的事情都在網(wǎng)上進(jìn)行���。而作為回應��,金融服務(wù)行業(yè)經(jīng)歷了快速而震撼的轉變����。
現在���,50%的消費者每周至少通過(guò)應用程序或網(wǎng)站與銀行互動(dòng)一次�����,而兩年前其比例只有32%����。隨著(zhù)在線(xiàn)時(shí)間的增加���,客戶(hù)的期望也在增加��?���?蛻?hù)現在選擇網(wǎng)上銀行或移動(dòng)銀行����,無(wú)論他們使用什么設備�,也無(wú)論他們是在工作�����、在家還是在路上��,都可以獲得更好的體驗�����。在創(chuàng )造更好的用戶(hù)體驗的競爭中�,金融服務(wù)提供商必須通過(guò)改進(jìn)數據使用來(lái)更好地了解他們的客戶(hù)是誰(shuí)�、他們在哪里以及他們使用什么設備�����。
這種數字化的速度和規模使金融服務(wù)行業(yè)變得更加脆弱���。而繼醫療保健行業(yè)之后���,金融服務(wù)行業(yè)成為網(wǎng)絡(luò )攻擊者最主要的攻擊目標��,占到所有數據泄露事件的12%����。ForgeRock公司日前發(fā)布的一份調查報告表明��,針對金融服務(wù)行業(yè)的勒索軟件攻擊增加了471%——從2020年第一季度報告的7起事件增加到2020年第二季度的40起��。
勒索軟件和未經(jīng)授權訪(fǎng)問(wèn)漏洞的大量增加表明���,網(wǎng)絡(luò )犯罪分子在金融服務(wù)機構最容易受到網(wǎng)絡(luò )攻擊的時(shí)候專(zhuān)門(mén)針對金融數據�����。在實(shí)施新的數字解決方案的熱潮中���,一些金融服務(wù)公司在建設足夠的安全基礎設施方面出現了不足�。
最重要的是���,金融服務(wù)行業(yè)正在經(jīng)歷監管轉型期����。金融服務(wù)公司一直承受著(zhù)滿(mǎn)足歐盟通用數據保護條例(GDPR)�、修訂后的支付服務(wù)指令2(PSD2)以及英國和歐盟的開(kāi)放銀行等法規的壓力���。在瞬息萬(wàn)變的環(huán)境中�����,許多企業(yè)難以遵守規定�,從而將他們的消費者數據和安全置于危險之中��。
不可否認數據泄露問(wèn)題的嚴重性�����,特別是勒索軟件攻擊�����。在發(fā)生了幾起備受關(guān)注的網(wǎng)絡(luò )攻擊之后�����,美國司法部宣布將把對勒索軟件攻擊的調查提升到與恐怖主義類(lèi)似的優(yōu)先級��。與此同時(shí)�����,英國網(wǎng)絡(luò )防御負責人警告說(shuō)���,與一些在線(xiàn)間諜活動(dòng)相比����,勒索軟件攻擊現在對英國國家安全構成的威脅更大���。
2019年��,金融服務(wù)行業(yè)為英國經(jīng)濟貢獻了1320億英鎊���,占經(jīng)濟總量的6.9%���。鑒于金融數據的價(jià)值��,網(wǎng)絡(luò )犯罪分子不斷針對金融服務(wù)行業(yè)進(jìn)行網(wǎng)絡(luò )攻擊也就不足為奇了�。預計今年勒索軟件攻擊的損失將增長(cháng)到149億英鎊�����,這是必須阻止的趨勢��。
但這不僅僅是財務(wù)和成本的當務(wù)之急�����,違規行為可能會(huì )破壞企業(yè)的聲譽(yù)�。2020年英國最引人注目的網(wǎng)絡(luò )安全事件之一是對英國外匯商Travelex公司的勒索軟件攻擊�,該公司由于計算機病毒入侵而被迫關(guān)閉其網(wǎng)絡(luò )����。后來(lái)發(fā)現該公司已向黑客支付了180萬(wàn)英鎊的贖金�,這一舉動(dòng)被業(yè)界批評����,認為將會(huì )鼓勵更多網(wǎng)絡(luò )攻擊��。該公司在此陷入運營(yíng)困境�,不得不進(jìn)行重組����,并裁員1300人���。
構建嚴密的安全基礎設施
為了扭轉這種日益嚴重的威脅�����,金融服務(wù)公司需要優(yōu)先加強其安全態(tài)勢——他們應該采取三個(gè)關(guān)鍵步驟�����,來(lái)幫助他們保護消費者數據�����、防止聲譽(yù)受損��,并避免違規成本�����。
安全從業(yè)人員很清楚��,網(wǎng)絡(luò )攻擊可能來(lái)自任何地方:消費者��、員工或物聯(lián)網(wǎng)設備(即連接網(wǎng)絡(luò )的設備)�。因此��,金融服務(wù)公司必須實(shí)施一種解決方案來(lái)解決這三種潛在的攻擊媒介�����,而不僅僅是一兩個(gè)�。做到這一點(diǎn)的最佳方法是圍繞“數字身份”的概念構建一個(gè)安全設施——即使用實(shí)時(shí)場(chǎng)景數據來(lái)識別客戶(hù)�、員工或連接設備是誰(shuí)����,他們應該訪(fǎng)問(wèn)什么����。采用以身份為中心的方法有一個(gè)額外的好處����,一旦有足夠的保證知道它是正確的設備���、客戶(hù)或員工����,那么也可以建立更好的用戶(hù)體驗����。
一旦金融服務(wù)公司擁有圍繞身份構建的安全功能�����,下一步應該是納入“零信任”政策�����。這在實(shí)踐中意味著(zhù)要求每臺設備上的每個(gè)用戶(hù)都只有適當級別的權限�����,并且在被授予訪(fǎng)問(wèn)權限之前經(jīng)過(guò)身份驗證��。為了應對當前級別的復雜攻擊�����,企業(yè)應該假設第三方并不能讓人信任���,直到他們以其他方式進(jìn)行驗證����。構建混合訪(fǎng)問(wèn)控制平臺意味著(zhù)金融服務(wù)公司可以始終確保他們無(wú)論在何種環(huán)境中部署他們的服務(wù)�����,他們都要知道誰(shuí)在訪(fǎng)問(wèn)他們的系統——并且將有效邊界從網(wǎng)絡(luò )邊緣移動(dòng)到每個(gè)單獨的存儲數據����。
最后�����,企業(yè)應該利用人工智能的新應用來(lái)加速和簡(jiǎn)化這種增強的身份和訪(fǎng)問(wèn)管理(IAM)系統�。身份治理是一個(gè)自動(dòng)化系統��,其中最先進(jìn)的系統利用人工智能自動(dòng)識別并應用適當的用戶(hù)訪(fǎng)問(wèn)權限�����。它還能夠自動(dòng)識別可疑的訪(fǎng)問(wèn)請求模式�,在違規發(fā)生之前發(fā)出警報����。這對企業(yè)的影響是�,負責監管用戶(hù)訪(fǎng)問(wèn)的安全團隊可以用更少的資源更快地完成任務(wù)——并且他們從被動(dòng)防御轉變?yōu)橹鲃?dòng)預防����。
結論
網(wǎng)絡(luò )犯罪分子充分利用了疫情帶來(lái)的混亂和影響�。數字遷移暴露了金融服務(wù)公司普遍存在的系統安全漏洞��,并使保護敏感數據變得越來(lái)越困難�����。如果金融服務(wù)公司想在新數字時(shí)代蓬勃發(fā)展���,他們必須將加強網(wǎng)絡(luò )安全作為優(yōu)先事項�。
將以身份為中心的安全方法�����、零信任態(tài)勢和現代人工智能支持的身份治理解決方案結合起來(lái)����,這對金融服務(wù)公司來(lái)說(shuō)至關(guān)重要����。成功的回報將是持續的客戶(hù)忠誠度和成功�,但失敗的代價(jià)可能是巨大的�。
