​面对不断提升的攻击面,金融业该何去何从?
发布时间:2022-07-30 14:38:00 所属栏目:安全 来源:互联网
导读:近年来,零日漏洞的不断加剧、勒索软件的越发猖獗以及各种安全威胁的持续升级,使网络安全形势变得愈加严峻。金融服务业作为前沿技术的最佳践行者,面临的网络安全问题更加严重复杂。尤其在新冠疫情期间,移动银行应用程序、移动客户服务以及其他数字工具迅
|
近年来,零日漏洞的不断加剧、勒索软件的越发猖獗以及各种安全威胁的持续升级,使网络安全形势变得愈加严峻。金融服务业作为前沿技术的最佳践行者,面临的网络安全问题更加严重复杂。尤其在新冠疫情期间,移动银行应用程序、移动客户服务以及其他数字工具迅速得到了普及。 据IBM曾发布的数据显示,2021年全球金融业所遭受的网络攻击占其所修复攻击的22.4%,在行业排名中位居第二。而在这些网络攻击中,排在首位的是网络钓鱼攻击,占比46%,漏洞利用则排在第二,占比为31%。其他类型还包括暴力破解、虚拟专用网络(VPN)访问、远程桌面协议、可移动介质等。 金融业的数字化增长并没有因安全威胁的增加而停止。因此金融机构的网络安全团队需要一些有效方法来准确、实时地了解其攻击面,从而确定最容易被利用的漏洞并优先对其进行修补。 手动渗透测试 手动渗透测试允许查看银行的控制如何抵御现实世界的攻击,同时提供攻击者视角的附加输入。但是这个过程的成本可能会非常高昂,时间周期也可能会很长,每年最多只能完成几次,这也就意味着它无法提供实时洞察力。此外,测试结果始终取决于第三方渗透测试人员的技能和范围。如果测试人员在渗透测试期间漏掉了一个漏洞,它可能会一直不被检测到,直到被攻击者利用。 漏洞扫描 漏洞扫描是对公司网络的自动化测试,可以根据需要随时安排和运行。但是它的匹配方式比较传统,它根据版本信息的变化来确认漏洞是否存在,如果漏洞已被修复,而版本信息未同步更新,则会导致误报。在大多数情况下,网络安全团队只会收到扫描检测到的每个问题的 CVSS 严重性等级,然后将其修复。另外,漏洞扫描还存在警报疲劳的问题。面对大量需要处理的安全威胁,金融机构的安全团队需要专注于那些对业务产生最大影响的可利用漏洞。 ASV 可以提供持续覆盖,使金融机构能够实时了解其安全状况。此外,由于它模拟了现实生活中攻击者的行为,因此它比基于场景的模拟要更加深入。 不言而喻,金融机构需要更高级别的安全措施来保护其客户的数据,同时还要符合相关合规标准。 以下是可参考的一些金融机构遵循的路线图: 1)了解攻击面 绘制其面向 Web 的攻击面,他们对自己的域、IP、网络、服务和网站有了完整的了解。 2)挑战攻击面 使用最新的攻击技术安全地利用映射的资产,发现完整的攻击向量,包括内部和外部。这为他们提供了所需的知识,以了解什么是真正可利用的并且值得进行修复的资源。 3)确定漏洞修复的优先级 通过利用攻击路径模拟,他们可以精确定位每个安全漏洞对业务的影响,并对每个经过验证的攻击向量的根本原因进行重视。这为他们的团队提供了一个更容易遵循的路线图来保护他们的机构。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号