"當",而不是 "如果"。對于金融網絡安全團隊來說,應對定期的網絡攻擊是工作的一部分。2021年,幾乎23%的網絡攻擊是針對金融機構的。而63%的金融機構在去年經歷了破壞性攻擊的增加。
有幾個因素正在塑造今天的金融服務威脅景觀:
●監管態度和匆忙的數字化轉型正在擠壓安全團隊的工作空間。
●有利可圖的攻擊者和國家支持的團體都在更頻繁地針對金融服務。
●使用復雜技術和模仿合法行為的高級威脅可以繞過基于掃描的安全控制。
不幸的是,使用現狀安全控制或一刀切的解決方案堆棧無法有效降低這些風險。相反,現在是組織構建強大的深度防御(DID)的時候了。
金融業數字化轉型創造了新的風險,也使舊的風險再次出現
金融業數字化轉型有一些明顯的弊端。一般來說,金融IT環境的連接度越高,發生漏洞的風險就越大。將金融網絡更深入地整合到云端,給了威脅者新的網絡入口,并重新點燃了休眠的攻擊載體。
然而,即使進行了數字化轉型,金融機構仍將在一段時間內依賴傳統的服務器。而這些以Linux和Unix為主的構建通常有幾十年的歷史,要么沒有受到保護,要么只被傳統的防病毒(AV)解決方案所覆蓋?,F代端點檢測和響應(EDR)解決方案由于在傳統系統環境中工作而受到挑戰。它們往往過于耗費資源,并將常規的傳統程序作為潛在的威脅。
為了保護遺留服務器,安全團隊依靠分段和網絡隔離等策略。然而,隨著網絡復雜性的增加,傳統服務器在不知不覺中被暴露的風險也在增加。
金融業數字化轉型的另一個風險是對第三方軟件和SaaS的使用越來越多。正如SolarWinds黑客事件所顯示的那樣,供應鏈風險從未因按需使用軟件而遠離。在2022年VMWare的一項研究中,每10家金融機構中約有6家表示他們注意到今年的供應鏈攻擊有所增加,比前一年增加了58%。
合并和收購等事件通過向網絡引入更多的漏洞來源,進一步加劇了這些風險。
但對金融機構來說,數字化轉型風險的最大來源可能是將流程、工作負載和數據存儲轉移到云端。大多數云遷移都充滿了漏洞。例如,微軟Azure虛擬機的錯誤配置率超過60%。
針對金融機構的高級攻擊
圍繞金融機構的安全環境是一個兩面性的硬幣。一面是金融機構自身造成的漏洞。另一方面是高級威脅。
無文件攻擊、零日攻擊、勒索軟件、供應鏈攻擊和其他在運行時針對內存的攻擊曾經是高級持續性威脅(APT)行為者的武器。它們很少在野外出現。今天,它們無處不在。2021年的Picus報告發現,防御規避是MITRE ATT&CK在攻擊鏈中最常見的戰術。
去年,五個最常見的ATT&CK方法中有三個涉及設備內存。像Emotet特洛伊木馬這樣的老的銀行專用威脅正以新的內存功能重新出現。
針對Linux的高級威脅也越來越多。今年年初發現的Symbiote惡意軟件株被設計為在Linux環境中避免基于遙測的檢測。
威脅者利用Cobalt Strike等工具在金融網絡中徘徊,橫向移動,并打開后門。然后,他們使用遠程代碼執行或部署RATs,作為勒索軟件等破壞性攻擊的前奏。Morphisec的事件響應團隊經常看到像這樣的威脅處于休眠狀態,等待機會進入關鍵的服務器環境。
地緣政治風險也在增加針對金融機構的這類威脅的頻率。
推動改善金融網絡安全需求的其他因素
金融機構一直受到廣泛的網絡相關規則和標準的約束?,F在,監管機構對網絡安全和隱私的看法正在改變。
從歐盟的GDPR到加州的CPRA,新的和不斷發展的立法顯示了監管機構是如何轉變的。他們的重點是確保IT系統的完整性和可用性;現在則越來越多地關注補救消費者的保密風險。
捉襟見肘的金融安全團隊將不得不把更多的時間用于遵循以隱私為中心的新法規。一份報告指出,一個CISO和他的團隊如何花費40%的時間來協調各種監管機構的要求。有時會以犧牲實際的網絡安全為代價。
不符合法規可能意味著高額罰款和集團訴訟。Capital One銀行2019年的數據泄露事件導致了8000萬美元的罰款和多起訴訟。越來越多的消費者更傾向于將數據泄露的責任歸咎于金融機構,而不是黑客。
過去,一些金融機構可以依靠網絡保險來承擔涉及客戶個人身份信息(PII)泄露的部分責任。但是,保險越來越貴了。而且,首先獲得保險的難度越來越大,所以對許多機構來說,這可能不再是一種可能性。據報道,摩根大通已經減少了其網絡安全保險。
倫敦勞合社等保險商打算從2023年開始將國家支持的網絡攻擊排除在保險范圍之外。最近的一項Trellix調查發現,45%經歷過漏洞的金融機構和保險公司表示,他們認為俄羅斯是其背后的支持者。
即使網絡保險是可能的,它也不能保證人們的安心。反過來說,它實際上可以增加金融機構的網絡攻擊風險。一個來自臭名昭著的勒索軟件集團REvil的代表稱擁有網絡保險的機構是 "最美味的小菜之一"。他說,他們首先入侵保險公司,"......以獲得他們的客戶群,并在此基礎上有針對性地開展工作。在你通過名單后,再攻擊保險公司本身。"
深度防御對金融機構至關重要
由于具有橫向移動能力的逃避性惡意軟件,針對金融業的威脅者有很多途徑可以利用。這些途徑包括從物聯網設備和終端到暴露的服務器和供應鏈產品的漏洞,以及承包商或第三方使用的軟件。
所有這些攻擊載體都提供了一個通往關鍵服務器和利潤的潛在途徑。為了對付它們,金融機構的安全團隊必須在分層基礎上部署最佳解決方案。
這就是深度防御(DiD)的作用。深度防御不是依靠單一的解決方案或供應商提供的解決方案集,而是使用多層防御機制來保護一個組織的網絡和資產,創造關鍵的冗余。
有了DiD,即使你的安全堆棧中的一個層發生故障,也有另一個后備層來檢測/預防威脅。
MDT和深入防御
在宏觀層面上,DiD控制了這樣一個事實,即沒有一個層或控制可以抓住試圖滲透到組織環境中的每一個威脅。然而,每一層的邏輯也是如此。
傳統的安全工具,如下一代防病毒軟件(NGAV)、EDR、終端保護平臺(EPP)和擴展檢測和響應(XDR),擅長發現具有可識別特征的已知威脅。但它們在檢測和阻止未知的惡意軟件,以及無文件、內存中和逃避性威脅方面并不有效。這些是去年MITRE ATT&CK最常見的五個威脅中的三個。為了有效地阻止這些高級威脅,需要另一個層次,如移動目標防御(MTD)技術。
MTD旨在阻止端點和服務器上的高級威脅。與傳統的網絡安全工具不同,MTD不需要找到一個看起來很危險的簽名或活動。相反,MTD在運行期間對內存環境進行變形,使威脅無法找到其目標。它通過提供主動的、自動的、預防性的安全,打破了傳統網絡安全解決方案的被動軍備競賽。這使關鍵的內存資產(如哈希密碼)不被威脅者發現,并防止殼注入和緩沖區溢出漏洞等技術找到他們的目標。
-
網絡攻擊
+關注
關注
0文章
331瀏覽量
23444
發布評論請先 登錄
相關推薦
評論