網路攻擊鎖定金融服務企業的 3 個原因以及防禦方式

This post is also available in: English (英語) 日本語 (日語)

網路罪犯的人數和複雜程度都在增加,網路罪犯的目標鎖定變得更具策略性,專注於最大效率和獲利。隨著有關全球網路犯罪的數據持續湧入,可以看出金融服務企業確實成為頭號鎖定目標。

雖然金融服務企業在網路安全人員、工具和相關投資方面的支出持續超過大多數業界同行,不過網路攻擊仍然持續發生。

下列是金融服務企業成為網路罪犯頭號目標的 3 個關鍵原因、最常見的網路攻擊類型以及企業的防禦方式。

金融服務企業成為網路罪犯頭號目標的原因

1.鎖定有能力支付大筆金額的金融服務企業

金融服務企業成為威脅行動者偏好鎖定的目標並非巧合。道理其實很簡單。威脅行動者鎖定有所需的數據可以外洩而且有能力支付大筆金額的目標。數據能夠出售來換取金錢,而且入侵弱點可以獲得數據和金錢。

威脅行動者的鎖定方法以及確定最有利可圖的產業、企業和個人所採取的方式變得愈來愈複雜。網路罪犯每年都在進行更多的研究和偵察,藉以更確實鎖定受害者、盡可能提高經濟報酬,並提升成功的機率。

擁有大量金融和數據資產的金融服務企業是最佳目標。這些企業不僅控制和管理有價值的數據,而且也必須滿足客戶持續需要絕佳數位體驗的需求。

2.數位轉型正在擴大攻擊範圍

客戶對於輕鬆即時取得金融數據的需求正在推動金融服務企業的數位轉型。雲端技術、數據分析和機器人技術正在成為大型機構因應數位經濟挑戰和客戶期望的重要工具。但是這些新技術擴大了攻擊範圍和威脅行動者利用弱點的能力。

此外,金融服務企業目前與傳統競爭對手、金融科技公司,甚至大型科技公司合作,為客戶提供更有吸引力的數位體驗。客戶數據由金融服務企業收集並與合作夥伴共享,藉以獲得洞察力、自訂產品等等。但是數據遺失、濫用和甚至業務中斷的情況也因此發生。

需要更強大且更安全的數位服務模型和第三方合作夥伴來協助金融服務企業以有效的方式滿足數位需求,不過這通常會導致更多的安全複雜度。這些日益複雜的 IT 系統更難進行點對點保護。此外,僅關注法規合規性可能會造成落差。

另一個潛在的弱點是透過遠端存取技術運用第三方供應商的能力。這可能會對金融服務機構產生影響,因為可能會在機構不知情的情況下進行不安全的設定。

相較於大型機構,小型金融機構 (包括信用合作社和資產管理公司) 可能沒有充足的 IT 或安全人員在現場提供深入的網路安全服務。這些較小的公司也可能使用電子郵件進行金融交易,這為威脅行動者提供了介入交易流程的機會。

3.保護數位資產有挑戰性

保護數位資產不是一勞永逸的過程。這需要持續的監控和管理,藉以加速數位環境和現用系統的持續演變。

然而,尋找合適的內部 IT 安全人員和第三方網路安全廠商來支援這項技術對於各種規模的企業來說都很有挑戰性。

實施 IT 基礎結構需要時間和專業知識。這需要企業尋找合適的團隊成員,透過新流程來教育和帶領企業。此外,監控和管理數據安全需要持續的訓練、弱點測試並專注於領先因應新的威脅和持續發展的威脅。隨著採用新的雲端技術,團隊成員也必須了解「共擔責任模型」以及如何執行雲端安全控制和保護敏感數據的其他設定。

哪些類型的攻擊會威脅金融服務企業?

金融服務企業受到各種威脅類型的影響,包括公司電子郵件入侵 (BEC) 和內部威脅。

按照 FBI 的說法,BEC 是「精心設計的騙局,鎖定執行合法資金轉移請求的企業和個人。」為了設下這類騙局,攻擊者經常會入侵合法電子郵件帳戶來執行未獲授權的資金轉移,不過 BEC 也可能包括其他變體。由於可以直接從網際網路存取如此多的電子郵件帳戶,遭竊的憑證不僅會導致資金損失,也會導致敏感數據洩露。

當企業成員移除或洩露數據或資訊時,就會發生內部威脅。這麼做是為了個人或經濟利益,或者為了破壞企業的聲譽。內部攻擊可能包括洩露機密資訊、竊取智慧財產和未獲授權存取敏感資訊。

除了這些攻擊類型之外,在敏感數據無意洩露方面,金融服務企業也受到不成比例的影響,敏感數據的意外洩露通常是由於雲端設定或網路應用程式的錯誤設定所致。由於金融服務企業嚴重仰賴雲端解決方案和客戶適用的應用程式來加速數據管理和客戶服務模型,因此發生錯誤的機率也會增加。威脅行動者持續尋找這類機會來利用暴露的數據。

金融服務企業如何阻止網路攻擊?

為了妥善保護金融服務企業免於遭受網路威脅,必須實施網路安全措施和安全最佳實務,包括零信任多因素驗證 (MFA) 等等DevSecOps

進行網路安全測試和訓練也很重要。這包括每年進行兩次超越基礎要點的深入安全意識訓練,以便員工學習如何發現進階威脅策略。訓練計劃應該包括針對公司個別群組的自訂模組,說明他們會如何遭到攻擊。訓練範例應該涵蓋進階網路釣魚技術 (每次都變得愈來愈複雜)、廣泛的社交工程策略、內部威脅活動的跡象 (包括匿名報告問題的方法) 和實體安全性。

對雲端平台的安全和 IT 人員進行有針對性的深入訓練也有其必要。

任何產業都有弱點,不過金融服務企業由於控制的金融和數據資產而經常淪為網路攻擊的目標。確保針對正確的領域進行安全投資,而且對員工進行適當訓練,藉以監控和管理威脅,這將有助於金融服務企業更確實防範大量駭客入侵。

為了優先處理最完善的安全作業,安全評估和滲透測試在以適當的嚴格程度進行時,可以識別弱點和更好的目標投資。如需有關主動評估網路安全整備程度和需求的詳細資訊,請聯絡 Unit 42。