近期研究给金融服务业带来的 7 个重要启示
自从大约 10 年前我们为平台增加网络安全控制措施以来,Akamai 一直在发布 互联网现状 (SOTI) 报告 。这些报告过往都是针对一个主题,比如网络钓鱼或 API 攻击。
但这一次,我们采取了更广泛的方法,介绍了影响金融服务行业的一系列问题。我们深入研究的一些主题包括 Web 应用程序和 API 攻击、 零日 威胁、 帐户接管 (ATO),以及网络钓鱼趋势。
7 大见解
以下是我们从这项研究中了解到的七大趋势:
- 在按遭受攻击次数对各个行业的排名中,金融服务业受到的网络钓鱼攻击次数排名第 1、DDoS 攻击次数排名第 2、Web 应用程序和 API 攻击次数排名第 3。
- 针对金融机构的分布式拒绝服务 (DDoS) 攻击同比保持稳定,但攻击的区域正在转移,针对欧洲、中东和非洲的攻击增加到 73%。
- 针对金融服务行业的 Web 应用程序和 API 攻击增加最多,激增 3.5 倍。
- 研究发现,对新出现的漏洞(比如 Atlassian Confluence RCE 漏洞 (CVE-2022-26134))的利用在披露后 24 小时内开始,并迅速达到高峰。
- 攻击者专注于发起与客户相关的 ATO 攻击以及与 Web 抓取相关的攻击,针对金融机构的爬虫程序活动增长了 81%,这明确显示了这一点。
- 网络钓鱼攻击的目标主要是消费者 (80.7%),而非企业帐户;在暗网上,盗取到的消费者帐户非常枪手,买家买下这些帐户以发起欺诈相关攻击。
- 网络钓鱼活动(比如 Kr3pto)所采用的技术可绕过使用一次性密码令牌或推送通知的双重身份验证 (2FA) 解决方案。
以下是关于如何利用这些趋势的见解
现在,让我们更深入地了解每个见解,并查看针对这些趋势的当前威胁状况应采取的最佳行动。
1.金融服务行业遭受的网络钓鱼攻击次数排名第 1
与领导层讨论您的企业与同行的比较情况,以及在各个行业中的综合比较情况。高层领导和董事会通常想知道他们与其他公司和行业的比较情况,因此这是一个很好的机会,可以显示企业在各项攻击中的排名。
2.针对金融机构的 DDoS 攻击次数与以往持平
根据威胁以及不断变化的法规(比如欧盟的数字运营复原力法案 (DORA))重新评估风险状况。随着威胁的变化,必须验证您的风险偏好和风险承受度决策。在发生重大事件或变化后都要这样做,否则至少应该每年重新评估和验证一次。
3.金融服务行业遭受的 Web 应用程序和 API 攻击次数增幅最多
了解您的攻击面和风险暴露情况,这能帮您制定抵御计划。有两件事总是能提供巨大的投资回报:(1) 提高态势感知,(2) 尽可能减小攻击面。如果您拥有矩阵式环境,那么应该从内部和外部来考虑这两件事。
考虑对员工进行网络安全培训,以提高区域内的网络安全意识。在这份 SOTI 报告中,我们观察到亚太地区及日本的 Web 应用程序和 API 攻击激增了 449%,这表明该地区网络攻击的数量在不断增加。
最近的 调查 显示,超过 50% 的亚洲领导者认为,员工缺乏必要的网络培训或知识。我们认为,向员工传授知识是抵御此类攻击的第一道防线的关键组成部分。
4.对新出现的漏洞的利用可在披露后 24 小时内开始,并迅速达到高峰
准备好危机管理计划,以应对内部和第三方的零日攻击。这些计划应根据类型进行调整;例如产品、协议、威胁或硬件漏洞。在您有了针对每种新出现的威胁的行动手册之后,还需要定期进行演习,以验证和改进它们。一旦下一次零日攻击出现,这些措施就能给您带来回报,帮您减少应对工作量及攻击造成的破坏。
评估应用程序和 API 保护、Web 应用程序防火墙和微分段等抵御技术,直到补丁管理能够修复漏洞为止。
5.攻击者专注于发起与客户相关的 ATO 攻击以及与 Web 抓取相关的攻击
根据正在开展的攻击速度和威胁尝试的数量等因素,更新行动手册,并检验各种假设(可能触发威胁的因素以及抵御威胁所需的工具)。随着攻击的速度越来越快,消耗的资源也越来越多,有必要审查流程并在需要时进行更新。
6.网络钓鱼攻击更多地针对消费者帐户,而非企业帐户
要明白一点,您不仅要保护公司,还要保护您的客户和他们的访问。这应在您的事件响应计划中明确说明。通常情况下,安全运营中心和威胁情报团队都高度注重内部。
与防欺诈团队以及其他团队合作,不仅可以帮助保护员工,还可以保护客户。您希望提供能够保障访问和安全的良好客户体验。
7.网络钓鱼活动正在使用可绕过双重身份验证解决方案的技术
考虑添加 Fast Identity Online v2 (FIDO2) 标准,作为您的安全工具要求的一项标准。许多企业都拥有多重或双重身份验证解决方案,但必须定期审查威胁状况,以验证现有的解决方案仍然符合领导层的风险偏好。
我们一如既往支持采用行业最佳做法和流程,比如网络击杀链、MITRE ATT&CK 框架和 NIST 800-207 Zero Trust 架构。
五种攻击类别
我们来仔细看看攻击方法。在我们的 《2022 年网络应用和 API 威胁报告》中,我们讨论了我们看到的三种类型的活动(持续性、短暂爆发性和大爆炸性)。这一次,我们将分享在 Akamai 各系统中通过 Client Reputation 跟踪的各类攻击者。我们发现,有五个基本的攻击类别:
- 42% 为帐户接管(基于欺诈的攻击)
- 39% 为 Web 抓取程序(信息收集攻击)
- 7% 为扫描工具
- 6% 为 Web 攻击者
- 6% 为拒绝服务
最后三个类别虽然数量较少,但仍然很危险,可能对个别公司造成重大影响。
考虑将这些类别作为评估和分析您的威胁环境的思考依据,并衡量您的企业在处理每个类别方面的准备情况。在向领导层汇报您正在防御的威胁时,也可以借鉴这种分类保持清晰的条例。
总结
金融服务业的网络安全计划可以说是世界上最成熟的安全计划之一,但网络犯罪分子仍在不断创新,设法让旧式攻击方法再度发挥效力。本报告介绍了各种威胁,为您提供了重新评估计划中风险的最佳做法,以及可推动发展威胁情报和演习团队的见解。
敬请访问我们的 安全中心中概述的安全风险。
