網絡攻擊始于混亂。習慣于對價格和利率的變化迅速反應的很多銀行交易員表示有些交易難以完成。尋求幫助的電子郵件沒有得到回復，一部分原因是系統癱瘓，一部分原因是IT部門更關心的是似乎在其數據庫中肆虐的惡意軟件，而不是其交易市場的完整性。可能在幾個小時內，關于貸款協議、對沖模型、經常賬戶余額以及其他更神秘的金融信息的大量數據由于遭到網絡攻擊而丟失，而銀行董事會只剩下希望和祈禱，希望這些記錄可能保存在任何存儲媒介和任何地方，哪怕只有一小部分。

 

這是金融領域IT安全專業人員的噩夢：一家大型銀行可能由于黑客精心策劃的網絡攻擊而瀕臨崩潰。這種災難的后果通常在電影和電視劇中描述，但各國央行現在加強了網絡安全方面的行動。去年秋天，英格蘭銀行(BoE)強調了其定期進行的網絡安全演習的重要性，并宣布網絡攻擊是對英國金融部門完整性的最大威脅。從澳大利亞到巴林，各國銀行都進行了類似的演習。

 

這樣的演習并不罕見，各國央行經常指責它們的零售伙伴忽視了網絡安全。但近年來，威脅環境迅速發生了變化。復雜的國際環境和地緣沖突讓人們注意到，一些國家完全有能力發動復雜的網絡攻擊，以推進自己的國家目標。這些國家通常與網絡犯罪集團結盟，并在尋找有利可圖的目標進行攻擊。

 

在這方面，銀行對于網絡攻擊者來說越來越具有吸引力。多年來，金融機構將良好實踐定義為確保自己的系統得到良好保護。與此同時，很多銀行忽視了這樣一個事實：它們外包給第三方的系統越來越容易被顛覆。英國格洛斯特郡大學網絡安全教授、英國央行前首席信息安全官Buck Rogers表示：“我認為，各國的央行正面臨來自政府的壓力，要求它們加強網絡安全。實際上，金融基礎設施現在是至關重要的基礎設施，我們需要像對待天然氣和電力一樣對待它。我認為，人們擔心的是，這些東西在什么時候會具體化，從而對各國的經濟產生影響?”

 

并非所有的央行都有這些擔憂。國際貨幣基金組織最近的一項研究發現，在其調查的51個金融管轄區中，有一半以上沒有針對金融業的國家網絡戰略，64%的管轄區沒有強制要求進行網絡安全測試，甚至沒有就銀行被黑客入侵之后應該如何做給出指導。此外，那些組織網絡安全演習的國家往往把注意力集中在錯誤的威脅類型上，Contrast Security公司網絡戰略高級副總裁Tom Kellermann表示，“他們真正關注的是拒絕服務攻擊。我不認為這是最壞的情況。”

 

 

將金融服務業歸類為易受網絡攻擊的行業，乍一看似乎有悖常理。畢竟，現在大多數銀行業務都是在網上進行的：因此，確保銀行和客戶之間的網絡線路保持安全已成為開展業務的必要條件。Rogers表示，這種態度有助于金融行業保持在網絡安全實踐的前沿，主要是因為他們樂于在這個問題上投入大量資金，這是正確的措施，以使其變得更好。

 

英國央行最近進行的一項調查發現，74%的銀行業高管認為，網絡攻擊對他們的業務構成了最大威脅。不過，讓Rogers擔心的是，這些高管中有許多人并不完全理解他們所獲得的關于如何最好地預防這種情況的建議。Rogers說，“他們是否了解相關的風險管理，是否有適當的緩解措施和流程來管理風險?”

 

不理解的后果可能會導致金融機構內部關于網絡安全的決策過程發生扭曲。Rogers說，“銀行的安全決策甚至由非安全人員做出。例如，首席財務官可能決定將人力資源部門的一部分業務外包給第三方軟件提供商。除非是資深的首席網絡安全官，否則這個決定可能會是錯誤的。突然之間，銀行可能就會面臨供應鏈的風險。”

 

Rogers補充說，這是一個隱藏的威脅，但行業內外并沒有人真正意識到這一點。盡管銀行投入了大量的資金來加強網絡安全，進而提升零售客戶對其業務的信心，但其中很大一部分涉及將關鍵服務外包給第三方。Kellermann表示：“他們正在擁抱金融科技、API、現代應用程序和多云戰略。因此，他們的攻擊面變得更大了。”

 

例如，對Solarwinds公司這樣的托管服務提供商(MSP)進行攻擊，可能會在一夜之間使多家金融機構的運營陷入癱瘓。Ion Cleared Derivatives公司每天提供處理數百萬筆期貨交易的軟件，其中一起違規事件導致該交易市場癱瘓數日。通過網絡攻擊構成多個銀行系統之間API，為它們提供多向訪問，也可以達到同樣的目的。Kellermann感嘆道，“沒有人關注API安全!盡管這樣的黑客攻擊在2022年同比增長了257%。 ”

 

他繼續說，黑客還可以通過更陰險的方式對銀行施加影響。Kellermann說：“如今，大多數網絡犯罪的陰謀不僅僅涉及電匯、欺詐或勒索軟件。他們真正關注的是針對非公開市場信息，劫持各機構組織的數字化轉型，利用勒索軟件進行攻擊。”這些所謂的水坑攻擊，即完全合法的在線基礎設施被網絡犯罪分子的惡意軟件所損害，這一直困擾著很多機構和組織，尤其是現在深陷于長達數十年的數字升級中的許多銀行。

 

這些類型的網絡攻擊無疑是復雜的，但并不超出流氓國家的能力，他們將西方金融部門視為一個特別脆弱的目標。Kellermann說：“他們可以利用網絡犯罪團體的攻擊，從而讓金融機構損失慘重。”他補充說，一些國家的黑客組織已經針對西方主要金融機構發起了十幾次破壞性的網絡攻擊，只是因為英國和美國情報部門在適當的時候共享了關鍵情報才被挫敗。

 

Kellerman說，“這是我們沒有看到它發生的唯一原因，但他們嘗試攻擊了14次。”

 

簡而言之，銀行業高管需要了解他們面臨的威脅要復雜得多。

 

 

如果這些網絡攻擊以另一家托管服務商為目標，或者更糟的是以此為跳板，進入銀行更有利可圖的部門，可能是為了勒索銀行機構，或者泄露敏感信息，會發生什么? Rogers解釋說，就后果而言，最壞的情況將是公眾對金融部門本身的信心普遍喪失。雖然最初的后果可能很容易通過部署IT安全團隊和偶爾的救助來彌補，但其政治影響可能是大規模和持久的。

 

事實上，最近硅谷銀行的倒閉就證明了這種情況，Rogers解釋說：“美國一家科技銀行倒閉，突然間這可能讓英國首相介入，考慮匯豐銀行將會如何收購這家銀行。”

 

Rogers表示，任何對銀行網絡安全彈性的壓力測試都需要考慮，網絡攻擊面已經發生了根本性的變化，對第三方軟件提供商的依賴不會消失。他說，“我敢肯定，大公司會有成千上萬的關鍵第三方。未來的壓力測試應該包括央行量化和提高對這種風險的認識，以及他們是否有B計劃和C計劃”。

 

這需要比以往任何時候都更深入到供應鏈中。Rogers表示，大多數大型銀行在頂級關鍵供應商方面都做得很好，無論他們在哪里。他擔心的是那些低于門檻的銀行。金融機構應該誠實地認識到，如果這些規模較小的服務被黑客破壞，影響會有多嚴重。

 

一些國家機構在這方面已經采取了一些立法行動：例如，歐洲議會最近通過了《數字操作彈性法案》，要求銀行對其第三方安全供應商的網絡安全負責。Rogers認為，將所有不同的網絡安全壓力測試標準結合起來，或許也會有所幫助。這呼應了G20集團金融穩定委員會的類似呼吁。至少對跨國銀行來說，就這些規則之間的共性達成一項國際協議，可能會極大地改變它們在某國發生違規行為、但對它們在其他國家的業務產生影響時的定位。

 

Kellermann強調，銀行還需要從根本上重新思考他們如何設計基本的網絡安全策略。他們應該不再只考慮保護自己的場所，或者他們總能成功地防止黑客窺探他們的系統。Kellermann說：“他們確實需要顛覆安全模式，從內部進行防御，并真正專注于網絡入侵防御。”

 

這必然涉及在應用程序的運行時保護、網絡和基礎設施的微分段、擴展的檢測響應服務以及最重要的人員方面增加投資。Kellermann認為，如果銀行找不到優秀的員工(人們可能聽說過全球IT安全技能短缺)，那么他們能做的最佳選擇就是聘請一家專門從事金融網絡安全的托管檢測和響應公司。而且，他們不應該害怕在傳統上被大多數安全團隊視為禁區的地方尋找網絡攻擊者，例如高管每天使用的電腦。

 

Rogers還認為，信息交換也需要改進。銀行可以組織會議或論壇討論威脅行為者和攻擊媒介，但他們需要以更系統的方式利用這些論壇。Rogers表示，銀行需要正確地使用它們。

 

不過總的來說，Rogers對西方金融機構能夠而且將會齊心協力抱有希望。他對英國監管機構的態度尤其感到鼓舞，他認為，在金融領域的網絡安全問題上，英國監管機構一直在高度關注。他解釋說，如果金融行業能做到這一點，它能夠為其他關鍵基礎設施的管理者提供一個積極的榜樣，讓他們開始重新評估威脅狀況。不過，與此同時，銀行之間需要就面臨的威脅進行溝通。

 

Rogers說，“我的建議是，讓我們更多地進行溝通，交換信息，我們需要更專業。”

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。