網絡攻擊是英國金融體系中最常見的風險

根據英格蘭銀行日前進行的一次系統性風險調查，79%的調查參與者認為，網絡攻擊是英國金融體系中最常見的風險。應該指出的是，在俄烏沖突之前進行的一項調查中，也提到了此類事件風險增加的警告。除了連續第二年成為銀行業的頭號威脅之外，網絡攻擊還被確定為65%參與調查的金融業公司面臨的最具挑戰性的風險。為了更好地抵御潛在的網絡攻擊，金融機構需要開始對網絡安全、風險和彈性進行不同的思考。為什么會這樣?物聯網和其他運營技術設備已經大規模地擴大了金融行業的攻擊面，同時出現了多重防御盲點，是一個不為人知的安全挑戰。

無法確保擺脫網絡風險和彈性泥潭

當談到網絡風險和彈性時，只擁有“網絡保險”是不夠的。在其最新發布的彈性業務報告中，英格蘭銀行證實，就網絡而言，網絡保險的缺口仍然很大，網絡風險造成的損失有90%沒有投保。如果這不能讓人相信加強網絡風險管理最佳實踐應該是一項業務重點的話，那么今后將會如何應對?

英國金融行為監管局(FAC) 將運營彈性定義為“企業、金融市場基礎設施和金融部門預防、適應和應對、恢復和從運營中斷中學習的能力”。正如該機構指出的，這種“吸收沖擊而不是使其復合”的能力至關重要。作為英國金融行為監管局(FAC)規則和指南的一部分，其適用于銀行、建筑協會、英國央行審慎監管局(PRA)指定的投資公司、保險公司、認可的投資交易所、增強范圍的高級管理人員和認證制度公司，以及根據2017年支付服務條例授權和注冊的實體和2011年電子貨幣條例授權和注冊的實體。從2022年3月31日起，且不遲于2025年3月31日，這些實體必須進行必要的投資，以在其影響容限內持續運營。英國金融行為監管局(FAC)與英國央行審慎監管局(PRA)建議，為了在較高水平了解網絡彈性，企業需要能夠回答以下問題：如何識別和保護關鍵資產?如何檢測和應對事件以便恢復業務并從中吸取經驗?

了解企業技術債務并查找網絡安全盲點

可以明確的一點是：絕對不是說金融機構內部的IT安全通常不完善。但是，當開始深入研究物聯網和其他運營技術(例如建筑管理系統)為網絡安全領域帶來的設備細節時，事情開始變得有些模糊。事實上，金融機構采用的任何帶有互聯網網關的設備都可能帶來額外的風險，這是另一個弱點。特別是如果這些機構沒有充分評估這些硬件和軟件的支持水平或缺乏支持，那么這些硬件和軟件可能會被認為是一個有待被網絡攻擊者利用的漏洞。

這種“技術債務”可以被視為增加的一種安全成本，其中傳統設備或者不再受支持，或者即將失去安全更新和漏洞補丁的安全網，并且會影響防御能力。例如，物聯網網絡安全商Armis公司曾經進入并掃描了一家金融機構的環境，結果卻發現該機構所依賴的思科系統反過來又依賴于即將淘汰的技術。不幸的是，即使在高度監管的金融服務領域，這種缺乏可見性以及因此無法正確評估業務安全風險的情況也并不罕見。

可見性是擴展網絡安全和提高業務彈性的關鍵

重要的是，不僅要了解哪些資產構成了“隱藏基礎設施”的一部分，而且還要認識到它們在業務中的作用、誰可以訪問它們以及它們自己擁有什么訪問權限。問題在于，當人們談論物聯網時，傳統的IT安全工具、策略和流程不太可能實現“什么、在哪里、誰和如何”的要求。這可能是供應鏈中的物聯網和安全攝像頭等，可能由外部承包商管理但仍構成企業業務不斷擴大的攻擊面一部分的事物。

信息技術和運營技術的融合，以及跨越邊界的業務網絡和控制系統，都對金融機構的數字化轉型非常有利;和其他技術一樣，它們也會帶來額外的網絡風險。因此需要一個資產視圖，它可以跟蹤每臺設備，實時審計和驗證企業中的每個環境。通過獲得每項資產的統一和多維視圖，包括以前看不見或管理不善的資產，可以更好地檢測和緩解網絡威脅。在降低企業風險時，需要這樣的可見性來提供清晰度。

但是，這一解決方案也需要是被動的，以便在提供與現有工具的集成的同時，不可能中斷日常操作。將其視為網絡資產情報，發現并識別真實風險，以便主動緩解威脅。這是一種不同于常規的思維方式，但也許現在是人們需要以不同的方式思考網絡安全、風險和彈性的時候了。