金融業可以采取 4 個步驟來應對不斷增長的攻擊面

金融服務行業一直處于技術采用的最前沿，但 2020 年的大流行加速了移動銀行應用程序、基于聊天的客戶服務和其他數字工具的普及。例如， Adobe 的 2022 年 FIS 趨勢報告發現，超過一半的接受調查的金融服務和保險公司在 2020 年上半年經歷了數字/移動訪問者的顯著增長。同一份報告發現，十分之四的財務高管表示數字和移動渠道占其銷售額的一半以上——預計這種趨勢只會在未來幾年內持續下去。

隨著金融機構擴大數字足跡，他們有更多機會更好地為客戶服務，但也更容易受到安全威脅。每個新工具都會增加攻擊面。更多數量的潛在安全漏洞可能會導致更多數量的安全漏洞。

根據思科 CISO 基準調查，17% 的組織在 2020 年每天收到 100,000 個或更多安全警報。大流行后，這一軌跡仍在繼續。2021 年的常見漏洞和暴露數量創歷史新高：20,141，超過了 2020 年 18,325 的記錄。

關鍵的一點是金融業的數字化增長并沒有停止。因此，網絡安全團隊將需要方法來準確、實時地了解其攻擊面。從那里，確定最容易被利用的漏洞并優先對其進行修補。

傳統的安全驗證方法

傳統上，金融機構使用幾種不同的技術來評估其安全狀況。

突破和攻擊模擬

違反和攻擊模擬 (BAS) 通過模擬惡意行為者可能使用的潛在攻擊路徑來幫助識別漏洞。這允許動態控制驗證，但基于代理且難以部署。它還將模擬限制在預定義的劇本中——這意味著范圍永遠不會完整。

手動滲透測試

例如，手動滲透測試允許組織查看銀行的控制如何抵御現實世界的攻擊，同時提供攻擊者視角的附加輸入。但是，此過程可能成本高昂，并且每年最多只能完成幾次。這意味著它無法提供實時洞察力。此外，結果始終取決于第三方滲透測試人員的技能和范圍。如果一個人在滲透測試期間錯過了一個可利用的漏洞，它可能會一直未被檢測到，直到被攻擊者利用。

漏洞掃描

漏洞掃描是對公司網絡的自動化測試。這些可以根據需要隨時安排和運行。但是，它們在可以提供的上下文中受到限制。在大多數情況下，網絡安全團隊只會收到掃描檢測到的每個問題的 CVSS 嚴重性等級（無、低、中、高或嚴重）。他們的團隊將承擔研究和解決問題的責任。

漏洞掃描也帶來了警報疲勞的問題。面對如此多的真正威脅要處理，金融行業的安全團隊需要能夠專注于可能導致最大業務影響的可利用漏洞。

一線希望

自動安全驗證(ASV) 提供了一種全新且準確的方法。它結合了漏洞掃描、控制驗證、實際利用和基于風險的補救建議，以實現完整的攻擊面管理。

ASV 提供持續覆蓋，使金融機構能夠實時了解其安全狀況。結合內部和外部覆蓋，它提供了他們整個風險環境的最完整的畫面。而且，因為它模擬了現實生活中攻擊者的行為，它比基于場景的模擬走得更遠。

金融業如何使用 ASV

（幾乎）不言而喻，銀行、信用合作社和保險公司需要高級別的安全措施來保護其客戶的數據。它們還必須符合某些合規標準，例如 FINRA 和 PCI-DSS。

那么：他們是怎么做到的？許多人正在投資于自動化安全驗證工具，這些工具可以在任何給定時間向他們展示他們真正的安全風險，然后利用這些洞察力來制定補救路線圖。以下是 Sander Capital Management 等金融機構遵循的路線圖：

第 1 步——了解他們的攻擊面

使用 Pentera 繪制其面向 Web 的攻擊面，他們正在收集對其域、IP、網絡、服務和網站的完整了解。

第 2 步——挑戰他們的攻擊面

他們使用最新的攻擊技術安全地利用映射的資產，發現完整的攻擊媒介——內部和外部。這為他們提供了所需的知識，以了解什么是真正可利用的——并且值得使用資源進行補救。

第 3 步——根據影響確定修復工作的優先級

通過利用攻擊路徑仿真，他們可以查明每個安全漏洞對業務的影響，并對每個經過驗證的攻擊向量的根本原因進行重視。這為他們的團隊提供了一個更容易遵循的路線圖來保護他們的組織。

第 4 步—執行他們的補救路線圖

遵循具有成本效益的補救措施清單，這些金融組織正在授權其安全團隊解決差距并衡量他們的努力對其整體 IT 狀況的影響。

就您的組織而言：您是否知道最薄弱的環節在哪里，以便在攻擊者對您使用它們之前解決它們？