越來(lái)越多的大型銀行開(kāi)始擔(dān)心,它們的零售伙伴可能忽視防止金融崩潰的網(wǎng)絡(luò)安全保護(hù)措施�。
【資料圖】
網(wǎng)絡(luò)攻擊始于混亂。習(xí)慣于對(duì)價(jià)格和利率的變化迅速反應(yīng)的很多銀行交易員表示有些交易難以完成�。尋求幫助的電子郵件沒(méi)有得到回復(fù),一部分原因是系統(tǒng)癱瘓�,一部分原因是IT部門(mén)更關(guān)心的是似乎在其數(shù)據(jù)庫(kù)中肆虐的惡意軟件,而不是其交易市場(chǎng)的完整性��??赡茉趲讉€(gè)小時(shí)內(nèi),關(guān)于貸款協(xié)議�、對(duì)沖模型、經(jīng)常賬戶(hù)余額以及其他更神秘的金融信息的大量數(shù)據(jù)由于遭到網(wǎng)絡(luò)攻擊而丟失����,而銀行董事會(huì)只剩下希望和祈禱,希望這些記錄可能保存在任何存儲(chǔ)媒介和任何地方����,哪怕只有一小部分�����。
這是金融領(lǐng)域IT安全專(zhuān)業(yè)人員的噩夢(mèng):一家大型銀行可能由于黑客精心策劃的網(wǎng)絡(luò)攻擊而瀕臨崩潰����。這種災(zāi)難的后果通常在電影和電視劇中描述�,但各國(guó)央行現(xiàn)在加強(qiáng)了網(wǎng)絡(luò)安全方面的行動(dòng)。去年秋天���,英格蘭銀行(BoE)強(qiáng)調(diào)了其定期進(jìn)行的網(wǎng)絡(luò)安全演習(xí)的重要性��,并宣布網(wǎng)絡(luò)攻擊是對(duì)英國(guó)金融部門(mén)完整性的最大威脅��。從澳大利亞到巴林���,各國(guó)銀行都進(jìn)行了類(lèi)似的演習(xí)。
這樣的演習(xí)并不罕見(jiàn)�����,各國(guó)央行經(jīng)常指責(zé)它們的零售伙伴忽視了網(wǎng)絡(luò)安全����。但近年來(lái),威脅環(huán)境迅速發(fā)生了變化����。復(fù)雜的國(guó)際環(huán)境和地緣沖突讓人們注意到,一些國(guó)家完全有能力發(fā)動(dòng)復(fù)雜的網(wǎng)絡(luò)攻擊�,以推進(jìn)自己的國(guó)家目標(biāo)。這些國(guó)家通常與網(wǎng)絡(luò)犯罪集團(tuán)結(jié)盟���,并在尋找有利可圖的目標(biāo)進(jìn)行攻擊��。
在這方面�����,銀行對(duì)于網(wǎng)絡(luò)攻擊者來(lái)說(shuō)越來(lái)越具有吸引力�����。多年來(lái)���,金融機(jī)構(gòu)將良好實(shí)踐定義為確保自己的系統(tǒng)得到良好保護(hù)。與此同時(shí),很多銀行忽視了這樣一個(gè)事實(shí):它們外包給第三方的系統(tǒng)越來(lái)越容易被顛覆��。英國(guó)格洛斯特郡大學(xué)網(wǎng)絡(luò)安全教授�、英國(guó)央行前首席信息安全官Buck Rogers表示:“我認(rèn)為,各國(guó)的央行正面臨來(lái)自政府的壓力���,要求它們加強(qiáng)網(wǎng)絡(luò)安全���。實(shí)際上,金融基礎(chǔ)設(shè)施現(xiàn)在是至關(guān)重要的基礎(chǔ)設(shè)施����,我們需要像對(duì)待天然氣和電力一樣對(duì)待它。我認(rèn)為�,人們擔(dān)心的是,這些東西在什么時(shí)候會(huì)具體化��,從而對(duì)各國(guó)的經(jīng)濟(jì)產(chǎn)生影響?”
并非所有的央行都有這些擔(dān)憂(yōu)��。國(guó)際貨幣基金組織最近的一項(xiàng)研究發(fā)現(xiàn)��,在其調(diào)查的51個(gè)金融管轄區(qū)中��,有一半以上沒(méi)有針對(duì)金融業(yè)的國(guó)家網(wǎng)絡(luò)戰(zhàn)略�����,64%的管轄區(qū)沒(méi)有強(qiáng)制要求進(jìn)行網(wǎng)絡(luò)安全測(cè)試,甚至沒(méi)有就銀行被黑客入侵之后應(yīng)該如何做給出指導(dǎo)�����。此外���,那些組織網(wǎng)絡(luò)安全演習(xí)的國(guó)家往往把注意力集中在錯(cuò)誤的威脅類(lèi)型上,Contrast Security公司網(wǎng)絡(luò)戰(zhàn)略高級(jí)副總裁Tom Kellermann表示��,“他們真正關(guān)注的是拒絕服務(wù)攻擊���。我不認(rèn)為這是最壞的情況�����?����!?/p>需要了解網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)
將金融服務(wù)業(yè)歸類(lèi)為易受網(wǎng)絡(luò)攻擊的行業(yè)���,乍一看似乎有悖常理����。畢竟�����,現(xiàn)在大多數(shù)銀行業(yè)務(wù)都是在網(wǎng)上進(jìn)行的:因此����,確保銀行和客戶(hù)之間的網(wǎng)絡(luò)線(xiàn)路保持安全已成為開(kāi)展業(yè)務(wù)的必要條件。Rogers表示�,這種態(tài)度有助于金融行業(yè)保持在網(wǎng)絡(luò)安全實(shí)踐的前沿,主要是因?yàn)樗麄儤?lè)于在這個(gè)問(wèn)題上投入大量資金�,這是正確的措施,以使其變得更好����。
英國(guó)央行最近進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn),74%的銀行業(yè)高管認(rèn)為���,網(wǎng)絡(luò)攻擊對(duì)他們的業(yè)務(wù)構(gòu)成了最大威脅�����。不過(guò)����,讓Rogers擔(dān)心的是,這些高管中有許多人并不完全理解他們所獲得的關(guān)于如何最好地預(yù)防這種情況的建議�����。Rogers說(shuō)�����,“他們是否了解相關(guān)的風(fēng)險(xiǎn)管理�����,是否有適當(dāng)?shù)木徑獯胧┖土鞒虂?lái)管理風(fēng)險(xiǎn)?”
不理解的后果可能會(huì)導(dǎo)致金融機(jī)構(gòu)內(nèi)部關(guān)于網(wǎng)絡(luò)安全的決策過(guò)程發(fā)生扭曲�����。Rogers說(shuō)�����,“銀行的安全決策甚至由非安全人員做出��。例如�,首席財(cái)務(wù)官可能決定將人力資源部門(mén)的一部分業(yè)務(wù)外包給第三方軟件提供商。除非是資深的首席網(wǎng)絡(luò)安全官�����,否則這個(gè)決定可能會(huì)是錯(cuò)誤的�����。突然之間����,銀行可能就會(huì)面臨供應(yīng)鏈的風(fēng)險(xiǎn)?���!?/p>
Rogers補(bǔ)充說(shuō),這是一個(gè)隱藏的威脅�,但行業(yè)內(nèi)外并沒(méi)有人真正意識(shí)到這一點(diǎn)。盡管銀行投入了大量的資金來(lái)加強(qiáng)網(wǎng)絡(luò)安全��,進(jìn)而提升零售客戶(hù)對(duì)其業(yè)務(wù)的信心����,但其中很大一部分涉及將關(guān)鍵服務(wù)外包給第三方。Kellermann表示:“他們正在擁抱金融科技��、API、現(xiàn)代應(yīng)用程序和多云戰(zhàn)略�。因此,他們的攻擊面變得更大了�����?���!?/p>
例如,對(duì)Solarwinds公司這樣的托管服務(wù)提供商(MSP)進(jìn)行攻擊��,可能會(huì)在一夜之間使多家金融機(jī)構(gòu)的運(yùn)營(yíng)陷入癱瘓���。Ion Cleared Derivatives公司每天提供處理數(shù)百萬(wàn)筆期貨交易的軟件,其中一起違規(guī)事件導(dǎo)致該交易市場(chǎng)癱瘓數(shù)日��。通過(guò)網(wǎng)絡(luò)攻擊構(gòu)成多個(gè)銀行系統(tǒng)之間API�����,為它們提供多向訪(fǎng)問(wèn)�����,也可以達(dá)到同樣的目的。Kellermann感嘆道�,“沒(méi)有人關(guān)注API安全!盡管這樣的黑客攻擊在2022年同比增長(zhǎng)了257%。 ”
他繼續(xù)說(shuō)����,黑客還可以通過(guò)更陰險(xiǎn)的方式對(duì)銀行施加影響。Kellermann說(shuō):“如今�,大多數(shù)網(wǎng)絡(luò)犯罪的陰謀不僅僅涉及電匯、欺詐或勒索軟件�����。他們真正關(guān)注的是針對(duì)非公開(kāi)市場(chǎng)信息�,劫持各機(jī)構(gòu)組織的數(shù)字化轉(zhuǎn)型,利用勒索軟件進(jìn)行攻擊�。”這些所謂的水坑攻擊�,即完全合法的在線(xiàn)基礎(chǔ)設(shè)施被網(wǎng)絡(luò)犯罪分子的惡意軟件所損害,這一直困擾著很多機(jī)構(gòu)和組織����,尤其是現(xiàn)在深陷于長(zhǎng)達(dá)數(shù)十年的數(shù)字升級(jí)中的許多銀行。
這些類(lèi)型的網(wǎng)絡(luò)攻擊無(wú)疑是復(fù)雜的���,但并不超出流氓國(guó)家的能力���,他們將西方金融部門(mén)視為一個(gè)特別脆弱的目標(biāo)����。Kellermann說(shuō):“他們可以利用網(wǎng)絡(luò)犯罪團(tuán)體的攻擊���,從而讓金融機(jī)構(gòu)損失慘重�����?!彼a(bǔ)充說(shuō)�,一些國(guó)家的黑客組織已經(jīng)針對(duì)西方主要金融機(jī)構(gòu)發(fā)起了十幾次破壞性的網(wǎng)絡(luò)攻擊,只是因?yàn)橛?guó)和美國(guó)情報(bào)部門(mén)在適當(dāng)?shù)臅r(shí)候共享了關(guān)鍵情報(bào)才被挫敗���。
Kellerman說(shuō),“這是我們沒(méi)有看到它發(fā)生的唯一原因���,但他們嘗試攻擊了14次�����?�!?/p>
簡(jiǎn)而言之����,銀行業(yè)高管需要了解他們面臨的威脅要復(fù)雜得多。
最佳的壓力測(cè)試
如果這些網(wǎng)絡(luò)攻擊以另一家托管服務(wù)商為目標(biāo)��,或者更糟的是以此為跳板�,進(jìn)入銀行更有利可圖的部門(mén),可能是為了勒索銀行機(jī)構(gòu)�����,或者泄露敏感信息����,會(huì)發(fā)生什么? Rogers解釋說(shuō),就后果而言���,最壞的情況將是公眾對(duì)金融部門(mén)本身的信心普遍喪失�����。雖然最初的后果可能很容易通過(guò)部署IT安全團(tuán)隊(duì)和偶爾的救助來(lái)彌補(bǔ)����,但其政治影響可能是大規(guī)模和持久的。
事實(shí)上����,最近硅谷銀行的倒閉就證明了這種情況,Rogers解釋說(shuō):“美國(guó)一家科技銀行倒閉���,突然間這可能讓英國(guó)首相介入�����,考慮匯豐銀行將會(huì)如何收購(gòu)這家銀行�?�!?/p>
Rogers表示�����,任何對(duì)銀行網(wǎng)絡(luò)安全彈性的壓力測(cè)試都需要考慮����,網(wǎng)絡(luò)攻擊面已經(jīng)發(fā)生了根本性的變化�,對(duì)第三方軟件提供商的依賴(lài)不會(huì)消失。他說(shuō),“我敢肯定���,大公司會(huì)有成千上萬(wàn)的關(guān)鍵第三方�����。未來(lái)的壓力測(cè)試應(yīng)該包括央行量化和提高對(duì)這種風(fēng)險(xiǎn)的認(rèn)識(shí)����,以及他們是否有B計(jì)劃和C計(jì)劃”����。
這需要比以往任何時(shí)候都更深入到供應(yīng)鏈中。Rogers表示��,大多數(shù)大型銀行在頂級(jí)關(guān)鍵供應(yīng)商方面都做得很好����,無(wú)論他們?cè)谀睦铩K麚?dān)心的是那些低于門(mén)檻的銀行��。金融機(jī)構(gòu)應(yīng)該誠(chéng)實(shí)地認(rèn)識(shí)到����,如果這些規(guī)模較小的服務(wù)被黑客破壞�����,影響會(huì)有多嚴(yán)重�。
一些國(guó)家機(jī)構(gòu)在這方面已經(jīng)采取了一些立法行動(dòng):例如��,歐洲議會(huì)最近通過(guò)了《數(shù)字操作彈性法案》����,要求銀行對(duì)其第三方安全供應(yīng)商的網(wǎng)絡(luò)安全負(fù)責(zé)。Rogers認(rèn)為���,將所有不同的網(wǎng)絡(luò)安全壓力測(cè)試標(biāo)準(zhǔn)結(jié)合起來(lái)����,或許也會(huì)有所幫助��。這呼應(yīng)了G20集團(tuán)金融穩(wěn)定委員會(huì)的類(lèi)似呼吁��。至少對(duì)跨國(guó)銀行來(lái)說(shuō)��,就這些規(guī)則之間的共性達(dá)成一項(xiàng)國(guó)際協(xié)議��,可能會(huì)極大地改變它們?cè)谀硣?guó)發(fā)生違規(guī)行為��、但對(duì)它們?cè)谄渌麌?guó)家的業(yè)務(wù)產(chǎn)生影響時(shí)的定位���。
Kellermann強(qiáng)調(diào)���,銀行還需要從根本上重新思考他們?nèi)绾卧O(shè)計(jì)基本的網(wǎng)絡(luò)安全策略。他們應(yīng)該不再只考慮保護(hù)自己的場(chǎng)所��,或者他們總能成功地防止黑客窺探他們的系統(tǒng)�。Kellermann說(shuō):“他們確實(shí)需要顛覆安全模式,從內(nèi)部進(jìn)行防御���,并真正專(zhuān)注于網(wǎng)絡(luò)入侵防御���。”
這必然涉及在應(yīng)用程序的運(yùn)行時(shí)保護(hù)�����、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的微分段���、擴(kuò)展的檢測(cè)響應(yīng)服務(wù)以及最重要的人員方面增加投資��。Kellermann認(rèn)為�����,如果銀行找不到優(yōu)秀的員工(人們可能聽(tīng)說(shuō)過(guò)全球IT安全技能短缺)�,那么他們能做的最佳選擇就是聘請(qǐng)一家專(zhuān)門(mén)從事金融網(wǎng)絡(luò)安全的托管檢測(cè)和響應(yīng)公司。而且����,他們不應(yīng)該害怕在傳統(tǒng)上被大多數(shù)安全團(tuán)隊(duì)視為禁區(qū)的地方尋找網(wǎng)絡(luò)攻擊者,例如高管每天使用的電腦�。
Rogers還認(rèn)為,信息交換也需要改進(jìn)���。銀行可以組織會(huì)議或論壇討論威脅行為者和攻擊媒介���,但他們需要以更系統(tǒng)的方式利用這些論壇。Rogers表示�,銀行需要正確地使用它們。
不過(guò)總的來(lái)說(shuō)���,Rogers對(duì)西方金融機(jī)構(gòu)能夠而且將會(huì)齊心協(xié)力抱有希望����。他對(duì)英國(guó)監(jiān)管機(jī)構(gòu)的態(tài)度尤其感到鼓舞�����,他認(rèn)為,在金融領(lǐng)域的網(wǎng)絡(luò)安全問(wèn)題上��,英國(guó)監(jiān)管機(jī)構(gòu)一直在高度關(guān)注�。他解釋說(shuō)����,如果金融行業(yè)能做到這一點(diǎn),它能夠?yàn)槠渌P(guān)鍵基礎(chǔ)設(shè)施的管理者提供一個(gè)積極的榜樣����,讓他們開(kāi)始重新評(píng)估威脅狀況。不過(guò)��,與此同時(shí)�����,銀行之間需要就面臨的威脅進(jìn)行溝通�����。
Rogers說(shuō)���,“我的建議是�����,讓我們更多地進(jìn)行溝通����,交換信息,我們需要更專(zhuān)業(yè)��?����!?/p>
