金融业面临的三大网络威胁

尽管对一般人来说，2023年金融业动荡不安已经变得显而易见，比如3月硅谷银行倒闭引起了金融体系稳定性方面连串的恐慌。虽然近几个月来普遍的经济担忧逐渐平息，但金融业在转型和数字化的过程中仍然面临巨大的压力，同时还要保护日益受到攻击的全球互联的业务系统网络。在这篇博文中，我们将简要探讨当今金融业面临的三大网络威胁并分享可行的建议。

勒索软件

勒索软件并不是新鲜事情，但这种攻击持续以惊人的速度造成大规模的破坏。据报告估计，全球自2022年以来，金融业遭受的勒索软件攻击导致的经济损失高达323亿美元。让人更加担忧的是，据报道称，金融业的勒索软件攻击正在呈上升趋势。根据SOCRadar在2023年上半年所统计的数据，在受勒索软件攻击的前十个目标行业中，金融业名列第七。

尽管上述整体趋势令人担忧，但组织机构可以采取切实可行的措施来改善安全状况。我们提出的建议并非开创性的，而是基础性的做法。在组织机构将注意力转移到更先进的下一代解决方案时，这些做法往往被忽视。

供应链

早在2022年，一次规模庞大的黑客攻击事件让SolarWinds软件供应链安全成为当年网络安全的中心焦点。成千上万的用户在不知不觉中下载了被感染的软件更新。SolarWinds遭受了一次复杂的攻击，其策划精心，执行隐秘而长期，以至于我们可能永远无法完全理解其造成的影响。在SolarWinds事件发生后不久，美国软件开发商Kaseya也受到了零日漏洞攻击，导致大量托管服务提供商（MSP）使用的软件受到了影响，进一步波及了这些托管服务提供商的用户。

供应链遭受攻击的事件揭示了一个事实：如果软件开发生命周期（SDLC）缺乏严格的安全措施和测试标准，那么它将变得非常脆弱。在与供应商打交道时，组织机构在一定程度上会显得无助，无法确保适当的标准得以执行，从而保障软件开发基础设施的安全，并主动识别漏洞。尽管如此，组织机构仍然可以采取以下措施来维护自身权益并追究供应商的责任。

网络钓鱼

提及网络威胁，就绕不开网络钓鱼，这种攻击形式仍然是一种普遍且成熟的威胁，通常伴随社会工程学的因素。要应对网络钓鱼威胁，仅仅依赖控制措施是不够的，最终还是要靠人的因素来阻止钓鱼攻击。遗憾的是，网络钓鱼攻击经常成功，因为人们在分心或手忙脚乱时容易上当受骗。根据Verizon的2023年数据泄露调查报告，74%的泄露事件涉及人为因素。