​面对不断增长的攻击面，金融业该何去何从？

近年来，零日漏洞的不断加剧、勒索软件的越发猖獗以及各种安全威胁的持续升级，使网络安全形势变得愈加严峻。金融服务业作为前沿技术的最佳践行者，面临的网络安全问题更加严重复杂。尤其在新冠疫情期间，移动银行应用程序、移动客户服务以及其他数字工具迅速得到了普及。 根据思科 CISO 基准研究数据表明，2020 年有17% 的公司每天都会收到 10万个或更多的安全警报，这一趋势在疫情发生后仍在继续。数据还显示，2021 年的常见漏洞和暴露数量创下历史新高，达到20141个，超过了 2020 年 18325 个的记录。 据Adobe 2022 年 FIS 趋势报告显示，在接受调查的金融服务和保险公司中，有超过一半的公司的移动用户在 2020 年上半年都出现了显著增长。此外，报告还发现，有十分之四的财务高管表示数字和移动渠道占其销售额的一半以上，并预计这种趋势将在未来几年内持续下去。 随着数字化进程的加速，金融机构迎来了更多的机会以更好地为客户服务，但同时也更容易受到安全威胁。每个新工具都会增加新的攻击面，也会导致出现更多的潜在安全漏洞。 据IBM曾发布的数据显示，2021年全球金融业所遭受的网络攻击占其所修复攻击的22.4%，在行业排名中位居第二。而在这些网络攻击中，排在首位的是网络钓鱼攻击，占比46%，漏洞利用则排在第二，占比为31%。其他类型还包括暴力破解、虚拟专用网络（VPN）访问、远程桌面协议、可移动介质等。 金融业的数字化增长并没有因安全威胁的增加而停止。因此金融机构的网络安全团队需要一些有效方法来准确、实时地了解其攻击面，从而确定最容易被利用的漏洞并优先对其进行修补。

传统安全验证方法

以下为金融机构用来评估其安全状况的几种传统的技术： 破坏和攻击模拟 破坏和攻击模拟 (BAS) 通过模拟攻击者可能使用的潜在攻击手段来帮助识别漏洞。这允许动态控制验证，但是只是基于代理的，很难部署。它还将模拟限制在一个预先定义的剧本中-这就意味着攻击范围存在不完整性。 手动渗透测试 手动渗透测试允许查看银行的控制如何抵御现实世界的攻击，同时提供攻击者视角的附加输入。但是这个过程的成本可能会非常高昂，时间周期也可能会很长，每年最多只能完成几次，这也就意味着它无法提供实时洞察力。此外，测试结果始终取决于第三方渗透测试人员的技能和范围。如果测试人员在渗透测试期间漏掉了一个漏洞，它可能会一直不被检测到，直到被攻击者利用。 漏洞扫描 漏洞扫描是对公司网络的自动化测试，可以根据需要随时安排和运行。但是它的匹配方式比较传统，它根据版本信息的变化来确认漏洞是否存在，如果漏洞已被修复，而版本信息未同步更新，则会导致误报。在大多数情况下，网络安全团队只会收到扫描检测到的每个问题的 CVSS 严重性等级，然后将其修复。另外，漏洞扫描还存在警报疲劳的问题。面对大量需要处理的安全威胁，金融机构的安全团队需要专注于那些对业务产生最大影响的可利用漏洞。

安全验证新希望

自动安全验证(ASV) 提供了一种全新且准确的方法。它是聚焦合规咨询之上的安全全生命周期运营的验证、补救、预防、监测、响应、恢复和持续性跟踪，以实现完整的攻击面管理。 ASV 可以提供持续覆盖，使金融机构能够实时了解其安全状况。此外，由于它模拟了现实生活中攻击者的行为，因此它比基于场景的模拟要更加深入。 不言而喻，金融机构需要更高级别的安全措施来保护其客户的数据，同时还要符合相关合规标准。 以下是可参考的一些金融机构遵循的路线图： 1）了解攻击面 绘制其面向 Web 的攻击面，他们对自己的域、IP、网络、服务和网站有了完整的了解。 2）挑战攻击面 使用最新的攻击技术安全地利用映射的资产，发现完整的攻击向量，包括内部和外部。这为他们提供了所需的知识，以了解什么是真正可利用的并且值得进行修复的资源。 3）确定漏洞修复的优先级 通过利用攻击路径模拟，他们可以精确定位每个安全漏洞对业务的影响，并对每个经过验证的攻击向量的根本原因进行重视。这为他们的团队提供了一个更容易遵循的路线图来保护他们的机构。 4）执行修复路线图 根据具有高性价比的修复清单，金融机构正在授权其安全团队解决漏洞并衡量他们的努力对其整体 IT 状况的影响。 如今，在日益严峻的网络安全形势下，安全威胁已贯穿到金融机构规划、设计、开发、测试、运维等业务运营的全生命周期中，只有不断革新安全技术、升级安全工具、提升自身的攻防能力，才能守好每一道安全防线。​