金融服务网络防御的“大考”

随着系统的迭代与更新，金融服务成为了网络犯罪分子追逐巨额利润的主要目标。尤其是在疫情期间远程办公盛行时期，网络犯罪活动更加猖狂。据某报道数据显示，在2015年至2020年的5年中，每一年金融业均位居受网络攻击次数最多的行业之首；去年上半年高达50%的分布式拒绝服务（DDos）攻击目标机构属于金融行业。

“现在整个金融服务业都在往数字化转型，数据量不断爆发迅猛增长。而数字化转型的时候，也开始使用一些公有云的服务，跟客户的沟通类型也在发生转变，以前客户会到分行里办理业务，现在数字化转型，客户更注重体验和互动，比如银行服务，手机上都有银行的APP，这个也可以加深跟客户的互动和体验。” 派拓网络大中华区总裁陈文俊于2022年10月13日的线上活动中表示：“金融服务业过去数据泄露的平均成本有570万美元，仅次于医疗行业，主要原因，基本在网络层面的应用攻击、系统入侵，各种错误，包括内部的误发、外部的网络钓鱼、窃取证书，或者勒索软件，这些都是我们在金融行业看到的网络攻击的主要手段。”

而根据 Palo Alto Networks 旗下 Unit 42 安全团队发布的网络攻击报告显示，金融、专业服务和法律、制造、医疗等几个大的行业遭遇的攻击占案例总数的60%，攻击者因为知道大量且敏感的数据，因此造成的影响也比较大。他们还会有针对性地进行攻击，其中金融行业受到的影响最大，也是排在所有行业里最前面的，受到攻击的平均数量也是最多的。

频发的勒索事件及其手段

在过去20年里，钓鱼的手段虽然普通，但是成功率却高达90%以上。而随着客户的转型以及疫情的变化，其业务转型、网络安全的转型、云端的转型甚至在整体的运营上也发生了巨大的变化，再加上过去两年疫情的影响，从网络安全上来看，居家办公的环境导致边界消失，所以更加需要有弹性的网络架构、混合形式的模式。

有研究发现，10%的受访者对识别常见的网络安全威胁缺乏信心。尽管这看似是个很低的数字，但鉴于从事金融服务工作时所涉及的重大风险，这仍是一个令人担忧的问题。要知道，一名员工的一个无意的错误就可能导致具有深远影响的事件。此外，超过四分之一 (26%) 的员工认为他们公司的培训制度仍需改进。这可以采取多种形式：例如现场研讨会、在线会议和异步学习材料。培训将改善员工在信心方面存在的缺失，使他们能够在任何地方安全地工作，并且知道他们不会使公司陷入攻击威胁。

而根据IBM网络安全团队早些时候发布的数据显示，2021年全球金融业所遭受的网络攻击在其修复的攻击中占到22.4%，在行业排名中退居第二位，制造业跃居第一位。从攻击类型看，2021年服务器访问攻击跻身最主要类型，占到攻击总量的14%；紧随其后的是勒索软件配置错误和欺诈行为，占比为10%。此外，远程访问特洛伊木马（RAT）、广告软件和凭证收集也较为常见。从犯罪分子藉以发起攻击的感染媒介看，网络钓鱼最为常见，2021年全球金融业遭受的网络攻击中46%由其导致；漏洞利用则排在第二位，占比达到31%；其他类型包括密码喷洒、暴力破解和虚拟专用网络（VPN）访问、远程桌面协议、可移动介质等。

“现在由于云的敏捷性、方便性，很多应用开发者都深度应用云来做开发，也使用了一些API的接口互相对接，但是在敏捷多变的系统架构里，广泛调用API接口的时候，也造成了安全策略的复杂性，使得攻击面扩大，让更多隐藏的攻击者抓住可乘之机。” 陈文俊建议在云原生的解决方案之后，构建DevSecOps开始之时就要将安全的功能或者理念做进去，而不是等到应用开发完成了，再发现漏洞和去解决。他表示：“整个云开发不要仅是头痛医头脚痛医脚，而是从开发的整个流程上解决。考虑的更加长远，才能够杜绝问题的发生。”

零信任方案阻断隐患发生

面临金融行业网络攻击的“大考”，必须清醒地认识到，作为关键的基础设施，打好网络安全“持久战”。而为了协助企业更加安全的实现数字化转型，派拓网络将其分为了网络安全转型、云原生安全、安全运营三大安全目标。

首先，网络安全方面，派拓网络硬件凭借成功经验扩展到软件和SASE，从而扩大了云安全堆栈规模，协助企业建立弹性的网络安全架构；其次，云原生安全方面则是将合规、容器和微分段功能相结合，推出综合云安全平台；最后安全运营方面，是以先进技术建立XDR类别，提供全球领先的自动化和修复措施，扩展对整个攻击面的可见性。

在这三大安全目标的基础上，派拓网络向金融等数字化转型用户提供出以网络安全、云安全、端点安全为核心支柱，这三大平台协同工作、互相沟通，更好、更紧密地发掘潜在威胁。再加上零信任部署，帮助企业防御不同的威胁攻击，继而提高黑客攻击的成本。并通过自动化安全运营和安全情报与事件响应为之相配合，共同构建出下一代网络安全平台。

除此之外，派拓网络将零信任作为网络安全部署的核心，即永不信任，持续验证。同时，云端与虚拟环境中也要以零信任来进行相应的防护。“端点安全延伸到整个数据中心上面。安全的运营需要更好的安全编排。如何更好地检测，在网络上能不能进一步分析，做相对应的关联，可以发现很多潜在的问题。”派拓网络大中华区技术总监耿强解释到：“派拓网络将零信任部署划分为三个元素和五个手段。三个基本元素是用户、应用和设备，而五个手段是指定义保护对象与范畴、掌握通讯与数据流、基于保护区域构建隔离网络、建立零信任安全管理政策、有效率地监控及运维。”

耿强提到，网络上太多不同的设备，包括一些IoT设备，要不断进行较量才能做到零信任的第一步。也正因为最小权限的做法，才能够更快的对应到每个部门的用户，从而减少黑客入侵和应用漏洞带来的影响，也有效的阻断很多因黑客入侵导致的安全事件和数据泄露的基本入侵手段。

零信任的效果如何？耿强分享了一个关于某大银行的案例。在这个商业银行的开发测试数据中心，过去通过四层防火墙进行安全防护，但由于业务应用过多，应用环境复杂，四层防火墙出现稳定性问题，同时频繁遭受外界攻击。为此派拓网络协助用户实现下一代防火墙部署，并对整个网络架构进行可视化优化，帮助客户优化了整体安全策略，从而省去50%的策略，提高整体效率，避免以前人为的错误或者做法。如今该商业银行安全团队可以在运维平台上利用大数据分析，管理API交付，并加强不同的安全策略，抵挡黑客的入侵，加强了多种威胁下的整体安全防护能力。

写在最后：

从传统的数据中心到云端平台，传统的工具与理念在云端可能会完全匹配，所以需要绝对全新的云端防护机制和措施。当然派拓网络自由有数据中心的一套部署方案，比如零信任网络访问2.0。陈文俊解释到：“以前在办公室办公，建一个‘城墙’就能把办公环境保护起来，现在环境已经不一样了，居家办公、在咖啡厅办公等，数据无处不在，应用SaaS平台提供，应用也无处不在，这样传统的边界被打破了。所以银行分支机构的建设，也建议走到零信任SASE的架构中，将安全的管控放到接入端，在接入的时候把安全管控起来，无论是分支机构介入，还是家里电脑接入，亦或是IoT设备、智能电视机、游戏机的接入，都可以通过SASE管控起来，提高安全效率。”

陈文俊之所以提出接入零信任SASE的架构。是因为通过走访发现很多客户内部使用超过了四十种安全设备，每一款设备的安全程度不一样，级别也不一样，万一出问题，很难断定究竟哪一个设备能够帮助解决问题。所以面对威胁，短缺的人力并不能及时的进行排解，所以更需要安全策略自动化地分发，以此来减少人工参与。因此，陈文俊还是建议通过自动化解决方案去面对未知威胁，提高解决问题的反应效率。