BFSI 行業(yè)的網(wǎng)絡(luò)安全是當(dāng)今關(guān)注的關(guān)鍵領(lǐng)域之一。銀行和金融服務(wù)業(yè)在網(wǎng)絡(luò)安全方面受到嚴(yán)格監(jiān)管。為什么會(huì)這樣？2021年金融行業(yè)數(shù)據(jù)泄露總成本 平均為572萬(wàn)美元，僅次于醫(yī)療行業(yè)。金融行業(yè)面臨的網(wǎng)絡(luò)安全威脅日益復(fù)雜、嚴(yán)重和致命，進(jìn)一步加劇了該行業(yè)面臨的挑戰(zhàn)。本文深入探討了網(wǎng)絡(luò)安全在 BFSI 行業(yè)中的重要性以及該行業(yè)面臨的主要威脅。

BFSI 行業(yè)的網(wǎng)絡(luò)安全：為什么如此重要？

由于銀行和金融機(jī)構(gòu)持有的數(shù)據(jù)的性質(zhì)和數(shù)量，金融部門(mén)的網(wǎng)絡(luò)安全很重要。假設(shè)攻擊者可以訪(fǎng)問(wèn)金融部門(mén)的數(shù)據(jù)，他們可以輕松地將被盜數(shù)據(jù)拍賣(mài)給出價(jià)最高的人，并使用憑據(jù)從客戶(hù)賬戶(hù)中竊取數(shù)百萬(wàn)美元。

數(shù)據(jù)泄露的高成本是銀行業(yè)網(wǎng)絡(luò)安全至關(guān)重要的另一個(gè)主要原因。造成這種高成本的關(guān)鍵因素之一是識(shí)別和控制數(shù)據(jù)泄露的平均時(shí)間。這被發(fā)現(xiàn) 是 233 天 ——大約 8 個(gè)月！攻擊者有足夠的時(shí)間竊取數(shù)據(jù)或從用戶(hù)帳戶(hù)中竊取資金。

銀行業(yè)網(wǎng)絡(luò)安全至關(guān)重要的第三個(gè)原因是，每位金融服務(wù)員工平均可以訪(fǎng)問(wèn) 近 1100 萬(wàn)個(gè)文件 ，而在大型組織中平均可以訪(fǎng)問(wèn) 2000 萬(wàn)個(gè)文件。他們還可以訪(fǎng)問(wèn) 1000 多個(gè)敏感文件。因此，網(wǎng)絡(luò)犯罪分子只需將少數(shù)金融服務(wù)員工作為目標(biāo)即可造成嚴(yán)重破壞。 BFSI 行業(yè)在敏感數(shù)據(jù)暴露方面排名第一，有 21%（產(chǎn)生 352,771 條記錄）！

BFSI 行業(yè)面臨的 5 大網(wǎng)絡(luò)威脅

1.網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)是銀行業(yè)網(wǎng)絡(luò)安全面臨的主要威脅之一。通過(guò)利用人的弱點(diǎn)，網(wǎng)絡(luò)犯罪分子誘使毫無(wú)戒心的企業(yè)用戶(hù)和客戶(hù)共享他們的登錄憑據(jù)。網(wǎng)絡(luò)釣魚(yú)工具包的可用性使網(wǎng)絡(luò)犯罪分子發(fā)起網(wǎng)絡(luò)釣魚(yú)活動(dòng)變得更加簡(jiǎn)單和廉價(jià)。

2021 年第四季度的網(wǎng)絡(luò)釣魚(yú)攻擊主要針對(duì)金融服務(wù)行業(yè)。23% 的網(wǎng)絡(luò)釣魚(yú)攻擊 針對(duì)的是行業(yè)。除了電子郵件網(wǎng)絡(luò)釣魚(yú)之外，網(wǎng)絡(luò)釣魚(yú)、網(wǎng)絡(luò)釣魚(yú)和魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)等變體也越來(lái)越流行。

2.勒索軟件

勒索軟件是當(dāng)今金融行業(yè)面臨的另一個(gè)嚴(yán)重網(wǎng)絡(luò)威脅。在這次攻擊中，網(wǎng)絡(luò)罪犯將惡意軟件注入組織的系統(tǒng)以?xún)鼋Y(jié)它們，并要求贖金才能訪(fǎng)問(wèn)被凍結(jié)的系統(tǒng)和設(shè)備。在此期間，攻擊者可以竊取或更改數(shù)據(jù)、竊取資金、破壞關(guān)鍵業(yè)務(wù)文件等。鑒于銀行業(yè)無(wú)法承受停機(jī)時(shí)間，網(wǎng)絡(luò)犯罪分子使用勒索軟件來(lái)獲取巨額經(jīng)濟(jì)回報(bào)。

2021 年上半年，銀行業(yè)的勒索軟件攻擊同比增長(zhǎng)不成比例， 達(dá)到 1318%。攻擊激增的主要原因之一是公司支付贖金，鼓勵(lì)網(wǎng)絡(luò)犯罪分子繼續(xù)攻擊更有利可圖的目標(biāo)。

3.DDoS 攻擊

銀行和金融機(jī)構(gòu)無(wú)法承受停機(jī)和崩潰。這正是網(wǎng)絡(luò)犯罪分子以 DDoS 攻擊為目標(biāo)的行業(yè)，使合法用戶(hù)無(wú)法使用網(wǎng)絡(luò)、網(wǎng)站和應(yīng)用程序的原因。2021 年， 50% 的目標(biāo)組織 屬于銀行和金融服務(wù)行業(yè)。復(fù)雜的多向量DDoS 攻擊也有所增加。

數(shù)字化轉(zhuǎn)型的上升趨勢(shì)擴(kuò)大了銀行業(yè)的攻擊面，因?yàn)楣裘娌粌H包括銀行的 IT 系統(tǒng)，還包括更廣泛的支付生態(tài)系統(tǒng)和眾多的客戶(hù)賬戶(hù)。這為攻擊者提供了更多的入口點(diǎn)。

4.欺騙

最近，對(duì)金融服務(wù)和銀行業(yè)網(wǎng)絡(luò)安全的日益嚴(yán)重的威脅一直是欺騙攻擊。攻擊者開(kāi)發(fā)與金融服務(wù)提供商的真實(shí)網(wǎng)站非常相似的虛假網(wǎng)站。攻擊者將用戶(hù)重定向到虛假網(wǎng)站，并結(jié)合網(wǎng)絡(luò)釣魚(yú)要求用戶(hù)提供憑據(jù)。由于該網(wǎng)站看似真實(shí)，用戶(hù)不會(huì)懷疑有不當(dāng)行為并輸入他們的憑據(jù)供攻擊者利用。

5.不安全的第三方服務(wù)

從聊天機(jī)器人到客戶(hù)關(guān)系管理軟件再到數(shù)字服務(wù)，銀行依靠第三方服務(wù)為客戶(hù)提供完整的網(wǎng)上銀行體驗(yàn)。即使銀行有牢不可破的安全機(jī)制，這些第三方服務(wù)的安全水平也直接影響到銀行的安全。銀行需要確保其服務(wù)合作伙伴在安全方面合規(guī)且嚴(yán)格，以避免發(fā)生重大安全危機(jī)。