在危机中作出改变：应对金融服务业的网络安全难题

白高皮管书简报 应对危机：解决金融服务中的网络安全挑战 1 akamai.com| 引言 远程工作和虚拟客户互动的转变推动了数字化进程，并改变了金融服务领域的网络安全格局。面对必须重新思考现有商业模式的迫切需求，金融机构加速了数字化转型努力，以简化审批和合规流程，更加强调自动化，同时致力于为客户提供个性化的、安全的数字体验。需要简单和创造性的解决方案来降低风险、满足合规要求和安全采用新技术的要求从未像现在这样迫切。 现代首席信息安全官需要关注由数字化转型举措（如云计算采用、IT/OT-IoT融合、远程工作和第三方基础设施集成）产生的不断扩大的攻击面。对云计算安全、应用安全、零信任网络访问（ZTNA）和威胁情报等技术和服务的需求正在上升，以应对由此暴露产生的新漏洞和风险。 试图超越不断演变的网络威胁会分散金融公司核心业务的资源。 —\u0007Gartner压缩新闻稿，“GartnerIdentifiesThreeFactorsInfluencingGrowthinSecuritySpending,”October13,2022. 金融机构持续成为威胁行动者的有利可图的目标。无论是来自高度训练、有动力和资源支持的国家级行动者，还是以金融利益为动机的网络犯罪分子，威胁正变得越来越复杂。因此，从未像现在这样重要去了解您的攻击面和风险暴露，以便帮助您制定缓解计划。正如金融服务信息共享和分析中心（FS-ISAC）的一份报告中所述， 作为回应，根据德勤洞察报告，金融机构应通过数字化手段赋能网络安全功能，以适应快速的信息技术转型并保护关键资产免受日益增长的网络安全威胁和攻击。 独特的安全挑战 在寻求实现规模化的安全时，金融机构在五个关键领域面临挑战： 第三方接入：远程工作的迅速增长增加了金融机构在确保其生态系统安全方面面临的挑战。几乎一夜之间，从管理一个网络转变为管理数百个网络，这取决于远程工作人员的数量。此外，金融机构通常依赖于一个由合作伙伴、服务提供商和数据提供商组成的网络。他们需要手段来隔离、保护和执行第三方访问路线，同时仅限于批准的应用程序、系统和环境——所有这些都不牺牲灵活性。攻击者经常利用薄弱的第三方连接，包括通过物联网设备获得访问权限，以进入银行的网络并开始横向移动。 网络安全合规性：金融机构至少受15个不同机构的监管，这些机构在联邦、州和地方层面强加网络安全要求。近年来，发生了几起重大的案例，犯罪分子并未直接渗透这些系统，而是通过客户银行的网络获得访问权限，从而破坏了电子资金转账和支付系统。因此，第三方核心银行服务提供商通常会在其合同中包括特定的网络安全要求。银行必须找出如何有效处理这些要求和规定。 监管和合规要求同时是金融行业的一大挑战，也是消费者信任金融行业并托付金钱的最重要的单一原因。 攻击者频繁利用弱点第三方连接以获取访问银行的网络 成本降低：在近期德勤的调查中，33%的受访者表示，网络事件或泄露造成的最大影响是收入损失和监管罚款。 关于约15个不同的机构实施网络安全措施 对银行的规范要求 云迁移与新技术：金融机构正在寻求通过将他们的运营工作负载迁移到云端来减少其IT足迹并提高运营效率，通常是将本地数据中心与私有或公共云相结合 。他们还希望利用尖端技术创造具有差异化的数字客户体验。事实上，麦肯锡分析研究发现，仅凭福布斯500强金融机构通过充分利用云计算释放的成本优化杠杆和业务应用场景，到2030年即可实现高达600亿至800亿美元的年度经常性息税折旧摊销前利润（EBITDA）。银行必须意识到并采取措施减轻伴随新技术采用而来的安全风险。 渗透缓解：金融机构一直是网络犯罪分子的首要目标，这毫不奇怪，犯罪分子不仅寻求easymoney，还寻求客户们委托给银行的私人信息财富。周边防御是必不可少的。 在24小时内，开发与利用零日漏洞数量达到多个每小时数千次攻击 但不幸的是，安全漏洞已经成为日常的商业行为。事实上，金融服务行业一直名列前茅。顶级三大目标行业/领域 对于Web应用程序和API，零日攻击和DDoS攻击。钓鱼攻击是导致金融机构网络被恶意软件或勒索软件破坏或机密信息泄露的最常见入侵途径。一个从员工点击钓鱼邮件中的链接开始的攻击，可能导致企业遭受重大的财务和声誉损失。随着现代边界在混合基础设施中变得更加难以定义和防御，金融机构需要采取措施来通过防止入侵者的横向移动和圈定其关键资产来减轻安全漏洞的影响。 五个最高效的网络安全防御手段是预见性、教育、检测、反应和弹性。请务必记住：网络安全远不止是一个IT话题。 —全球信息安全部总经理，跨国金融服务公司 akamai.com|4 贯穿这些挑战的普遍主题是分别确保关键应用程序工作负载和许多第三方提供的应用程序及基础设施——通常被称为隔离。这允许金融机构通过解决几个关键要求来实现可扩展的安全，同时仍能满足其业务对速度的需求。 可见性和细分解决金融服务中的关键挑战。 确保云服务采用：缺乏对网络流量和数字资产的可见性，使得向云迁移几乎成为不可能。在数字化转型之旅的起点，金融机构需要对其所有核心和关键应用、它们的依赖关系以及产生的网络流量有一个准确的清单和地图。这种可见性将为隔离控制提供基础，以允许应用程序及其安全策略无缝迁移到云中。 保护第三方访问：第三方外包或软件提供商的流量需要通过“跳盒”在DMZ中正确路由，通常到达数据中心内的单一终点，并且限制其在银行网络中传输。这对于防止攻击者通过第三方受损系统实现“降落并扩张”至关重要。 隔离货币转账和支付系统于通用IT系统之外：电子资金转账和支付系统的提供商，尤其是美联储的FedLine服务，通常要求严格将他们的服务与机构的通用IT环境分离。分段允许银行IT团队在服务提供商的“区域”周围设定边界，并防止未经授权的访问。 通过限制横向移动来降低风险：电子资金转账和支付系统提供商，尤其是美联储的FedLine服务，通常要求将它们的服务与机构的IT环境严格分离。细分使得银行IT团队能够在服务提供商的“区域”周围设定边界，并防止未经授权的访问。 解决合规与网络监管问题：分割为银行为合规于多个机构的供应商需求和网络安全规定提供了一个高效的方式。伴随着通过单块玻璃获得的更深入的可视性，这使他们能够证明他们正在采取有效措施来确保关键资产的安全，降低欺诈风险，并保护客户隐私。 在传统分段方法失效之处，以及软件定义分段成功之地 。 组织进一步受到对东西向流量可见性不足的阻碍，这使得识别分段之间的依赖关系和创建分段策略变得困难。即使使用流量分接器或类似技术，所得到的视图很可能缺乏所需的有效分段之间IP和端口的上下文和复杂转换。在动态环境，如平台即服务（PaaS）中，这几乎是不可能的。 如果分割技术能够解决金融机构面临的一些挑战，为什么它没有被更广泛地采用和部署呢？许多较小机构的CISO（首席信息安全官）对于追求分割计划持有犹豫态度，他们认为这需要太长时间，并且需要多个团队和资源。这种犹豫是可以理解的。实现分割的传统方法既复杂又耗时。例如，在多个地点和环境中配置VLAN（虚拟局域网）、ACL（访问控制列表）和防火墙是一个繁重、缓慢且容易出错的过程。如果工作负载扩展到云端，这个过程会变得更加复杂。在每个数据出口点放置防火墙是成本高昂的，而且还需要复杂的网络配置来路由流量和在虚拟环境中放置防火墙，这进一步引发了管理上的挑战。 不同的方法 传统实现市场细分的手段既复杂又耗时。 近年来，软件定义分段已成为一种更灵活、更精简且成本效益更高的应用级安全方法——这一方法显著加速了实施速度、简化了持续维护，并在最终抑制威胁方面更为有效。这种方法的一个领先例子是AkamaiGuardicore分段。Akamai将分段的概念推向了非常精细的层次，使得可以围绕单个或逻辑上分组的应用创建安全策略。 7 akamai.com| ••通过平台实现未来防护的政策以平台无关的上下文流量可见性确保未来政策的适应性独立上下文流量可见性和分段并且细分 确保并持续验证确保并持续验证实时和历史数据的合规性符合实时及历史交通可见性要求交通可见度 避免应用修改通过避免应用修改和生产停机来通过软件定义的叠加方法减少生产停机时间软件定义的叠加方法 执行一项一致的政策执行一致的政策表达，以确保应用程序迁移过程中的合规性。表达当应用在异构环境中迁移时的状态在异构环境中，基础设施零改动。基础设施无变动 ••检测与解读工作量自动检测和解释工作负载依赖性依赖关系在流程级别自动处理，并附加身份过程级别，具有额外的身份和域名粒度并且域名粒度 细分努力： 这通过以下方式简化并加速了 无论它们位于混合数据中心何处。这些策略规定了哪些应用程序可以相互通信，哪些不可以——这是在应用层面的真正零信任。 利用Akamai进行分段，可以实现应用保护、威胁检测和阻止攻击横向传播。 除了保护应用程序免受恶意访问之外，使用Akamai的软件定义分段还具有威胁检测和阻止攻击横向传播的额外优势。任何未经授权的通信尝试都是可能存在威胁的即时指标。 要实现这种级别的细分，Akamai提供数据中心中所有应用程序的视觉图以及它们之间的依赖关系。操作员随后可以创建和实施网络和个体过程级别的安全策略 ，以隔离和细分关键应用程序和资产。采用软件定义的叠加方法，它与底层基础设施无关，并保护跨本地设施、传统系统、虚拟机、容器和云的工作负载。 利用Akamai，该团队能够： 深入了解东西向流量，以“单界面”视角查看所有应用程序和资产，无论其位置和环境。 符合FIDO2标准确保用户凭证在用户的个人设备上实现去中心化、隔离和加密，这对于抵御钓鱼攻击尤为重要。 能够通过智能手机验证用户，无需依赖实体钥匙 快速准确地列出所有应用程序及其依赖项。 在迁移应用程序时，无需造成服务中断。 在混合基础设施中实施统一的安全标准 案例研究：加速向混合云的过渡 一家位于美国中西部的金融机构正寻求在加强第三方访问控制和隔离关键应用程序及系统的同时，安全地采用混合云。由于IT资源有限，他们寻求一种解决方案，能够在对基础设施和资源影响最小化的同时，提供最大的网络安全风险降低。 该项目具体针对银行的数字“皇冠上的宝石”：10个关键应用，这些应用需要隔离和保护，并准备进行迁移。此外，他们需要完全将FedLine环境与通用IT基础设施隔离，以满足联邦储备银行 ——FedLine服务提供商的要求。 Akamai为我们提供了通往应用细分的最快和最优雅的途径，同时为横向流量提供漏洞检测的附加益处。 如果IT和安全团队选择采取VLAN或防火墙路线，他们估计该项目将需要整个团队18个月的时间，而在此期间，既没有提高可见性也没有加强第三方访问限制。使用Akamai，他们仅用一个月时间就完成了所有项目目标，仅有一位信息架构师。更重要的是，银行能够更快地开始享受云服务和运营成本节省的好处。 —中型区域性美国银行首席信息官 《敌人在大门：分析对金融服务机构的攻击》 点击阅读 从我们的互联网金融服务现状报告中获取更多见解 Akamai帮助这家中型金融机构在不对他们有限的IT资源造成额外压力以及不影响底层基础设施的情况下，成为云服务就绪。 Akamai为在线生活提供动力和保护。全球领先企业选择Akamai来构建、交付和保障他们的数字体验，帮助数十亿人每天生活、工作和娱乐。凭借世界上分布最广的计算平台——从云到边缘——我们使客户能够轻松开发和运行应用程序，同时将体验更靠近用户，将威胁更远离用户。了解更多关于Akamai的安全、计算和交付解决方案的信息，请访问 akamai.com并且akamai.com/blog或关注AkamaiTechnologiesTwitter并且领英发布日期：06/23 akamai.com|8