应对安全威胁狂潮：金融服务业的攻击趋势

应对安全威胁狂潮 金融服务业的攻击趋势 互联网现状/安全性 前言 金融服务业不仅是全球经济的基石，也是经济增长和发展的命脉。金融服务涵盖众多不同的行业，例如商业银行、支付服务提供商、资产管理公司、投资银行和保险企业，整个业态不断发展演变。 技术进步持续重塑金融服务业的前景，催生了数字银行、智能投资理财顾问和加密资产等金融科技(fintech)领域的创新。全球金融科技公司的数量激增，走在最前列的是中美两国。截至2024年1月，全球最大的10家金融科技公司中，有8家位于这两个国家。这种技术上的转变还反映在无现金交易数量的增长上，而且此类交易仍有巨大增长潜力，尤其是在金融服务覆盖较为有限的地区。但漏洞与创新相伴而来。 网络犯罪分子无休止地尝试攻击金融机构，而攻击造成的影响远不止财务损失。诸如运营中断、声誉受损以及招致严厉的监管处罚等后果，会侵蚀金融服务业赖以生存的信任基础。当今的数字化转型速度一日千里，而网络威胁的复杂度也随之攀升，金融机构如何才能建立有效的防御措施？ 这份《互联网现状》报告旨在帮助全球的金融服务专业人士（Akamai客户、网络安全研究人员以及行业领导者等）应对日益复杂的威胁形势。作为网络犯罪分子的主要目标，金融服务业需要各方群策群力，以保障关键基础架构的安全、保护企业和客户、确保金融市场的稳定以及防止经济动荡。对于相关从业人员而言，要想领先攻击者一步，为行业关键资产建立强大防线，继续保持全球金融关系赖以存在的可信和可靠形象，请务必阅读本报告中的研究内容。 通过合规性、运营弹性和网络安全措施来强化金融服务 考虑到这些发展情况，金融机构必须采用一种全面的方法来满足复杂的合规性和运营弹性要求。这包括识别可能会对投资者的决策过程造成显著影响的重大风险，并确定其优先级。金融机构必须将这些重大风险纳入风险管理框架中，并确保实施稳健的事件响应计划。金融机构通过采用多层深度防御战略，可以为高效地实现运营弹性铺平道路。这包括通过网络分段和微分段来减少攻击面，实施静态数据加密方法，强化服务器，以及结合使用Web应用程序防火墙与高级威胁监测系统。要想及时识别和缓解风险，持续监控和采用定期安全评估机制非常关键。 当今全球金融部门面临的关键挑战之一是必须增强合规性和运营弹性。随着监管形势的变化，金融机构必须主动进行调整，才能满足这些新的要求。例如，刚出台的《数字运营弹性法案》(DORA)强调了企业有必要建立一个稳固框架，以便应对与信息和通信技术(ICT)相关的中断问题。DORA将于2025年1月生效，该法案要求金融实体及其ICT第三方提供商制定全面的弹性策略，强制要求各公司增强安全措施和事件响应能力。 对于金融机构而言，根据最新的威胁情报和研究（例如，Akamai的《互联网现状》(SOTI)报告）来开展事件响应计划演习也非常重要。这些演习有助于构建一个模拟真实情况的场景，确保机构能够适应不断出现的新型工具、技术和程序。在越来越动荡的威胁形势下，要想确保运营弹性和维护客户信任关系，必须秉持这种积极主动的态度。随着金融服务业的发展，合规性、运营弹性和网络安全等各种要求交织在一起，不断影响该行业的未来。金融机构通过采用先进的安全措施并增强监测能力，能够从容应对复杂的监管要求并保障运营，从而维护对业务至关重要的信任关系。 美国证券交易委员会的最新指南进一步扩大了对全面的网络安全方法的需求。现在，金融机构需要在其战略中融入运营弹性和灾难恢复措施，并高度重视网络风险的重要性。这涉及到深入了解重大威胁和事件会对财务稳定性和运营造成哪些影响。此外还要求及时披露重大网络安全事件，以及在年报中详细阐述风险管理策略，这体现了监管部门期望推动行业的模式转变。要想满足这些监管环境要求，金融机构需要与能够提供尖端安全解决方案和监测能力的公司建立合作关系。正如本研究所介绍，Akamai可利用自身的专业知识来帮助金融服务企业，使之不仅能够实现合规性，还能面向严格的监管要求保持运营完整性。 TeresaWalshFS-ISAC全球情报主管 关键见解 金融服务机构遭受的第3层和第4层DDoS攻击事件百分比 34% 金融服务业仍然是遭到第3层和第4层分布式拒绝服务(DDoS)攻击事件最多的行业。其后是游戏行业和高科技行业，分别占到18%和15%。这种威胁类型的泛滥可能源于持续上演的地缘政治紧张局势，尤其是巴以冲突和俄乌战争，这些战争促使了全球黑客活动激增。 API使用量增长引发了第7层DDoS攻击的攀升 虽然Web应用程序一直以来是网络攻击的主要目标，但在本报告所覆盖的期间内，针对API的第7层DDoS攻击出现了明显的高峰。这很大程度上是因为，为了满足不断变化的监管和合规性要求，金融服务业越来越多地采用API。由于企业对API的依赖程度越来越高，攻击者也在调整攻击手段，这使得API安全成为了现代企业的头等大事。 流量激增突显了按频率和攻击量评估DDoS的必要性 金融服务业中的DDoS攻击揭示了一个关键见解：攻击事件频率并非始终与攻击强度存在对应关系。虽然一些月份的攻击次数很少，但对应的Gbps数据量表明流量大幅增加，这强调了在评估DDoS攻击影响时需要同时考虑攻击频率和攻击量。 针对金融机构的可疑域的百分比 36% 网络钓鱼攻击越来越多地针对金融服务客户，这加剧了身份盗窃和帐户接管的风险。这种攻击趋势使得金融机构需要接受监管部门更严格的审查，而数据泄露会引发客户的信任问题。 跳转到网络钓鱼和品牌仿冒网站的页面访问量百分比攻击者模仿合法的金融服务网站和应用程序，从而将流量成功地导向欺诈网站。他们利用网络钓鱼来持续攻击金融机构，以期获取这些企业掌握的大量敏感信息。 30% 金融服务业仍是第3层和第4层DDoS攻击的最大目标 第3层和第4层分布式拒绝服务(DDoS)攻击以网络层和传输层为目标，这使得网络基础架构不堪重负并耗尽服务器资源和带宽。这种类型的攻击会发送海量流量，用以侵占网络容量，导致合法用户的性能下降。在所有行业中，金融服务业是第3层和第4层DDoS攻击的主要目标（图1）。这一趋势由几个相互关联的因素所驱动，形成了非常适合攻击者利用的大量漏洞和机会。 地缘政治紧张局势是导致金融机构遭受的DDoS攻击数量上升的重要因素之一。旷日持久的俄乌战争和巴以冲突就与亲俄罗斯和亲巴勒斯坦的黑客行动的显著增长相互吻合。这些冲突对DDoS攻击的激增起了推波助澜的作用，尤其是针对与乌克兰有关联的欧洲银行的攻击。这些攻击的政治动机导致威胁形势愈发纷繁复杂。 金融机构由于涉及到高风险，尤其容易吸引DDoS攻击者。一旦攻击者成功造成业务中断，就会导致严重的财务影响、重大声誉损害以及用户丧失对全球金融体系的信任。由于可能造成广泛而深远的影响，金融服务业就成了那些寻求尽量造成巨大破坏或发表政治声明的犯罪分子的首要目标。 技术进步使得DDoS攻击者的攻击能力和规模都得到了大幅提升，攻击者现在可以部署虚拟机(VM)僵尸网络，利用大量VM和物联网(IoT)设备上的计算资源来更有效地开展攻击。此方法利用云服务的分布式特性，增加了抵御和跟踪攻击的难度。攻击者可以利用这些设备所具备的高带宽和大量计算资源，这样就能够通过各种策略，发起适应力强、强度高且经济高效的DDoS攻击。 金融服务业中的攻击面扩大，也是导致DDoS攻击数量增加的因素之一。数字服务和API使用的增长，使得攻击者可以找到更多的攻击点。这一转变增加了金融系统的复杂性，并引入了很多潜在的漏洞，让攻击者有机可乘。未明确记录的影子API尤其需要引起重视，因为信息安全团队不知道这些API的存在，通常也就未能进行保护。攻击者可以利用这些API泄露数据、绕过身份验证控制措施或执行破坏性行动。 监管压力也在无意中增长了金融机构面对DDoS攻击的漏洞。欧盟颁布了《第二号支付服务指令》(PSD2)等法规，要求银行通过API向第三方提供商（例如金融科技公司）开放其系统。根据这一要求，虽然银行能够通过与金融科技平台、移动应用程序和其他平台相集成，来满足客户不断增长的期望，但也会增加安全风险以及扩大攻击面。而这些实体中另外使用的API又会造成更多可能被攻击者利用的潜在失陷点。 攻击者可以利用这些设备所具备的高带宽和大量计算资源，这样就能够通过各种策略，发起适应力强、强度高且经济高效的DDoS攻击。 总而言之，这些因素导致了金融服务业一直是第3层和第4层DDoS攻击的首要目标。地缘政治动机、高价值目标、技术进步、不断扩大的数字产品应用和监管压力等多种因素结合起来，形成了一种针对金融机构的DDoS攻击不仅更加频繁，破坏性也可能会远超从前的环境。由于行业不断发展，在面对这些日益先进的持久威胁时，防御措施也必须随之发展。 第3层和第4层DDoS攻击事件数量：起伏不定 尽管金融服务业遭遇了极为频繁的第3层和第4层DDoS攻击事件，但这些攻击的频率在全年中会出现波动（图2）。 在2023年3月/4月、2023年8月/9月以及2024年4月/5月期间，针对金融3层和第4层DDoS攻击可能是由多种特定因素造成的。 每年开春的3月到4月，标志着美国所得税申报季的到来，对于DDoS攻击者来说，这是一个很有吸引力的时机。从4月16日开始，国家和区域性银行中帐户滥用情况出现了明显上升，这与许多银行开始报告第一季度收入的时间相吻合。在此期间，身份和访问管理(IAM)及网络提供商（如Okta和Cisco等）也报告称，针对线上服务的撞库攻击不仅有所增加，而且增幅巨大。 特别是在2023年4月，服务定位协议(SLP)高严重性漏洞发现很有可能造成了攻击活动的猛增。该漏洞可以放大网络层和应用层的击，据报道，影响了全球2,000多家企业和互联网上的击者可以利用此漏洞，使用被入侵的实例来发起大规模的的放大系数高达2,200倍，是有记录以来最严重的放大攻击之一。 (CVE-2023-29552)的DDoS攻54,000多个SLP实例。攻DDoS放大攻击。此漏洞 回顾2023年8月/9月这个时段，我们发现了一起重大事件。2023年9月5日，Akamai观察到并挫败了针对美国金融机构的有记录以来最大规模的DDoS攻击。此次攻击结合了ACK、PUSH、RESET和SYN泛洪攻击技术，峰值强度达到每秒633.7Gb(Gbps)和每秒5,510万个数据包(Mpps)。尽管攻击强度非常高，但持续时间很短，不到两分钟。 安全现状聚焦 第3层和第4层DDoS攻击强度：事件数与 要想全面掌握DDoS攻击对金融服务业造成的威胁，了解其纯粹的复杂性和规模就显得极为重要。这些攻击并非简单的孤立事件，每次攻击通常都会涉及到多次大数据量的尝试，意图以每秒数个Gb的数据量及数百万个数据包来淹没网络。这些攻击不论是复杂程度、强度还是时间长度都在增长，攻击者会使用更多的不同技术，这进一步加剧了金融机构面临的风险（图 此外，在将金融服务业中第3层和第4层DDoS攻击事件的数量图表与相应的DDoSGbps数据量进行对比时，您会注意到一个显著的差异（图4）。Gbps图表中显示的急剧增长在攻击事件数量图表中并未体现出来。这种差异强调了一个重要概念：有的月份虽然攻击事件的数量相对较少，但以Gbps计量的话，DDoS流量却可能依然很高。 此观察结果突显了一个问题：仅仅依靠攻击事件的频率进行衡量，会严重低估威胁的真正严重程度。务必要同时考虑每次攻击中流量的数据量和强度。少量高强度的DDoS攻击所造成的损害可能会远高于大量小规模的攻击事件，因此必须对每个威胁进行全面评估。 网络犯罪分子在尝试破坏系统或者获取未经授权的访问时，通常采用的策略是针对应用层或网络层的多媒介攻击。但是，在主要以金融服务业为目标的攻击者中，对于第3层和第4层DDoS攻击，似乎会更频繁地使用单媒介攻击（图5）。 针对第3层和第4层的单媒介DDoS攻击所需资源更少，而且单媒介攻击本身非常高效，尤其是当金融服务机构采用了强大的防御措施来抵御更复杂的攻击时。与多媒介攻击相比，单媒介攻击执