張帥

隨著系統(tǒng)的迭代與更新，金融服務(wù)成為了網(wǎng)絡(luò)犯罪分子追逐巨額利潤的主要目標。尤其是在疫情期間遠程辦公盛行時期，網(wǎng)絡(luò)犯罪活動更加猖狂。據(jù)某報道數(shù)據(jù)顯示，在2015年至2020年的5年中，每一年金融業(yè)均位居受網(wǎng)絡(luò)攻擊次數(shù)最多的行業(yè)之首；去年上半年高達50%的分布式拒絕服務(wù)（DDos）攻擊目標機構(gòu)屬于金融行業(yè)。

“現(xiàn)在整個金融服務(wù)業(yè)都在往數(shù)字化轉(zhuǎn)型，數(shù)據(jù)量不斷爆發(fā)迅猛增長。而數(shù)字化轉(zhuǎn)型的時候，也開始使用一些公有云的服務(wù)，跟客戶的溝通類型也在發(fā)生轉(zhuǎn)變，以前客戶會到分行里辦理業(yè)務(wù)，現(xiàn)在數(shù)字化轉(zhuǎn)型，客戶更注重體驗和互動，比如銀行服務(wù)，手機上都有銀行的APP，這個也可以加深跟客戶的互動和體驗?！?派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊于2022年10月13日的線上活動中表示：“金融服務(wù)業(yè)過去數(shù)據(jù)泄露的平均成本有570萬美元，僅次于醫(yī)療行業(yè)，主要原因，基本在網(wǎng)絡(luò)層面的應(yīng)用攻擊、系統(tǒng)入侵，各種錯誤，包括內(nèi)部的誤發(fā)、外部的網(wǎng)絡(luò)釣魚、竊取證書，或者勒索軟件，這些都是我們在金融行業(yè)看到的網(wǎng)絡(luò)攻擊的主要手段?！?/p>

而根據(jù) Palo Alto Networks 旗下 Unit 42 安全團隊發(fā)布的網(wǎng)絡(luò)攻擊報告顯示，金融、專業(yè)服務(wù)和法律、制造、醫(yī)療等幾個大的行業(yè)遭遇的攻擊占案例總數(shù)的60%，攻擊者因為知道大量且敏感的數(shù)據(jù)，因此造成的影響也比較大。他們還會有針對性地進行攻擊，其中金融行業(yè)受到的影響最大，也是排在所有行業(yè)里最前面的，受到攻擊的平均數(shù)量也是最多的。

在過去20年里，釣魚的手段雖然普通，但是成功率卻高達90%以上。而隨著客戶的轉(zhuǎn)型以及疫情的變化，其業(yè)務(wù)轉(zhuǎn)型、網(wǎng)絡(luò)安全的轉(zhuǎn)型、云端的轉(zhuǎn)型甚至在整體的運營上也發(fā)生了巨大的變化，再加上過去兩年疫情的影響，從網(wǎng)絡(luò)安全上來看，居家辦公的環(huán)境導致邊界消失，所以更加需要有彈性的網(wǎng)絡(luò)架構(gòu)、混合形式的模式。

有研究發(fā)現(xiàn)，10%的受訪者對識別常見的網(wǎng)絡(luò)安全威脅缺乏信心。盡管這看似是個很低的數(shù)字，但鑒于從事金融服務(wù)工作時所涉及的重大風險，這仍是一個令人擔憂的問題。要知道，一名員工的一個無意的錯誤就可能導致具有深遠影響的事件。此外，超過四分之一（26%） 的員工認為他們公司的培訓制度仍需改進。這可以采取多種形式：例如現(xiàn)場研討會、在線會議和異步學習材料。培訓將改善員工在信心方面存在的缺失，使他們能夠在任何地方安全地工作，并且知道他們不會使公司陷入攻擊威脅。

而根據(jù)IBM網(wǎng)絡(luò)安全團隊早些時候發(fā)布的數(shù)據(jù)顯示，2021年全球金融業(yè)所遭受的網(wǎng)絡(luò)攻擊在其修復的攻擊中占到22.4%，在行業(yè)排名中退居第二位，制造業(yè)躍居第一位。從攻擊類型看，2021年服務(wù)器訪問攻擊躋身最主要類型，占到攻擊總量的14%；緊隨其后的是勒索軟件配置錯誤和欺詐行為，占比為10%。此外，遠程訪問特洛伊木馬（RAT）、廣告軟件和憑證收集也較為常見。從犯罪分子藉以發(fā)起攻擊的感染媒介看，網(wǎng)絡(luò)釣魚最為常見，2021年全球金融業(yè)遭受的網(wǎng)絡(luò)攻擊中46%由其導致；漏洞利用則排在第二位，占比達到31%；其他類型包括密碼噴灑、暴力破解和虛擬專用網(wǎng)絡(luò)（VPN）訪問、遠程桌面協(xié)議、可移動介質(zhì)等。

“現(xiàn)在由于云的敏捷性、方便性，很多應(yīng)用開發(fā)者都深度應(yīng)用云來做開發(fā)，也使用了一些API的接口互相對接，但是在敏捷多變的系統(tǒng)架構(gòu)里，廣泛調(diào)用API接口的時候，也造成了安全策略的復雜性，使得攻擊面擴大，讓更多隱藏的攻擊者抓住可乘之機。” 陳文俊建議在云原生的解決方案之后，構(gòu)建DevSecOps開始之時就要將安全的功能或者理念做進去，而不是等到應(yīng)用開發(fā)完成了，再發(fā)現(xiàn)漏洞和去解決。他表示：“整個云開發(fā)不要僅是頭痛醫(yī)頭腳痛醫(yī)腳，而是從開發(fā)的整個流程上解決?？紤]的更加長遠，才能夠杜絕問題的發(fā)生?！?/p>

面臨金融行業(yè)網(wǎng)絡(luò)攻擊的“大考”，必須清醒地認識到，作為關(guān)鍵的基礎(chǔ)設(shè)施，打好網(wǎng)絡(luò)安全“持久戰(zhàn)”。而為了協(xié)助企業(yè)更加安全的實現(xiàn)數(shù)字化轉(zhuǎn)型，派拓網(wǎng)絡(luò)將其分為了網(wǎng)絡(luò)安全轉(zhuǎn)型、云原生安全、安全運營三大安全目標。

首先，網(wǎng)絡(luò)安全方面，派拓網(wǎng)絡(luò)硬件憑借成功經(jīng)驗擴展到軟件和SASE，從而擴大了云安全堆棧規(guī)模，協(xié)助企業(yè)建立彈性的網(wǎng)絡(luò)安全架構(gòu)；其次，云原生安全方面則是將合規(guī)、容器和微分段功能相結(jié)合，推出綜合云安全平臺；最后安全運營方面，是以先進技術(shù)建立XDR類別，提供全球領(lǐng)先的自動化和修復措施，擴展對整個攻擊面的可見性。

在這三大安全目標的基礎(chǔ)上，派拓網(wǎng)絡(luò)向金融等數(shù)字化轉(zhuǎn)型用戶提供出以網(wǎng)絡(luò)安全、云安全、端點安全為核心支柱，這三大平臺協(xié)同工作、互相溝通，更好、更緊密地發(fā)掘潛在威脅。再加上零信任部署，幫助企業(yè)防御不同的威脅攻擊，繼而提高黑客攻擊的成本。并通過自動化安全運營和安全情報與事件響應(yīng)為之相配合，共同構(gòu)建出下一代網(wǎng)絡(luò)安全平臺。

除此之外，派拓網(wǎng)絡(luò)將零信任作為網(wǎng)絡(luò)安全部署的核心，即永不信任，持續(xù)驗證。同時，云端與虛擬環(huán)境中也要以零信任來進行相應(yīng)的防護。“端點安全延伸到整個數(shù)據(jù)中心上面。安全的運營需要更好的安全編排。如何更好地檢測，在網(wǎng)絡(luò)上能不能進一步分析，做相對應(yīng)的關(guān)聯(lián)，可以發(fā)現(xiàn)很多潛在的問題。”派拓網(wǎng)絡(luò)大中華區(qū)技術(shù)總監(jiān)耿強解釋到：“派拓網(wǎng)絡(luò)將零信任部署劃分為三個元素和五個手段。三個基本元素是用戶、應(yīng)用和設(shè)備，而五個手段是指定義保護對象與范疇、掌握通訊與數(shù)據(jù)流、基于保護區(qū)域構(gòu)建隔離網(wǎng)絡(luò)、建立零信任安全管理政策、有效率地監(jiān)控及運維?！?/p>

耿強提到，網(wǎng)絡(luò)上太多不同的設(shè)備，包括一些IoT設(shè)備，要不斷進行較量才能做到零信任的第一步。也正因為最小權(quán)限的做法，才能夠更快的對應(yīng)到每個部門的用戶，從而減少黑客入侵和應(yīng)用漏洞帶來的影響，也有效的阻斷很多因黑客入侵導致的安全事件和數(shù)據(jù)泄露的基本入侵手段。

零信任的效果如何？耿強分享了一個關(guān)于某大銀行的案例。在這個商業(yè)銀行的開發(fā)測試數(shù)據(jù)中心，過去通過四層防火墻進行安全防護，但由于業(yè)務(wù)應(yīng)用過多，應(yīng)用環(huán)境復雜，四層防火墻出現(xiàn)穩(wěn)定性問題，同時頻繁遭受外界攻擊。為此派拓網(wǎng)絡(luò)協(xié)助用戶實現(xiàn)下一代防火墻部署，并對整個網(wǎng)絡(luò)架構(gòu)進行可視化優(yōu)化，幫助客戶優(yōu)化了整體安全策略，從而省去50%的策略，提高整體效率，避免以前人為的錯誤或者做法。如今該商業(yè)銀行安全團隊可以在運維平臺上利用大數(shù)據(jù)分析，管理API交付，并加強不同的安全策略，抵擋黑客的入侵，加強了多種威脅下的整體安全防護能力。

從傳統(tǒng)的數(shù)據(jù)中心到云端平臺，傳統(tǒng)的工具與理念在云端可能會完全匹配，所以需要絕對全新的云端防護機制和措施。當然派拓網(wǎng)絡(luò)自由有數(shù)據(jù)中心的一套部署方案，比如零信任網(wǎng)絡(luò)訪問2.0。陳文俊解釋到：“以前在辦公室辦公，建一個‘城墻’就能把辦公環(huán)境保護起來，現(xiàn)在環(huán)境已經(jīng)不一樣了，居家辦公、在咖啡廳辦公等，數(shù)據(jù)無處不在，應(yīng)用SaaS平臺提供，應(yīng)用也無處不在，這樣傳統(tǒng)的邊界被打破了。所以銀行分支機構(gòu)的建設(shè)，也建議走到零信任SASE的架構(gòu)中，將安全的管控放到接入端，在接入的時候把安全管控起來，無論是分支機構(gòu)介入，還是家里電腦接入，亦或是IoT設(shè)備、智能電視機、游戲機的接入，都可以通過SASE管控起來，提高安全效率?！?/p>

陳文俊之所以提出接入零信任SASE的架構(gòu)。是因為通過走訪發(fā)現(xiàn)很多客戶內(nèi)部使用超過了四十種安全設(shè)備，每一款設(shè)備的安全程度不一樣，級別也不一樣，萬一出問題，很難斷定究竟哪一個設(shè)備能夠幫助解決問題。所以面對威脅，短缺的人力并不能及時的進行排解，所以更需要安全策略自動化地分發(fā)，以此來減少人工參與。因此，陳文俊還是建議通過自動化解決方案去面對未知威脅，提高解決問題的反應(yīng)效率。