Ngành dịch vụ tài chính luôn đi đầu trong việc áp dụng công nghệ, nhưng đại dịch năm 2020 đã thúc đẩy sự phổ biến rộng rãi của các ứng dụng ngân hàng di động, dịch vụ khách hàng dựa trên trò chuyện và các công cụ kỹ thuật số khác. Ví dụ: Báo cáo Xu hướng FIS năm 2022 của Adobe cho thấy hơn một nửa số dịch vụ tài chính và công ty bảo hiểm được khảo sát đã có sự gia tăng đáng kể về lượng khách truy cập kỹ thuật số / di động trong nửa đầu năm 2020. Cũng báo cáo này cho thấy bốn trong số mười giám đốc điều hành tài chính cho biết rằng các kênh kỹ thuật số và di động chiếm hơn một nửa doanh số bán hàng của họ – một xu hướng chỉ được dự đoán sẽ tiếp tục trong vài năm tới.
Khi các tổ chức tài chính mở rộng dấu ấn kỹ thuật số của mình, họ có nhiều cơ hội hơn để phục vụ khách hàng của mình tốt hơn – nhưng cũng phải đối mặt với các mối đe dọa bảo mật nhiều hơn. Mỗi công cụ mới đều làm tăng bề mặt tấn công. Số lượng lỗ hổng bảo mật tiềm ẩn cao hơn, có thể dẫn đến số lượng vi phạm bảo mật cao hơn.
Theo khảo sát CISO Benchmark của Cisco, 17% tổ chức có 100.000 cảnh báo bảo mật hàng ngày trở lên vào năm 2020. Sau đại dịch, quỹ đạo đó vẫn tiếp tục. Năm 2021 có số lượng lỗ hổng và mức độ phơi nhiễm phổ biến cao nhất mọi thời đại: 20.141, vượt xa kỷ lục năm 2020 là 18.325.
Điểm mấu chốt là tăng trưởng kỹ thuật số trong ngành tài chính là không phải dừng lại; do đó, các nhóm an ninh mạng sẽ cần các cách để có được khả năng hiển thị chính xác, theo thời gian thực về bề mặt tấn công của họ. Từ đó, xác định những lỗ hổng dễ bị khai thác nhất và ưu tiên chúng để vá.
Các cách tiếp cận truyền thống để xác thực bảo mật
Theo truyền thống, các tổ chức tài chính đã sử dụng một số kỹ thuật khác nhau để đánh giá tình hình an ninh của họ.
Mô phỏng vi phạm và tấn công
Mô phỏng vi phạm và tấn công, hoặc BAS, giúp xác định các lỗ hổng bằng cách mô phỏng các đường dẫn tấn công tiềm ẩn mà một tác nhân độc hại có thể sử dụng. Điều này cho phép xác thực điều khiển động nhưng dựa trên tác nhân và khó triển khai. Nó cũng giới hạn các mô phỏng trong một playbook được xác định trước – có nghĩa là phạm vi sẽ không bao giờ hoàn chỉnh.
Kiểm tra thâm nhập thủ công
Thử nghiệm thâm nhập thủ công cho phép các tổ chức xem cách kiểm soát của ngân hàng, chẳng hạn, chống chọi với một cuộc tấn công trong thế giới thực, đồng thời cung cấp đầu vào bổ sung về quan điểm của kẻ tấn công. Tuy nhiên, quá trình này có thể tốn kém và chỉ được hoàn thành một số ít lần mỗi năm. Điều này có nghĩa là nó không thể cung cấp thông tin chi tiết theo thời gian thực. Ngoài ra, kết quả luôn phụ thuộc vào kỹ năng và phạm vi của người kiểm tra thâm nhập của bên thứ ba. Nếu con người bỏ lỡ một lỗ hổng có thể khai thác trong quá trình kiểm tra thâm nhập, nó có thể vẫn không bị phát hiện cho đến khi bị kẻ tấn công tận dụng.
Quét lỗ hổng bảo mật
Quét lỗ hổng bảo mật là các bài kiểm tra tự động đối với mạng của một công ty. Chúng có thể được lên lịch và chạy bất cứ lúc nào – thường xuyên như mong muốn. Tuy nhiên, chúng bị giới hạn trong bối cảnh mà chúng có thể cung cấp. Trong hầu hết các trường hợp, nhóm an ninh mạng sẽ chỉ nhận được xếp hạng mức độ nghiêm trọng của CVSS (không có, thấp, trung bình, cao hoặc nghiêm trọng) cho mỗi vấn đề được phát hiện bởi quá trình quét. Nhóm của họ sẽ mang gánh nặng nghiên cứu và giải quyết vấn đề.
Quét lỗ hổng cũng đặt ra vấn đề về sự mệt mỏi của cảnh báo. Với rất nhiều mối đe dọa thực sự cần đối phó, các đội bảo mật trong ngành tài chính cần phải có khả năng tập trung vào các lỗ hổng có thể khai thác được có khả năng gây ra tác động kinh doanh nhiều nhất.
Một đường kẻ màu bạc
Xác thực bảo mật tự động, hoặc ASV, cung cấp một cách tiếp cận mới – và chính xác -. Nó kết hợp quét lỗ hổng bảo mật, xác thực kiểm soát, khai thác thực và các đề xuất khắc phục dựa trên rủi ro để quản lý bề mặt tấn công hoàn chỉnh.
ASV cung cấp phạm vi bảo hiểm liên tục, cung cấp cho các tổ chức tài chính thông tin chi tiết theo thời gian thực về tư thế bảo mật của họ. Kết hợp cả phạm vi bảo hiểm bên trong và bên ngoài, nó cung cấp bức tranh đầy đủ nhất có thể về toàn bộ môi trường rủi ro của họ. Và, bởi vì nó mô hình hóa hành vi của kẻ tấn công trong đời thực, nó đi xa hơn nhiều so với một mô phỏng dựa trên kịch bản có thể.
Cách ngành tài chính đang sử dụng ASV
Hầu như không cần phải nói rằng các ngân hàng, công đoàn tín dụng và công ty bảo hiểm cần mức độ bảo mật cao để bảo vệ dữ liệu khách hàng của họ. Họ cũng phải đáp ứng các tiêu chuẩn tuân thủ nhất định, chẳng hạn như FINRA và PCI-DSS.
Vậy: họ đang làm như thế nào? Nhiều người đang đầu tư vào các công cụ xác thực bảo mật tự động cho họ thấy rủi ro bảo mật thực sự của họ tại bất kỳ thời điểm nào, sau đó sử dụng những thông tin chi tiết đó để tạo lộ trình khắc phục. Dưới đây là lộ trình mà các tổ chức tài chính như Sander Capital Management đang thực hiện:
Bước 1 – Biết bề mặt tấn công của họ
Sử dụng Pentera để lập bản đồ bề mặt tấn công trực diện web của họ, họ đang thu thập sự hiểu biết đầy đủ về miền, IP, mạng, dịch vụ và trang web của họ.
Bước 2 – Thách thức bề mặt tấn công của họ
Khai thác an toàn các tài sản được ánh xạ bằng các kỹ thuật tấn công mới nhất, chúng phát hiện ra các vectơ tấn công hoàn chỉnh – cả bên trong và bên ngoài. Điều này mang lại cho họ kiến thức cần thiết để hiểu những gì thực sự có thể khai thác – và có giá trị tài nguyên để sửa chữa.
Bước 3 – Ưu tiên các nỗ lực khắc phục hậu quả do tác động
Bằng cách tận dụng mô phỏng đường dẫn tấn công, họ có thể xác định chính xác tác động kinh doanh của từng lỗ hổng bảo mật và gán tầm quan trọng cho nguyên nhân gốc rễ của mỗi vectơ tấn công đã được xác minh. Điều này mang lại cho nhóm của họ một lộ trình dễ thực hiện hơn nhiều để bảo vệ tổ chức của họ.
Bước 4 – Thực hiện lộ trình khắc phục của họ
Theo sau danh sách khắc phục hiệu quả về chi phí, các tổ chức tài chính này đang trao quyền cho các nhóm bảo mật của họ để giải quyết các lỗ hổng và đo lường tác động của những nỗ lực của họ đối với tình hình CNTT tổng thể của họ.
Khi nói đến tổ chức của bạn: bạn có biết các liên kết yếu nhất của mình ở đâu để bạn có thể giải quyết chúng trước khi kẻ tấn công sử dụng chúng để chống lại bạn không?
Nếu bạn đã sẵn sàng xác thực tổ chức của mình chống lại các mối đe dọa mới nhất, hãy yêu cầu kiểm tra tình trạng bảo mật miễn phí.
.
