VMware《现代银行劫案》报告：金融机构将大幅增加安全预算

VMware在2022年2月进行了一项在线调查，调查内容涉及金融机构面临的不断演变的网络安全威胁，最终于近期对外发布了一份名为《现代银行劫案》（Modern Bank Heists）安全报告。来自世界各地的130位金融业CISO和安全领导人参加了此次调查。其中41%的金融机构总部位于北美，29%位于欧洲，16%位于亚太地区，12%位于中美洲和南美洲，2%位于非洲。调查要求受访者在每个问题中只能选择一个答案。

VMware所服务的客户遍布全球，该报告内容详实度较为可靠。报告之所以叫“现代银行劫案”，指的也是金融业从过去的传统风险在向信息化发展的过程中所正在经历的新威胁，根据报告内容显示，VMware长期关注金融业在网络安全方面的威胁，此次报告也是他们最近更新的第五版内容。

金融机构遭破坏性网络攻击数量增加 

勒索攻击、供应链及API攻击居多

报告内容显示，对银行为代表的金融机构最本质的威胁是利用网络进行破坏性攻击，63%的金融机构遭受到的破坏性攻击有所增加，比去年增加了17%。三分之二（66%）的金融机构经历过以商业机密窃取为目的的攻击。另外，针对金融市场的攻击具有更隐秘的特征，同时威胁性也更强。

数据显示，四分之三（74%）的受访金融机构在过去一年中至少经历过一次勒索软件攻击，30%的机构经历了多次勒索攻击，其中超过六成选择支付赎金。VMware形容这一数字“令人震惊”。此前安全419持续更新的《勒索攻击解决方案》选题就聚焦过该问题，金融、教育、医疗均为勒索攻击重灾区。以上领域所拥有的数据具有同一特点——鲜活而又具有高价值。

有分析公司已确定，2021年支付的勒索赎金已超过6.02亿美元，其中仅支付给Conti（勒索组织）一家就高达1.8亿美元，但报告认为实际数据可能比已记录数据还要高。同时另外一份数据也支持了这一点，美金融犯罪执法网络（FINCEN）表示，去年为期6个月的时间里，共发现约52亿美元的比特币交易可能与勒索攻击支付有关。

另外一份数据则更为贴切“现代银行劫案”，报告显示，在过去的十年里，已有26亿美元被从加密交易所被盗，这也是银行劫案的数字版本。调查显示，现在已有83%的受访者对加密货币交易所的安全性表示担忧，虽然加密货币本身被包装成安全性更佳，但频繁的攻击案例正在摧毁人们对它的认知。报告认为，必须改善加密货币交易所的安全态势，以打击网络犯罪。

另外一个具象威胁同样增速惊人，60%的金融机构正面临供应链攻击，比去年增加了58%。没错，这可能并不意味着攻击者之前没有采用过这种手段，只是机构在最近一年对该攻击方法更加敏感。现在有87%的金融机构正担心他们的服务提供商的安全状况，因为他们一旦受到威胁，就会给金融业带来系统性风险。

报告显示，与供应链安全保持同样担心的还有API安全，并且有94%的金融安全负责人表示他们正经历API攻击。报告指出，API已发展成为“中枢神经系统”，它能将关键信息和数据从应用程序的一个部分传递到另一个部分，换句话说，API已经成为现代应用程序的基本和核心组件。这也注定了它几乎是攻击者眼中的完美目标。

VMware总结表示，随着国际地缘政治因素的扑朔迷离，以及疫情导致企业对远程办公需求的增加，加之创纪录的零日漏洞攻击等，网络安全已成为商业领袖们最关心的问题。VMware强调称，网络安全已成为品牌保护的当务之急。而对于机构的网络安全信心则取决于有效避免、缓解和应对现代网络威胁。

VMware建议各机构、组织在网络安全威胁加剧的环境下，管理层应该通过让CISO参与决策，赋予CISO权力，来处理给公司全面的安全风险，并确保组织理解安全投资是头等优先事项。因为从威胁角度来看，无论是勒索攻击造成的巨额赎金，又或是针对其市场级策略的信息窃密，都会对金融机构造成毁灭性打击。

多数金融机构计划将安全支出提升至

IT总预算的20%-30%

报告给出一份金融机构的安全建设方面的支出数据，其中受访的10家金融机构在安全方面的支出不超过IT总预算的12%，然而，多数金融机构计划今年将预算增加到20%-30%。从安全基线方面的投入比重方面，报告给出如下数据：

CISOs将其最优先的安全投资列为：

1、XDR（扩展检测和响应）（24%）

2、工作负载安全（22%）

3、移动安全（21%）

4、威胁情报（15%）

5、管理检测和响应（11%）

6、容器安全（8%）

报告对数据进行解释称，51%的金融机构每周都在进行威胁调查。而这也被认为是主动防御的一部分，不再仅限于过去的事件响应机制。报告认为，安全团队应将每周进行主动的网络威胁搜寻，以作为最佳实践。这不代表着一定要去追溯到网络罪犯，而是作为威胁情报提供支持。

VMware在报告结尾处给出了抵御“现代银行抢劫”十大安全建议：

1、将网络流量检测和响应（NDR）与端点检测和响应（EDR）集成

这将建立一套实时、连续监控网络安全威胁，并提供自动化控制和消除威胁的技术实现。

2、应用微隔离

限制攻击者在组织内横向移动的能力，为攻击者跨越边界提供更好的检测和防御能力。

3、利用自动化漏洞管理

4、部署诱饵蜜罐

也称为欺骗技术，用于转移入侵者的注意力。

5、在高强制执行中激活应用程序控制

防止未经授权的更改，并帮助阻止恶意软件、勒索软件、零日攻击和其他攻击。

6、部署工作负载安全性

以减少攻击面，提高跨环境的可见性，并针对新出现的威胁保护工作负载。

7、每周进行威胁检测

安全团队应该假设攻击者有多种途径进入他们的组织。在所有设备上搜寻威胁可以帮助安全团队发现行为异常，因为攻击者可以在组织的系统中秘密潜伏。

8、实现DevSecOps和API安全性

9、应用实时管理

10、确保备份可行且定期巡检

确保关键数据可以迅速地恢复，以减免组织受到勒索软件或破坏性网络攻击的影响。（对于业务连续性、安全性要求极高的金融行业而言，灾备技术的应用将优于传统的备份。）

THE END

// 推荐阅读