金融机构成为网络攻击目标的可能性是其他公司的300倍。

波士顿咨询

21 世纪社会的大多数关键功能都不可避免地依赖于数字基础设施，尤其是金融业。金融系统对数字技术的依赖程度越高，其相互联系就越紧密，就越容易受到网络利用。如今的消费者更重视便利性，并且金融机构也鼓励消费者使用在线交易来提高效率和降低运营成本。金融业密集的互连性、消费者广泛的数字足迹以及对技术基础设施的高度依赖使其面临极大的攻击面。

比如，网络攻击者可能会窃取凭证并获取银行员工和客户的密码和个人信息等信息，从而访问账户并下达欺诈性支付指令。网络钓鱼是一种低风险、低成本、低门槛的工具，即使是对技能最低的攻击者来说也非常易于操作。

金融业的全球规模、复杂的互连性和系统重要性构成了独特的网络安全挑战，意味着单个受损节点可能会对整个网络的安全性造成不成比例的后果。WannaCry 勒索软件在几天内传播到数十万台计算机。

此外，我们必须意识到，地缘政治目标驱动的网络攻击已经成为当前金融业可能面临的严重威胁。金融业的商业模式依赖于消费者对整个金融体系的信心。因此金融业可能遭受的网络攻击也许并不出于直接的经济动机。分布式拒绝服务攻击可以禁用金融服务，阻止客户访问帐户和处理付款。金融机构持有的大量敏感客户数据包含大量高价值的个人信息。大规模数据泄露则会严重破坏金融系统所依赖的用户信心。

金融机构必须采取更多措施，以在瞬息万变的风险态势中保持领先地位，并最大限度地发挥其安全防御措施的作用。简单部署安全产品不足以确保它们的有效性和准确性，也无法保证其随着时间的推移还能够保持对最新威胁的防御能力。鉴于新的攻击层出不穷、基础设施弱点以及其他不可避免的变化，持续验证和调整安全防御措施至关重要。

近年来，《数据安全法》、《网络安全法》相继对安全有效性验证提出了纲领性的指引，要求相关机构执行定期演练，具备保障持续安全状态的能力。2022年发布的《信息安全技术关键信息基础设施安全保护要求》明确要求实施持续性攻防演练。我国金融领域也已经开始探索安全有效性验证的行业规范。

证监会上月发布了最新的《证券期货业网络和信息安全管理办法》，要求机构建立网络和信息安全防护体系，并且仍然强调定期攻防演练的重要性。也进一步落实了国家关于关键信息基础设施的安全保护要求，明确证监会及其派出机构可以委托专业机构对行业机构开展监督检查。

公安部第三研究所信息网络安全公安部重点实验室近期也推出了网络安全实战能力成熟度模型以及全新的评价体系，提出将技术验证视为组织自身信息系统的防火演习，全面测试组织面对真实网络攻击时的响应和防护能力，并使用在模拟过程中收集到的信息来改进组织的网络安全策略以及确认安全产品的有效性。

作为国内安全验证理念的开创者，塞讯验证通过模拟真实的APT攻击场景，验证企业自身部署的安全工具是否发挥真正作用。通过持续的验证帮助您最大限度地提高现有安全投资的回报率。塞讯安全度量验证平台也能为金融机构提供数据支撑和安全运维建议，来帮助响应法律、法规和行业监管机构的评估要求。

塞讯验证已在金融领域服务于多家行业头部企业，积累了成熟的安全验证实践经验。金融企业往往涉及多个安全区域或是多个数据中心，面临各种环境变化，塞讯安全度量平台通过在生产环境中真实模拟各类攻击手段，来帮助金融企业发现安全防御体系的弱点，持续监测安全防御能力的飘移情况，完善各类事件响应和合规流程的准确性。

关注微信公众号添加客服，获取《500强金融企业的安全验证实践》案例！

推荐阅读

亚洲两大数据中心遭入侵，国内多家头部企业数据被泄露

CISO的情人节“角色扮演”指南