金融业可以采取 4 个步骤来应对不断增长的攻击面

金融服务行业一直处于技术采用的最前沿，但 2020 年的大流行加速了移动银行应用程序、基于聊天的客户服务和其他数字工具的普及。例如， Adobe 的 2022 年 FIS 趋势报告发现，超过一半的接受调查的金融服务和保险公司在 2020 年上半年经历了数字/移动访问者的显着增长。同一份报告发现，十分之四的财务高管表示数字和移动渠道占其销售额的一半以上——预计这种趋势只会在未来几年内持续下去。

随着金融机构扩大数字足迹，他们有更多机会更好地为客户服务，但也更容易受到安全威胁。每个新工具都会增加攻击面。更多数量的潜在安全漏洞可能会导致更多数量的安全漏洞。

根据思科 CISO 基准调查，17% 的组织在 2020 年每天收到 100,000 个或更多安全警报。大流行后，这一轨迹仍在继续。2021 年的常见漏洞和暴露数量创历史新高：20,141，超过了 2020 年 18,325 的记录。

关键的一点是金融业的数字化增长并没有停止。因此，网络安全团队将需要方法来准确、实时地了解其攻击面。从那里，确定最容易被利用的漏洞并优先对其进行修补。

传统的安全验证方法

传统上，金融机构使用几种不同的技术来评估其安全状况。

突破和攻击模拟

违反和攻击模拟 (BAS) 通过模拟恶意行为者可能使用的潜在攻击路径来帮助识别漏洞。这允许动态控制验证，但基于代理且难以部署。它还将模拟限制在预定义的剧本中——这意味着范围永远不会完整。

手动渗透测试

例如，手动渗透测试允许组织查看银行的控制如何抵御现实世界的攻击，同时提供攻击者视角的附加输入。但是，此过程可能成本高昂，并且每年最多只能完成几次。这意味着它无法提供实时洞察力。此外，结果始终取决于第三方渗透测试人员的技能和范围。如果一个人在渗透测试期间错过了一个可利用的漏洞，它可能会一直未被检测到，直到被攻击者利用。

漏洞扫描

漏洞扫描是对公司网络的自动化测试。这些可以根据需要随时安排和运行。但是，它们在可以提供的上下文中受到限制。在大多数情况下，网络安全团队只会收到扫描检测到的每个问题的 CVSS 严重性等级（无、低、中、高或严重）。他们的团队将承担研究和解决问题的责任。

漏洞扫描也带来了警报疲劳的问题。面对如此多的真正威胁要处理，金融行业的安全团队需要能够专注于可能导致最大业务影响的可利用漏洞。

一线希望

自动安全验证(ASV) 提供了一种全新且准确的方法。它结合了漏洞扫描、控制验证、实际利用和基于风险的补救建议，以实现完整的攻击面管理。

ASV 提供持续覆盖，使金融机构能够实时了解其安全状况。结合内部和外部覆盖，它提供了他们整个风险环境的最完整的画面。而且，因为它模拟了现实生活中攻击者的行为，它比基于场景的模拟走得更远。

金融业如何使用 ASV

（几乎）不言而喻，银行、信用合作社和保险公司需要高级别的安全措施来保护其客户的数据。它们还必须符合某些合规标准，例如 FINRA 和 PCI-DSS。

那么：他们是怎么做到的？许多人正在投资于自动化安全验证工具，这些工具可以在任何给定时间向他们展示他们真正的安全风险，然后利用这些洞察力来制定补救路线图。以下是 Sander Capital Management 等金融机构遵循的路线图：

第 1 步——了解他们的攻击面

使用 Pentera 绘制其面向 Web 的攻击面，他们正在收集对其域、IP、网络、服务和网站的完整了解。

第 2 步——挑战他们的攻击面

他们使用最新的攻击技术安全地利用映射的资产，发现完整的攻击媒介——内部和外部。这为他们提供了所需的知识，以了解什么是真正可利用的——并且值得使用资源进行补救。

第 3 步——根据影响确定修复工作的优先级

通过利用攻击路径仿真，他们可以查明每个安全漏洞对业务的影响，并对每个经过验证的攻击向量的根本原因进行重视。这为他们的团队提供了一个更容易遵循的路线图来保护他们的组织。

第 4 步—执行他们的补救路线图

遵循具有成本效益的补救措施清单，这些金融组织正在授权其安全团队解决差距并衡量他们的努力对其整体 IT 状况的影响。

就您的组织而言：您是否知道最薄弱的环节在哪里，以便在攻击者对您使用它们之前解决它们？