金融业可以采取的4个步骤来应对其不断增长的攻击面

金融服务业一直处于技术采用的前沿，但2020年的大流行加速了手机银行应用程序、基于聊天的客户服务和其他数字工具的普及。Adobe 2022年FIS趋势报告例如，调查发现，在2020年上半年，超过一半的接受调查的金融服务和保险公司的数字/移动访客显著增加。该报告还发现，十分之四的金融高管表示，数字和移动渠道占其销售额的一半以上；这一趋势预计只会在未来几年继续下去。

随着金融机构扩大其数字足迹，他们有更多机会更好地为客户服务，但也更容易受到安全威胁。每一种新工具都会增加攻击面。更多的潜在安全漏洞可能会导致更多的安全漏洞。

根据思科CISO基准调查，2020年，17%的组织每天有10万次或以上的安全警报。大流行后，这种趋势仍在继续。2021的常见漏洞和暴露数量创历史新高：20141，超过了2020年18325的记录。

关键是金融业的数字增长是不停止，因此，网络安全团队将需要各种方法来获得对其攻击表面的准确、实时可见性。在此基础上，确定最易被利用的漏洞，并将其优先用于修补。

传统的安全验证方法

传统上，金融机构使用几种不同的技术来评估其安全态势。

破坏和攻击模拟

破坏和攻击模拟（BAS）通过模拟恶意参与者可能使用的潜在攻击路径，帮助识别漏洞。这允许动态控制验证，但基于代理且难以部署。它还将模拟限制为预定义的剧本，这意味着范围永远不会完整。

漏洞扫描

漏洞扫描是对公司网络的自动测试。这些可以随时安排和运行，根据需要随时更换。然而，它们所能提供的环境有限。在大多数情况下，网络安全团队只会对扫描检测到的每个问题获得CVSS严重性评级（无、低、中、高或严重）。他们的团队将承担研究和解决问题的责任。

漏洞扫描也会造成警报疲劳问题。有这么多人真实的为了应对威胁，金融行业的安全团队需要能够专注于可能造成最大业务影响的可利用漏洞。

一线希望

自动安全验证（ASV）提供了一种新的准确，方法它结合了漏洞扫描、控制验证、实际利用和基于风险的补救建议，以实现完整的攻击表面管理。

ASV提供连续覆盖，使金融机构能够实时了解其安全态势。它结合了内部和外部覆盖范围，提供了其整个风险环境的尽可能完整的图片。而且，由于它模拟了真实攻击者的行为，因此比基于场景的模拟要深入得多。

不用说，银行、信用合作社和保险公司需要高水平的安全性来保护其客户的数据。它们还必须符合某些合规标准，如FINRA和PCI-DSS。

那么，他们是怎么做到的？许多人正在投资自动安全验证工具，以显示他们在任何给定时间的真实安全风险，然后利用这些见解创建补救路线图。以下是桑德资本管理等金融机构遵循的路线图：

Step 1 ，了解他们的攻击面

使用Pentera绘制面向web的攻击面，他们对自己的域、IP、网络、服务和网站有了全面的了解。

Step 2，挑战他们的攻击面

他们利用最新的攻击技术安全地利用映射的资产，发现完整的攻击向量#8211；内部和外部。这给了他们所需要的知识，以了解什么是真正可利用的#8211；值得补救的资源。

Step 3 ，按影响排序补救工作

通过利用攻击路径仿真，他们可以查明每个安全漏洞对业务的影响，并对每个经过验证的攻击向量的根本原因进行重视。这为他们的团队提供了一个更容易遵循的路线图来保护他们的组织。

Step 4 ，执行其补救路线图

根据经济高效的补救清单，这些金融组织正在授权其安全团队解决差距，并衡量其努力对其整体IT状况的影响。

说到你的组织：你知道你最薄弱的环节在哪里吗？这样你就可以在攻击者对你使用它们之前解决它们？

如果您准备好验证您的组织是否受到最新威胁，请请求免费的安全健康检查。