隨著系統的迭代與更新，金融服務成為了網絡犯罪分子追逐巨額利潤的主要目標。尤其是在疫情期間遠程辦公盛行時期，網絡犯罪活動更加猖狂。據某報道數據顯示，在2015年至2020年的5年中，每一年金融業均位居受網絡攻擊次數最多的行業之首；去年上半年高達50%的分布式拒絕服務（DDos）攻擊目標機構屬于金融行業。

“現在整個金融服務業都在往數字化轉型，數據量不斷爆發迅猛增長。而數字化轉型的時候，也開始使用一些公有云的服務，跟客戶的溝通類型也在發生轉變，以前客戶會到分行里辦理業務，現在數字化轉型，客戶更注重體驗和互動，比如銀行服務，手機上都有銀行的APP，這個也可以加深跟客戶的互動和體驗。” 派拓網絡大中華區總裁陳文俊于2022年10月13日的線上活動中表示：“金融服務業過去數據泄露的平均成本有570萬美元，僅次于醫療行業，主要原因，基本在網絡層面的應用攻擊、系統入侵，各種錯誤，包括內部的誤發、外部的網絡釣魚、竊取證書，或者勒索軟件，這些都是我們在金融行業看到的網絡攻擊的主要手段。”

而根據 Palo Alto Networks 旗下 Unit 42 安全團隊發布的網絡攻擊報告顯示，金融、專業服務和法律、制造、醫療等幾個大的行業遭遇的攻擊占案例總數的60%，攻擊者因為知道大量且敏感的數據，因此造成的影響也比較大。他們還會有針對性地進行攻擊，其中金融行業受到的影響最大，也是排在所有行業里最前面的，受到攻擊的平均數量也是最多的。

頻發的勒索事件及其手段

在過去20年里，釣魚的手段雖然普通，但是成功率卻高達90%以上。而隨著客戶的轉型以及疫情的變化，其業務轉型、網絡安全的轉型、云端的轉型甚至在整體的運營上也發生了巨大的變化，再加上過去兩年疫情的影響，從網絡安全上來看，居家辦公的環境導致邊界消失，所以更加需要有彈性的網絡架構、混合形式的模式。

有研究發現，10%的受訪者對識別常見的網絡安全威脅缺乏信心。盡管這看似是個很低的數字，但鑒于從事金融服務工作時所涉及的重大風險，這仍是一個令人擔憂的問題。要知道，一名員工的一個無意的錯誤就可能導致具有深遠影響的事件。此外，超過四分之一 (26%) 的員工認為他們公司的培訓制度仍需改進。這可以采取多種形式：例如現場研討會、在線會議和異步學習材料。培訓將改善員工在信心方面存在的缺失，使他們能夠在任何地方安全地工作，并且知道他們不會使公司陷入攻擊威脅。

而根據IBM網絡安全團隊早些時候發布的數據顯示，2021年全球金融業所遭受的網絡攻擊在其修復的攻擊中占到22.4%，在行業排名中退居第二位，制造業躍居第一位。從攻擊類型看，2021年服務器訪問攻擊躋身最主要類型，占到攻擊總量的14%；緊隨其后的是勒索軟件配置錯誤和欺詐行為，占比為10%。此外，遠程訪問特洛伊木馬（RAT）、廣告軟件和憑證收集也較為常見。從犯罪分子藉以發起攻擊的感染媒介看，網絡釣魚最為常見，2021年全球金融業遭受的網絡攻擊中46%由其導致；漏洞利用則排在第二位，占比達到31%；其他類型包括密碼噴灑、暴力破解和虛擬專用網絡（VPN）訪問、遠程桌面協議、可移動介質等。

“現在由于云的敏捷性、方便性，很多應用開發者都深度應用云來做開發，也使用了一些API的接口互相對接，但是在敏捷多變的系統架構里，廣泛調用API接口的時候，也造成了安全策略的復雜性，使得攻擊面擴大，讓更多隱藏的攻擊者抓住可乘之機。” 陳文俊建議在云原生的解決方案之后，構建DevSecOps開始之時就要將安全的功能或者理念做進去，而不是等到應用開發完成了，再發現漏洞和去解決。他表示：“整個云開發不要僅是頭痛醫頭腳痛醫腳，而是從開發的整個流程上解決。考慮的更加長遠，才能夠杜絕問題的發生。”

零信任方案阻斷隱患發生

面臨金融行業網絡攻擊的“大考”，必須清醒地認識到，作為關鍵的基礎設施，打好網絡安全“持久戰”。而為了協助企業更加安全的實現數字化轉型，派拓網絡將其分為了網絡安全轉型、云原生安全、安全運營三大安全目標。

首先，網絡安全方面，派拓網絡硬件憑借成功經驗擴展到軟件和SASE，從而擴大了云安全堆棧規模，協助企業建立彈性的網絡安全架構；其次，云原生安全方面則是將合規、容器和微分段功能相結合，推出綜合云安全平臺；最后安全運營方面，是以先進技術建立XDR類別，提供全球領先的自動化和修復措施，擴展對整個攻擊面的可見性。

在這三大安全目標的基礎上，派拓網絡向金融等數字化轉型用戶提供出以網絡安全、云安全、端點安全為核心支柱，這三大平臺協同工作、互相溝通，更好、更緊密地發掘潛在威脅。再加上零信任部署，幫助企業防御不同的威脅攻擊，繼而提高黑客攻擊的成本。并通過自動化安全運營和安全情報與事件響應為之相配合，共同構建出下一代網絡安全平臺。

除此之外，派拓網絡將零信任作為網絡安全部署的核心，即永不信任，持續驗證。同時，云端與虛擬環境中也要以零信任來進行相應的防護。“端點安全延伸到整個數據中心上面。安全的運營需要更好的安全編排。如何更好地檢測，在網絡上能不能進一步分析，做相對應的關聯，可以發現很多潛在的問題。”派拓網絡大中華區技術總監耿強解釋到：“派拓網絡將零信任部署劃分為三個元素和五個手段。三個基本元素是用戶、應用和設備，而五個手段是指定義保護對象與范疇、掌握通訊與數據流、基于保護區域構建隔離網絡、建立零信任安全管理政策、有效率地監控及運維。”

耿強提到，網絡上太多不同的設備，包括一些IoT設備，要不斷進行較量才能做到零信任的第一步。也正因為最小權限的做法，才能夠更快的對應到每個部門的用戶，從而減少黑客入侵和應用漏洞帶來的影響，也有效的阻斷很多因黑客入侵導致的安全事件和數據泄露的基本入侵手段。

零信任的效果如何？耿強分享了一個關于某大銀行的案例。在這個商業銀行的開發測試數據中心，過去通過四層防火墻進行安全防護，但由于業務應用過多，應用環境復雜，四層防火墻出現穩定性問題，同時頻繁遭受外界攻擊。為此派拓網絡協助用戶實現下一代防火墻部署，并對整個網絡架構進行可視化優化，幫助客戶優化了整體安全策略，從而省去50%的策略，提高整體效率，避免以前人為的錯誤或者做法。如今該商業銀行安全團隊可以在運維平臺上利用大數據分析，管理API交付，并加強不同的安全策略，抵擋黑客的入侵，加強了多種威脅下的整體安全防護能力。

寫在最后：

從傳統的數據中心到云端平臺，傳統的工具與理念在云端可能會完全匹配，所以需要絕對全新的云端防護機制和措施。當然派拓網絡自由有數據中心的一套部署方案，比如零信任網絡訪問2.0。陳文俊解釋到：“以前在辦公室辦公，建一個‘城墻’就能把辦公環境保護起來，現在環境已經不一樣了，居家辦公、在咖啡廳辦公等，數據無處不在，應用SaaS平臺提供，應用也無處不在，這樣傳統的邊界被打破了。所以銀行分支機構的建設，也建議走到零信任SASE的架構中，將安全的管控放到接入端，在接入的時候把安全管控起來，無論是分支機構介入，還是家里電腦接入，亦或是IoT設備、智能電視機、游戲機的接入，都可以通過SASE管控起來，提高安全效率。”

陳文俊之所以提出接入零信任SASE的架構。是因為通過走訪發現很多客戶內部使用超過了四十種安全設備，每一款設備的安全程度不一樣，級別也不一樣，萬一出問題，很難斷定究竟哪一個設備能夠幫助解決問題。所以面對威脅，短缺的人力并不能及時的進行排解，所以更需要安全策略自動化地分發，以此來減少人工參與。因此，陳文俊還是建議通過自動化解決方案去面對未知威脅，提高解決問題的反應效率。