前不久,财政部正式发布出台《企业数据资源相关会计处理暂行规定》,在释放国家推进数据资产入表政策落地决心的同时,也预示着一个数据要素产业化时代的开启。俨然,对于企业而言,数据资产不再缥缈,而是切实的真金白银。
在企业对数据资产空前重视的当下,数据安全被提至全新高度。不过,从全球领先的云服务厂商Akamai最新发布的一期《互联网现状/安全性》 (SOTI) 报告来看,今天的网络安全形势仍然不容乐观,尤其是金融服务业首当其冲,仍然面临着极大数据安全风险和挑战。
那么,从Akamai的网络安全报告中,有哪些重要讯息值得引起中国金融服务企业的高度重视?
亚太及日本地区金融服务业成“中心区”
Akamai最新发布的《互联网现状/安全性》 (SOTI) 报告显示,亚太地区及日本的金融服务业仍然是全球遭受攻击最多的行业之一。2022 年第 2 季度到 2023 年第 2 季度所遭受的 Web 应用程序和 API 攻击数量增长 36%,总数超过 37 亿次。
其中,本地文件包含 (LFI) 仍然是最主要的攻击媒介,并且针对亚太地区及日本金融业的攻击中有 92.3% 的攻击以银行为目标,对金融机构及其客户构成了巨大威胁。
伴随着移动支付、电商等新技术新模式的出现,近年来,包括中国在内的亚太地区及日本市场,其金融服务业已跃然成为全球最具竞争力和创新力的行业。尤其是中国市场,在应用创新方面的发展速度曾一度引领全球。
36%显然是一个较高的增长数字,预示着短期内仍将延续这一势头。金融企业的高速成长,其对于新技术应用的活跃和快速的业务创新,往往也意味伴随着大量的新漏洞和未知风险隐患的出现,这俨然使其成为网络黑客所瞄准和狩猎的目标。
包括银行企业在内的国内金融业,其在数智化转型方面一直走在了产业的最前沿,这应该值得国内整个金融行业企业的警惕。
不得不防的“第三方脚本”
《互联网现状/安全性》 (SOTI) 报告数据显示,伴随亚太地区及日本的金融服务企业开拓更多渠道并提供更好的客户体验,它们使用的第三方脚本越来越多,其占比已达到了所用脚本总数的 40%。这些数据点表明,随着各个企业(尤其是银行和以消费者为中心的机构)不断扩展其数字足迹以覆盖更多客户并获得竞争优势,它们也面临着极高风险。
业界周知,对于金融服务企业而言,第三方脚本可以更为快速的为客户提供新服务和增强产品功能以及交互式体验。但是,金融企业对于这类脚本的安全风险监测能力实际上是有限和弱势的。
由于无法识别脚本的真实性和是否隐藏潜在漏洞,因此也为以银行为代表的金融行业企业的数据资产安全带来重大风险隐患。进而有可能被攻击者所利用,并最终造成巨大经济损失。
无处不在的“恶意爬虫”
智能世界,机器爬虫无处不在。好的爬虫为人们的工作、生产、生活带来极大便捷,然而,由于以窃取用户数据等为目的的恶意爬虫大量充斥其中,其也为用户的数据风险带来巨大隐患。
报告显示,2022 年以来亚太地区及日本的恶意爬虫程序流量增长了 128%,这凸显出针对金融服务业客户及其数据的攻击持续不断。
事实上,爬虫程序今天已经成为网络犯罪分子提升攻击规模、效率和有效性的重要工具。数据显示,在全球范围内,包括中国在内的亚太地区及日本是针对金融服务业的恶意爬虫程序请求的第二大攻击目标区域,占全球所有恶意爬虫程序请求数量的 39.7%。
应用场景通常包括如下两类:
一是窃取网站内容,冒充金融服务企业官网来实施网络钓鱼骗局;
二是利用窃取的用户名和密码,通过自动注入方式来实施撞库攻击,从而实现帐户接管。
这些攻击方式同时也表明犯罪分子及攻击者正在不断地发展其技术,并且开始专注于攻击金融服务业消费者,以获得最大的投资回报。
“本地包含漏洞(LFI)”成重要攻击媒介
根据报告显示,Web 应用程序和 API 依然是攻击者在亚太地区及日本的首选攻击媒介。其中,金融行业遭受的攻击在此类攻击中占 50%,紧随其后的是商业 (19.99%) 和社交媒体 (8.3%);澳大利亚、新加坡和日本所受攻击总和在所有 Web 应用程序和 API 攻击中的占比超过四分之三。
对于中国金融企业而言,值得注意的是,在所有攻击中,本地文件包含漏洞 (LFI) 依旧是最主要的攻击媒介,占比为 63.2%,而跨站点脚本攻击 (XSS) 和 PHP 注入 (PHPi) 分别居于二、三位,其占比分别为 21.3% 和 6.32%。
在 LFI 攻击中,攻击者会利用 Web 服务器上不安全的编码实践或实际漏洞来远程执行代码或者访问本地存储的敏感信息。例如,基于 PHP 的陈旧 Web 服务器更容易遭受 LFI 攻击,因为存在会绕过其输入筛选器的已有方法。
对于Akamai最新一期《互联网现状/安全性》 (SOTI) 报告所揭示的网络安全威胁挑战,金融服务企业应该如何布防?“金融机构必须专注于保护新的数字产品,不断向客户普及有关网络安全最佳实践的相关知识,并投资于面向用户的流畅安全措施。随着监管机构实施各种政策来强化网络安全标准,金融服务企业还必须了解并考虑新的合规性要求,同时增强其抵御现代网络威胁的安全态势和网络韧性。” Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh如此总结道。
