根据英格兰银行日前进行的一次系统性风险调查,79%的调查参与者认为,网络攻击是英国金融体系中最常见的风险。应该指出的是,在俄乌冲突之前进行的一项调查中,也提到了此类事件风险增加的警告。除了连续第二年成为银行业的头号威胁之外,网络攻击还被确定为65%参与调查的金融业公司面临的最具挑战性的风险。为了更好地抵御潜在的网络攻击,金融机构需要开始对网络安全、风险和弹性进行不同的思考。为什么会这样?物联网和其他运营技术设备已经大规模地扩大了金融行业的攻击面,同时出现了多重防御盲点,是一个不为人知的安全挑战。
无法确保摆脱网络风险和弹性泥潭
当谈到网络风险和弹性时,只拥有“网络保险”是不够的。在其最新发布的弹性业务报告中,英格兰银行证实,就网络而言,网络保险的缺口仍然很大,网络风险造成的损失有90%没有投保。如果这不能让人相信加强网络风险管理最佳实践应该是一项业务重点的话,那么今后将会如何应对?
英国金融行为监管局(FAC) 将运营弹性定义为“企业、金融市场基础设施和金融部门预防、适应和应对、恢复和从运营中断中学习的能力”。正如该机构指出的,这种“吸收冲击而不是使其复合”的能力至关重要。作为英国金融行为监管局(FAC)规则和指南的一部分,其适用于银行、建筑协会、英国央行审慎监管局(PRA)指定的投资公司、保险公司、认可的投资交易所、增强范围的高级管理人员和认证制度公司,以及根据2017年支付服务条例授权和注册的实体和2011年电子货币条例授权和注册的实体。从2022年3月31日起,且不迟于2025年3月31日,这些实体必须进行必要的投资,以在其影响容限内持续运营。英国金融行为监管局(FAC)与英国央行审慎监管局(PRA)建议,为了在较高水平了解网络弹性,企业需要能够回答以下问题:如何识别和保护关键资产?如何检测和应对事件以便恢复业务并从中吸取经验?
了解企业技术债务并查找网络安全盲点
可以明确的一点是:绝对不是说金融机构内部的IT安全通常不完善。但是,当开始深入研究物联网和其他运营技术(例如建筑管理系统)为网络安全领域带来的设备细节时,事情开始变得有些模糊。事实上,金融机构采用的任何带有互联网网关的设备都可能带来额外的风险,这是另一个弱点。特别是如果这些机构没有充分评估这些硬件和软件的支持水平或缺乏支持,那么这些硬件和软件可能会被认为是一个有待被网络攻击者利用的漏洞。
这种“技术债务”可以被视为增加的一种安全成本,其中传统设备或者不再受支持,或者即将失去安全更新和漏洞补丁的安全网,并且会影响防御能力。例如,物联网网络安全商Armis公司曾经进入并扫描了一家金融机构的环境,结果却发现该机构所依赖的思科系统反过来又依赖于即将淘汰的技术。不幸的是,即使在高度监管的金融服务领域,这种缺乏可见性以及因此无法正确评估业务安全风险的情况也并不罕见。
可见性是扩展网络安全和提高业务弹性的关键
重要的是,不仅要了解哪些资产构成了“隐藏基础设施”的一部分,而且还要认识到它们在业务中的作用、谁可以访问它们以及它们自己拥有什么访问权限。问题在于,当人们谈论物联网时,传统的IT安全工具、策略和流程不太可能实现“什么、在哪里、谁和如何”的要求。这可能是供应链中的物联网和安全摄像头等,可能由外部承包商管理但仍构成企业业务不断扩大的攻击面一部分的事物。
信息技术和运营技术的融合,以及跨越边界的业务网络和控制系统,都对金融机构的数字化转型非常有利;和其他技术一样,它们也会带来额外的网络风险。因此需要一个资产视图,它可以跟踪每台设备,实时审计和验证企业中的每个环境。通过获得每项资产的统一和多维视图,包括以前看不见或管理不善的资产,可以更好地检测和缓解网络威胁。在降低企业风险时,需要这样的可见性来提供清晰度。
但是,这一解决方案也需要是被动的,以便在提供与现有工具的集成的同时,不可能中断日常操作。将其视为网络资产情报,发现并识别真实风险,以便主动缓解威胁。这是一种不同于常规的思维方式,但也许现在是人们需要以不同的方式思考网络安全、风险和弹性的时候了。