隨著亞太地區(qū)及日本的金融服務(wù)企業(yè)開(kāi)拓更多渠道并提供更好的客戶體驗(yàn),它們使用的第三方腳本越來(lái)越多,實(shí)際上其占比已達(dá)到了所用腳本總數(shù)的 40%。這些數(shù)據(jù)點(diǎn)表明,隨著各個(gè)企業(yè)(尤其是銀行和以消費(fèi)者為中心的機(jī)構(gòu))不斷擴(kuò)展其數(shù)字足跡以覆蓋更多客戶并獲得競(jìng)爭(zhēng)優(yōu)勢(shì),它們也面臨著嚴(yán)重風(fēng)險(xiǎn)。
Akamai 亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān) Reuben Koh 表示:“亞太地區(qū)及日本的金融服務(wù)業(yè)是全球最具創(chuàng)新力和競(jìng)爭(zhēng)力的行業(yè)之一。金融機(jī)構(gòu)越來(lái)越多地轉(zhuǎn)為使用第三方腳本,以便快速為客戶增加新產(chǎn)品、功能及交互式體驗(yàn)。但是,通常企業(yè)的監(jiān)測(cè)能力有限,無(wú)法識(shí)別這些腳本的真實(shí)性以及是否存在潛在漏洞,因此會(huì)為企業(yè)帶來(lái)另一層風(fēng)險(xiǎn)。由于企業(yè)對(duì)存在風(fēng)險(xiǎn)的第三方腳本的監(jiān)測(cè)能力有限,攻擊者現(xiàn)在可以利用另一種媒介發(fā)動(dòng)對(duì)銀行及其客戶的攻擊。”
Akamai 的報(bào)告還發(fā)現(xiàn),2022 年以來(lái)亞太地區(qū)及日本的惡意爬蟲(chóng)程序流量增長(zhǎng)了 128%,這凸顯出針對(duì)金融服務(wù)業(yè)客戶及其數(shù)據(jù)的攻擊持續(xù)不斷。網(wǎng)絡(luò)犯罪分子使用爬蟲(chóng)程序提升攻擊的規(guī)模、效率和有效性。在全球范圍內(nèi),亞太地區(qū)及日本是針對(duì)金融服務(wù)業(yè)的惡意爬蟲(chóng)程序請(qǐng)求的第二大攻擊目標(biāo)區(qū)域,占全球所有惡意爬蟲(chóng)程序請(qǐng)求數(shù)量的 39.7%。應(yīng)用場(chǎng)景包括抓取網(wǎng)站內(nèi)容以冒充 金融服務(wù)業(yè)品牌的網(wǎng)站來(lái)實(shí)施網(wǎng)絡(luò)釣魚(yú)騙局,以及通過(guò)自動(dòng)注入所竊取的用戶名和密碼來(lái)實(shí)施撞庫(kù)攻擊,從而實(shí)現(xiàn)帳戶接管。這表明攻擊者在不斷地發(fā)展其技術(shù),并且開(kāi)始專注于攻擊金融服務(wù)業(yè)消費(fèi)者,以獲得最大的投資回報(bào)。
報(bào)告的其他重要發(fā)現(xiàn)包括:
● Web 應(yīng)用程序和 API 依然是攻擊者在亞太地區(qū)及日本的首選攻擊媒介,金融行業(yè)遭受的攻擊在此類攻擊中占 50%,緊隨其后的是商業(yè) (19.99%) 和社交媒體 (8.3%)。
●澳大利亞、新加坡和日本是 APJ 地區(qū)遭受攻擊最多的三個(gè)國(guó)家,所受攻擊總和在所有 Web 應(yīng)用程序和 API 攻擊中的占比超過(guò)四分之三。作為全球金融中心,這些國(guó)家的企業(yè)持續(xù)受到大規(guī)模定向攻擊不足為奇。
●本地文件包含 (LFI) 依舊是最主要的攻擊媒介,在所有攻擊中占比為 63.2%,而跨站點(diǎn)腳本攻擊 (XSS) 和 PHP 注入 (PHPi) 分列二三,其占比分別為 21.3% 和 6.32%。在 LFI 攻擊中,攻擊者會(huì)利用 Web 服務(wù)器上不安全的編碼實(shí)踐或?qū)嶋H漏洞來(lái)遠(yuǎn)程執(zhí)行代碼或者訪問(wèn)本地存儲(chǔ)的敏感信息。例如,基于 PHP 的陳舊 Web 服務(wù)器更容易遭受 LFI 攻擊,因?yàn)榇嬖跁?huì)繞過(guò)其輸入篩選器的已有方法。
●亞太地區(qū)及日本的金融服務(wù)業(yè)中的企業(yè)必須繼續(xù)留意額外的監(jiān)管監(jiān)督和新的報(bào)告義務(wù)。例如,對(duì)第三方腳本的使用不斷增加,可能會(huì)讓金融機(jī)構(gòu)難以符合即將實(shí)施的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) v4.0 的要求,該版本中將納入與客戶端腳本監(jiān)測(cè)能力及管理相關(guān)的具體內(nèi)容。監(jiān)管機(jī)構(gòu)可能會(huì)越來(lái)越加強(qiáng)實(shí)施新的法規(guī)的力度,因此各個(gè)企業(yè)必須確保考慮到這些新的合規(guī)性要求,否則可能會(huì)面臨罰款或聲譽(yù)受損。
Koh 表示:“亞太地區(qū)及日本的金融服務(wù)企業(yè)必須牢記的是,隨著該行業(yè)的創(chuàng)新步伐加快,網(wǎng)絡(luò)犯罪分子隨時(shí)都在嘗試尋找更復(fù)雜的新方式來(lái)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。金融服務(wù)聚合商以及那些渴望采用開(kāi)放銀行實(shí)踐的企業(yè)的數(shù)量不斷增加,這意味著該行業(yè)未來(lái)的發(fā)展會(huì)更加依賴使用 API 和第三方腳本,而這會(huì)導(dǎo)致攻擊面的進(jìn)一步擴(kuò)大。”
他總結(jié)道:“金融機(jī)構(gòu)必須專注于保護(hù)新的數(shù)字產(chǎn)品,不斷向客戶普及有關(guān)網(wǎng)絡(luò)安全最佳實(shí)踐的相關(guān)知識(shí),并投資于面向用戶的流暢安全措施。隨著監(jiān)管機(jī)構(gòu)實(shí)施各種政策來(lái)強(qiáng)化網(wǎng)絡(luò)安全標(biāo)準(zhǔn),金融服務(wù)企業(yè)還必須了解并考慮新的合規(guī)性要求,同時(shí)增強(qiáng)其抵御現(xiàn)代網(wǎng)絡(luò)威脅的安全態(tài)勢(shì)和網(wǎng)絡(luò)韌性。”
