互联网现状研究报告｜针对金融服务领域的攻击分析

当你在注视股市K线图时，数字空间的暗世界中也有N双眼睛在搜寻、凝视着金融服务的安全漏洞。近期，Akamai针对金融服务领域风险漏洞日益变化的局势，发布了全新的互联网现状研究报告——《兵临城下：针对金融服务领域的攻击分析》。

本篇报告深入全球金融业信息安全威胁关键场景，全面分析新披露的漏洞风险、攻击目标以及DDoS攻击、网络钓鱼、恶意软件等主流黑客攻击形式的演进趋势。

核心数据与关键洞察

·Web应用程序和API攻击、零日漏洞攻击及DDoS攻击，在金融服务业攻击中位列前三

·金融服务业受到的Web应用程序和API攻击以3.5倍速率逐年激增，明显高于其他行业

·超80%金融服务业攻击目标为客户帐户而非机构本身，或直接盗取帐户，或发起钓鱼攻击

·利用新型零日漏洞针对金融服务业发起的攻击，24小时内可能高达数千次/小时，殊难应对

·攻击者正转向远程代码执行（RCE）尝试，本地文件包含（LFI）和跨站点脚本（XSS）攻击大幅增加

·网络钓鱼活动所采用的技术，可绕过使用一次性密码令牌或推送通知的双重身份验证机制

破财，不能免灾

金融服务业的运营增长，得益于对大数据的价值挖掘，但庞大、敏感的用户信息也一直牵引着不法分子的敛财神经。相关数据显示，被视为“关键基础架构”的金融服务业的数据泄露成本平均高达597万美元。

概览：金融服务业威胁格局

通过分析全球规模的大量攻击活动数据，Akamai发现Web应用程序和API攻击、DDoS、网络钓鱼、零日漏洞攻击和僵尸网络等形式，共同构成了金融服务业的网络攻击类别。尤其是前三种攻击，在整体威胁格局中占据主流，复杂度高、破坏力强。

Web应用程序和API攻击

实现银行与第三方的数据连接，是金融服务业的转型关键所在。助力银行向第三方保持开放，便需要在多维度应用Web应用程序和API来完善数字化生态系统。此类达成数据互通的“桥梁”，自然也成为了黑客攻击的聚集之地。

金融服务业遭受的攻击数量与日俱增

在今年，针对金融服务业的应用程序和API攻击增加了3.5倍，全行业年同比增幅中占据首位。回顾过去一年攻击活动的峰值情况，可见攻击策划者有着明确的目标或侧重。而在媒介选取上，攻击者往往还会利用LFI和XSS曲线布局，在目标网络中获得立足点，步步为营进而入侵数据库。建议您采用Akamai App&API Protector全域安全防护产品，提升网站、应用程序和API的整体安全性。

聚焦金融的DDoS攻击

在全球“网络战争”中，DDoS是黑客广泛利用、持续升级的攻击形式。近期，REvil、Killnet、DDoS Empire等攻击组织，已明确将金融服务业列为攻击目标。如Killnet此前曾针对美国机场发起多次DDoS攻击。

过往12个月中，Akamai分析发现金融服务业的DDoS攻击目标数量上涨了22%。环顾全球DDoS攻击分布，近两年内也有变化，欧洲、中东和非洲地区针对金融服务业的DDoS攻击在攻击总量占比，已由2021年的37.61%，上升至2022年的73.30%。

DDoS攻击占比更高区域（2021 vs 2022至今）

从破坏力来看，当金融服务业遭受DDoS袭击后，IT系统与数字化服务都可能离线宕机，对业务运营造成显著影响。Gartner数据显示，IT停机的每小时平均成本约为0.5-1.4万美元不等。为支持企业免受不可逆损失，建议您使用Akamai DDoS防护解决方案，利用多层防御机制，增强抵御复杂DDoS威胁的韧性。

形势严峻的网络钓鱼攻击

滚滚金融红利，恰是大多数网络钓鱼诈骗分子的作案动机，而网络钓鱼工具包的存在，更是助长了诈骗效率，每分钟因钓鱼攻击而产生的经济损失高达17700美元。去年上半年高频应用的工具包Kr3pto，便具备绕过双重身份验证的超级渗透力。

工具包相关域的数量

在本份报告中，Akamai安全研究团队指出，既然基于令牌的双重身份验证防御已经无法做到万无一失，那么企业就更需采取更出众的多因素保护机制。支持FIDO2安全标准的Akamai MFA网络钓鱼防范解决方案，采用无密码机制，要求用户在访问网站或开展在线交易时通过本地身份验证，可从去除凭据的源头，让网络钓鱼无从下手，丧失攻击威胁。

总览金融服务业安全格局，关乎大量敏感数据与高价值资产。当新漏洞出现时，金融服务业总是更容易受到攻击的行业之一。Web应用程序和API攻击、DDoS攻击、网络钓鱼攻击形式之外，零日攻击、勒索软件攻击也需要高度警惕，建议金融机构应用Akamai Guardicore Segmentation解决方案对IT资产进行微分段防护，即便面对透过漏洞的入侵蔓延，也能实现后发制敌，全方位保障金融资产安全。

相关推荐: shopify主题模版如何制作

备注：Shopify 目前不接受新的模板提交。 模版是控制商店布局和外观的文件集合。Shopify 模版使用 HTML、CSS、JavaScript 和一种强大的模板语言（称为Liquid）开发而成。 若要在 Shopify 模板商店中销售模板，您需要成为模板…