Finansal hizmetler sektörü her zaman teknolojinin benimsenmesinde ön saflarda yer aldı, ancak 2020 salgını mobil bankacılık uygulamalarının, sohbet tabanlı müşteri hizmetlerinin ve diğer dijital araçların yaygınlaşmasını hızlandırdı. Adobe’nin 2022 FIS Trendleri Raporu, örneğin, ankete katılan finansal hizmetler ve sigorta firmalarının yarısından fazlasının 2020’nin ilk yarısında dijital/mobil ziyaretçilerde kayda değer bir artış yaşadığını tespit etti. Aynı rapor, on finans yöneticisinden dördünün dijital ve mobil kanalların hesap satışlarının yarısından fazlası için – sadece önümüzdeki birkaç yıl içinde devam etmesi beklenen bir trend.
Finansal kurumlar dijital ayak izlerini genişlettikçe, müşterilerine daha iyi hizmet vermek için daha fazla fırsata sahip oluyorlar – ancak aynı zamanda güvenlik tehditlerine daha fazla maruz kalıyorlar. Her yeni araç saldırı yüzeyini artırır. Daha fazla sayıda potansiyel güvenlik açığı, potansiyel olarak daha fazla sayıda güvenlik ihlaline yol açabilir.
Cisco CISO Benchmark anketine göre, kuruluşların yüzde 17’si 2020’de 100.000 veya daha fazla günlük güvenlik uyarısı aldı. Pandemi sonrası bu gidişat devam etti. 2021, tüm zamanların en yüksek sayıda ortak güvenlik açığı ve riske maruz kaldı: 20.141, bu da 2020 rekoru olan 18.325’i geride bıraktı.
Anahtar paket, finans endüstrisindeki dijital büyümenin olumsuzluk Durduruluyor; bu nedenle, siber güvenlik ekipleri, saldırı yüzeylerinde doğru, gerçek zamanlı görünürlük elde etmenin yollarına ihtiyaç duyacaklar. Buradan, en çok yararlanılabilen güvenlik açıklarını belirleyin ve yama için bunlara öncelik verin.
Güvenlik Doğrulamasına Yönelik Geleneksel Yaklaşımlar
Geleneksel olarak, finansal kurumlar güvenlik duruşlarını değerlendirmek için birkaç farklı teknik kullanmıştır.
İhlal ve saldırı simülasyonu
İhlal ve saldırı simülasyonu veya BAS, kötü niyetli bir aktörün kullanabileceği potansiyel saldırı yollarını simüle ederek güvenlik açıklarının belirlenmesine yardımcı olur. Bu, dinamik kontrol doğrulamasına izin verir, ancak aracı tabanlıdır ve dağıtılması zordur. Ayrıca simülasyonları önceden tanımlanmış bir oyun kitabıyla sınırlar – bu da kapsamın asla tamamlanmayacağı anlamına gelir.
Manuel sızma testi
Manuel sızma testi, kuruluşların bir bankanın kontrollerinin, örneğin gerçek dünyadaki bir saldırıya nasıl dayandığını görmelerini sağlarken, saldırganın bakış açısının ek girdilerini sağlar. Ancak, bu süreç maliyetli olabilir ve en iyi ihtimalle yılda yalnızca birkaç kez tamamlanır. Bu, gerçek zamanlı içgörü sağlayamayacağı anlamına gelir. Ek olarak, sonuçlar her zaman üçüncü taraf sızma test cihazının becerisine ve kapsamına bağlıdır. Bir insan, bir sızma testi sırasında istismar edilebilir bir güvenlik açığını kaçırırsa, bir saldırgan tarafından kullanılana kadar tespit edilmeden kalabilir.
Güvenlik açığı taramaları
Güvenlik açığı taramaları, bir şirketin ağının otomatik testleridir. Bunlar herhangi bir zamanda planlanabilir ve çalıştırılabilir – istendiği sıklıkta. Ancak, sağlayabilecekleri bağlamda sınırlıdırlar. Çoğu durumda, bir siber güvenlik ekibi, tarama tarafından algılanan her sorun için yalnızca bir CVSS önem derecesi (yok, düşük, orta, yüksek veya kritik) alır. Ekipleri, sorunu araştırma ve çözme yükünü taşıyacak.
Güvenlik açığı taramaları ayrıca uyarı yorgunluğu sorununu da ortaya çıkarır. o kadar çok kişiyle gerçek Karşılaşılması gereken tehditler karşısında, finans sektöründeki güvenlik ekiplerinin, potansiyel olarak en fazla ticari etkiye neden olabilecek istismar edilebilir güvenlik açıklarına odaklanabilmesi gerekir.
Gümüş kaplama
Otomatik Güvenlik Doğrulaması veya ASV, yeni ve doğru bir yaklaşım sağlar. Eksiksiz saldırı yüzeyi yönetimi için güvenlik açığı taramalarını, kontrol doğrulamasını, gerçek istismarı ve risk tabanlı iyileştirme önerilerini birleştirir.
ASV, finansal kurumlara güvenlik duruşları hakkında gerçek zamanlı bilgiler veren sürekli bir kapsam sağlar. Hem dahili hem de harici kapsamı birleştirerek, tüm risk ortamının mümkün olan en eksiksiz resmini sunar. Ve gerçek hayattaki bir saldırganın davranışını modellediği için senaryo tabanlı bir simülasyonun yapabileceğinden çok daha ileri gider.
Finans Sektörü ASV’yi Nasıl Kullanıyor?
Bankaların, kredi birliklerinin ve sigorta şirketlerinin müşterilerinin verilerini korumak için yüksek düzeyde güvenliğe ihtiyaçları olduğunu (neredeyse) söylemeye gerek yok. Ayrıca FINRA ve PCI-DSS gibi belirli uyumluluk standartlarını da karşılamaları gerekir.
Yani: nasıl yapıyorlar? Birçoğu, kendilerine herhangi bir zamanda gerçek güvenlik risklerini gösteren otomatik güvenlik doğrulama araçlarına yatırım yapıyor ve ardından bu bilgileri bir düzeltme için bir yol haritası oluşturmak için kullanıyor. Sander Capital Management gibi finans kuruluşlarının izlediği yol haritası şöyle:
Aşama 1 – Saldırı yüzeylerini bilmek
Web’e yönelik saldırı yüzeylerini haritalamak için Pentera’yı kullanarak etki alanları, IP’leri, ağları, hizmetleri ve web siteleri hakkında tam bir anlayış topluyorlar.
Adım 2 – Saldırı yüzeylerine meydan okumak
Eşlenen varlıklardan en son saldırı teknikleriyle güvenle yararlanarak, hem dahili hem de harici eksiksiz saldırı vektörlerini ortaya çıkarıyorlar. Bu, onlara neyin gerçekten sömürülebilir olduğunu anlamaları için ihtiyaç duydukları bilgiyi verir ve düzeltilmesi gereken kaynaklara değer.
Aşama 3 – Etkiye göre iyileştirme çabalarına öncelik verilmesi
Saldırı yolu öykünmesinden yararlanarak, her bir güvenlik açığının iş üzerindeki etkisini tam olarak belirleyebilir ve doğrulanmış her bir saldırı vektörünün temel nedenine önem verebilirler. Bu, ekiplerine organizasyonlarını korumak için izlemesi çok daha kolay bir yol haritası sağlar.
4. Adım – İyileştirme yol haritalarını yürütmek
Uygun maliyetli bir iyileştirme listesinin ardından bu finansal kuruluşlar, güvenlik ekiplerini boşlukları çözmeleri ve çabalarının genel BT duruşları üzerindeki etkisini ölçmeleri için güçlendiriyor.
gelince senin organizasyon: Bir saldırgan onları size karşı kullanmadan önce çözebilmeniz için en zayıf bağlantılarınızın nerede olduğunu biliyor musunuz?
Kuruluşunuzu en son tehditlere karşı doğrulamaya hazırsanız, ücretsiz bir güvenlik durumu kontrolü isteyin.