金融等資產(chǎn)管理行業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)

軟件安全是網(wǎng)絡(luò)安全的基礎(chǔ)部分，軟件應(yīng)用程序中的漏洞可能對(duì)企業(yè)造成毀滅性的影響。隨著數(shù)字化時(shí)代的加速發(fā)展，資產(chǎn)管理行業(yè)成為犯罪分子的“頭號(hào)目標(biāo)”。在軟件上線前進(jìn)行安全漏洞檢測(cè)，提高軟件安全可以有效增強(qiáng)網(wǎng)絡(luò)安全性，降低被攻擊風(fēng)險(xiǎn)。

最近一份調(diào)查顯示，出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪分子逐漸關(guān)注資產(chǎn)管理行業(yè)，他們盜取客戶財(cái)務(wù)數(shù)據(jù)來要挾銀行機(jī)構(gòu)。攻擊者似乎知道，這些機(jī)構(gòu)只有較少的安全預(yù)算、安全團(tuán)隊(duì)和員工來保護(hù)他們的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)犯罪分子盯上資產(chǎn)和財(cái)富管理公司 (AWM) 就是一個(gè)明顯例子。

資產(chǎn)和財(cái)富管理公司越來越容易受到攻擊。許多基金經(jīng)理對(duì)Sodinokibi、SolarWinds和NetWalker等勒索軟件變體造成的數(shù)據(jù)丟失再熟悉不過了。假冒威脅也有很多種形式，從工資詐騙和發(fā)票詐騙到魚叉式網(wǎng)絡(luò)釣魚，甚至語音網(wǎng)絡(luò)釣魚。但這些只是威脅不斷擴(kuò)大的幾個(gè)例子。

不斷擴(kuò)大的攻擊面帶來的威脅增加

在全球范圍內(nèi)，混合工作方式的轉(zhuǎn)變要求我們采取積極主動(dòng)的方式來保護(hù)系統(tǒng)、設(shè)備和數(shù)據(jù)免受不可避免的攻擊。快速瀏覽一下世界上最大的數(shù)據(jù)泄露或勒索軟件攻擊事件，應(yīng)該足以敲響警鐘：不是如果，而是何時(shí)某個(gè)資產(chǎn)機(jī)構(gòu)會(huì)成為犯罪分子的攻擊目標(biāo)。

根據(jù)Gartner 2014 年的一項(xiàng)研究，網(wǎng)絡(luò)宕機(jī)每分鐘的成本約為5600美元，每小時(shí)高達(dá)30萬美元。但在這個(gè)數(shù)字時(shí)代，關(guān)閉在線業(yè)務(wù)的成本可能更高。例如，如果一家零售商在商品大促期間遭遇停電，每次事故的損失可能在25萬美元左右。同時(shí)也會(huì)增加負(fù)面評(píng)論的數(shù)量，進(jìn)而導(dǎo)致80%的潛在客戶不再信任此公司。

物聯(lián)網(wǎng)時(shí)代加速攻擊面增長

隨著數(shù)十億新的物聯(lián)網(wǎng)設(shè)備上線，許多企業(yè)在不知不覺中幫助攻擊面不斷增長。

從嬰兒心臟監(jiān)測(cè)器、心臟裝置到吉普車，所有東西都成了網(wǎng)絡(luò)犯罪分子攻擊的目標(biāo)。龐巴迪數(shù)據(jù)泄露事件也及時(shí)提醒我們，軟件應(yīng)用程序中的漏洞可能對(duì)企業(yè)造成毀滅性的影響。

然而，威脅要比企業(yè)資產(chǎn)要大得多。去年，Cyberpion發(fā)布的研究報(bào)告顯示，83%的美國頂級(jí)零售商與易受攻擊的第三方資產(chǎn)相關(guān)聯(lián)，43%的零售商存在直接構(gòu)成安全風(fēng)險(xiǎn)的漏洞。任何沒有最新安全更新的面向internet的服務(wù)都是攻擊者可以輕松利用的漏洞。但如果你不知道它的存在，就無法確保它的安全。

資產(chǎn)管理的風(fēng)險(xiǎn)與挑戰(zhàn)

不可避免的事實(shí)是，金融行業(yè)遭受的網(wǎng)絡(luò)攻擊比任何其他行業(yè)都多。在最近的一份風(fēng)險(xiǎn)報(bào)告中，歐洲銀行管理局 (EBA) 和歐洲監(jiān)管機(jī)構(gòu) (ESA) 透露，網(wǎng)絡(luò)犯罪分子正在開發(fā)新技術(shù)來利用該行業(yè)的漏洞。

資產(chǎn)管理行業(yè)正成為越來越有吸引力的攻擊目標(biāo)，當(dāng)局正向企業(yè)發(fā)出明確警告，以改善其網(wǎng)絡(luò)安全狀況。此外，最近的罰款表明，美國證券交易委員會(huì)(SEC)越來越重視企業(yè)的網(wǎng)絡(luò)安全漏洞。該機(jī)構(gòu)建議企業(yè)成立一個(gè)信息披露委員會(huì)，并應(yīng)要求披露網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、事件和所有業(yè)務(wù)影響。

SEC 還要求提高流程透明度、識(shí)別漏洞、對(duì)公司網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行取證評(píng)估，以及在事件被完全理解之前披露事件的能力。

攻擊的影響

網(wǎng)絡(luò)攻擊的商業(yè)影響可能會(huì)在企業(yè)財(cái)務(wù)和運(yùn)營上造成影響，同時(shí)還有經(jīng)常被忽視的聲譽(yù)損害。匯豐銀行警告稱，平均而言，企業(yè)聲譽(yù)在數(shù)據(jù)泄露后，平均需要兩年左右的時(shí)間才能完全恢復(fù)。

對(duì)于基金經(jīng)理來說，這些影響可能令人難以置信。但隨著國家對(duì)網(wǎng)絡(luò)安全的重視及相關(guān)法規(guī)的施行，在該行業(yè)應(yīng)該可以看到一些積極的變化。此外，資產(chǎn)和財(cái)富管理機(jī)構(gòu)認(rèn)識(shí)到，發(fā)生網(wǎng)絡(luò)安全事件要承擔(dān)的后果過于沉重。

在數(shù)字世界里，針對(duì)私募股權(quán)、風(fēng)險(xiǎn)投資和零售基金經(jīng)理的勒索軟件攻擊不斷增加，未來收購的危險(xiǎn)不容忽視。通過預(yù)防性技術(shù)、策略和程序，可以更輕松地保護(hù)資產(chǎn)免受惡意威脅。及時(shí)發(fā)現(xiàn)企業(yè)軟件安全漏洞和缺陷，在軟件開發(fā)期間利用靜態(tài)代碼分析技術(shù)減少安全漏洞，是構(gòu)建和維護(hù)安全、有彈性的網(wǎng)絡(luò)安全態(tài)勢(shì)所需的眾多步驟中的第一步，也是重要一步。

基金經(jīng)理們現(xiàn)在面臨的挑戰(zhàn)是，他們要面對(duì)這樣一個(gè)事實(shí):在他們工作的環(huán)境中，網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性都在上升。在全球范圍內(nèi)，監(jiān)管機(jī)構(gòu)要求企業(yè)采取必要措施，防范網(wǎng)絡(luò)攻擊帶來的聲譽(yù)和財(cái)務(wù)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)和合規(guī)不再是IT部門的問題，安全問題需要公司從上到下的人員認(rèn)真對(duì)待。

參讀鏈接：

https://cybernews.com/security/the-cyber-security-challenges-for-the-asset-management-sector/