随着金融行业面临越来越复杂 的威胁，这些企业遭受网络攻击后的损失也持续增长 。卡巴斯基实验室和B2B International最新的研究[i] 了这些攻击的规模以及对企业造成的影响。研究显示 ，平均每次网络安全事故，会给金融行业企业造成近 100万美元的损失。

　　这一惊人的数据来自2016年金融机构安全风险调查。这项调查的对象为全球的银行和金融机构专业人员，调查内容为金融行业所面临的安全挑战以及遭受网络攻击后的经济损失。对金融机构来说，造成损失最大的安全事故类型是能够利用漏洞入侵销售终端(POS)系统的威胁。一旦遭遇这种威胁，金融机构平均损失2,086,000美元。位列第二的威胁为针对移动设备的攻击，这类威胁造成的平均损失为1,641,000美元。其次则是针对性攻击(1,305,000美元)。

　　推动银行和金融机构增加IT安全投资的主要因素是合规性。但是，研究发现，63%的金融机构认为仅仅满足合规性，还不足以确保安全。另一个增加安全预算的重要原始是基础设施的复杂性不断增加。例如，一家采用虚拟桌面基础设施(VDI)的金融机构通常管理着约10,000台终端用户设备，其中有近一半为智能手机和平板电脑。

　　内部专业技能不足、高层指示以及业务扩张是企业增加安全预算的几大原因。整体来看，增加安全投入对大部分金融企业来说是必然的，有83%的金融企业都将预计增加自己的IT安全预算。

　　卡巴斯基实验室企业业务副总裁Veniamin Levtsov评论说：“考虑到由于遭受网络攻击所造成的巨大损失，金融机构希望增加安全预算并不奇怪。我们认为，对金融机构来说，成功的安全策略主要取决于均衡的分配资源，而不是仅仅将预算花在合规方面，还需要在反针对性攻击方面增加投入，更多地关注个人安全意识以及更好地了解行业相关威胁。”

　　这次研究显示，金融企业通过获取更多威胁情报，进行安全评估来应对安全挑战。其中有73%的企业认为这些措施非常有效。但是，来自金融行业的企业不倾向于使用第三方安全服务。受调查的企业中，只有53%认为这是一种有效的手段。

　　卡巴斯基实验室的专家建议金融机构在2017年考虑采取以下五个安全策略：

　　1.警惕针对性攻击

　　针对金融机构的针对性攻击很可能通过第三方或承包商进行，因为这些公司通常拥有较为薄弱的保护，或者根本没有保护。这些公司可以被用作恶意软件或钓鱼攻击入侵金融机构的切入点。

　　2.不要低估复杂程度不高的威胁的危害

　　网络罪犯可以利用简单的工具，实施大规模攻击并从中获利。在所有网络欺诈事件中，通过社交工程技巧成功实施的占75%，只有15%是通过恶意软件攻击实施的。

　　3.不要只重视合规性，忽略安全

　　企业通常将预算用于合规性，但是，增强安全并且引入最新的保护技术同样重要。企业需要更为平衡地分配资源。

　　4.定期进行渗透测试

　　看不见的漏洞是真实存在的。利用复杂的检测工具和渗透测试，可以发现这些漏洞。确保及时发现这些薄弱之处和隐藏的威胁，以免为时已晚。

　　5.注意内部人员造成的威胁

　　网络罪犯可以利用员工进行攻击。有效的安全策略不仅要能够在企业安全便捷内实施保护，而应该包含能够检测和拦截企业内部可以行为的技术。

责任编辑：韩希宇