官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
当网络攻击袭击大型银行或交易平台时,公众注意力通常集中在受攻击机构本身。但最新研究表明,真正的危险可能来自其他地方。BitSight研究人员发现,许多为金融行业提供技术服务的企业,其网络安全表现反而比它们所服务的金融机构更为薄弱。
在《金融业及其供应链中的网络安全风险暴露》报告中,研究人员分析了超过41,000家金融机构及其与50,000余家第三方技术供应商的合作关系。结果显示,整个金融业数字供应链存在依赖性强、监控不均衡以及风险管理漏洞等问题。
关键供应商网络
研究识别出金融业99家最关键的技术供应商。其中既包括微软、谷歌和彭博等知名企业,也出现了通用动力公司(仍在维护大型机使用的COBOL系统)和提供门禁与楼宇自动化系统的NICE集团等不太引人注目但至关重要的供应商。
这种知名与不知名供应商并存的现象,反映出金融业数字生态系统的复杂性。研究人员将这些企业称为"隐形支柱"——它们支撑着关键系统,却往往在发生数据泄露事件前很少受到关注。
供应商安全缺口
分析比较了金融机构与其供应商在22个风险类别中的网络安全表现。供应商在其中16个类别的表现更差,差距最大达到15%。
虽然供应商在电子邮件和域名安全标准(如DMARC、SPF、DKIM和DNSSEC)方面得分较高,但在漏洞管理和风险暴露相关领域表现不佳。研究人员认为,供应商更广泛的数字足迹可能扩大其攻击面,而其业务性质也使它们面临所提供服务带来的固有风险。
这一发现令人担忧。金融机构受到FDIC(联邦存款保险公司)、美联储、SEC(证券交易委员会)和FINRA(金融业监管局)的严格监管,这些机构都要求持续进行第三方尽职调查。尽管如此,金融业的技术支柱似乎比依赖它们的机构更不安全。
规模不等于安全
研究人员还验证了一个常见假设:拥有更多资源和人员的较大供应商是否在网络安全方面表现更好。数据显示事实恰恰相反。在为金融业服务的供应商中,市场份额较大的企业安全评级往往低于规模较小的同行。
这可能源于其基础设施规模和服务客户数量扩大了攻击者的潜在入口点。但这也表明,仅靠规模并不能确保更强的防御能力。研究人员指出,如果少数大型供应商中的任何一家遭受严重入侵,行业对其的广泛依赖将造成系统性风险。
监控力度不足
持续监控通常被视为第三方风险管理的基石。金融机构在这方面已取得进展,但BitSight的数据显示仍有改进空间。
金融机构平均对其供应链中36.3%的环节进行网络安全风险监控,虽高于其他行业24.6%的平均水平,但仍有近三分之二的供应商处于监控盲区。
报告指出,部分机构可能认为并非所有供应商都需要持续监督,但数据表明,未受监控的供应商带来了重大风险。
未监控供应商风险更高
研究发现,未受监控供应商存在的严重漏洞数量是被监控供应商的近三倍。具体而言,其环境中严重级别CVE漏洞数量多出2.9倍,已知被利用漏洞多出2.8倍。
这一差距表明,主动监控不仅能提高可见性,还可能促使供应商采取更好的安全措施。但研究也发现一个意外现象:被更多机构监控的供应商,其安全表现往往略有下降。研究人员表示这一发现需要进一步研究,但可能反映出监控集中在那些本就面临更大暴露风险的规模较大、业务复杂的公司。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)