天际友盟：2024金融行业网络威胁风险报告（17页）.pdf

1、1您身边的数字风险防护专家 天际友盟22024 金融行业网络威胁风险报告 REPORT目录TABLE OF CONTENT01 背景 302 金融行业面对的网络威胁风险 4 2.1 传统金融业务风险 4 2.2 数据安全风险 4 2.3 互联网侧攻击风险 6 2.3.1 APT 攻击风险 6 2.3.2 恶意软件攻击风险 9 2.3.3 供应链攻击风险 11 2.3.4 区块链攻击风险 11 2.3.5 分布式拒绝服务（DDoS）攻击风险 1103 我们能做什么？13 3.1 数字风险防护 13 3.2 网络攻击侧防护 1304 发展趋势预测 1505 总结 163您身边的数字风险防护专家 天

2、际友盟背景01PART近年来，金融行业的数字化转型进行的如火如荼，并且随着大数据、区块链等技术的发展和普及，金融行业也在加速其信息化进程。由于数字技术与金融行业融合加速，线上业务领域持续扩大，直接导致金融网络数字安全风险加大，防护难度进一步提升。同时，随着科技的进步，来自互联网的网络攻击持续升级，全球金融行业面临着越来越多的网络威胁和挑战。根据天际友盟 2024 年数字风险监测结果，金融行业在所有数字风险行业中排名第三，如图 1 所示。而金融行业又细分为银行、证券、基金、保险等多个子行业，其数字风险分布如图 2 所示。120,000100,00080,00060,00040,00020,000

3、025,00020,00015,00010,00050000服务业银行餐饮住宿证券金融基金零售保险互联网金融服务娱乐活动资产管理高等院校借贷汽车制造支付电商咨询电子设备加密货币信托期货投资租赁10409921413965651701958558655115948530614447161512048976268295093922998911377793131176774758110图 1 2024 数字风险行业 TOP10图 2 2024 金融子行业数字风险分布金融行业在国民经济中占据着重要地位，其面临的威胁风险应该受到高度重视。本文将介绍在当今数字风险环境中金融行业面临的各类风险威胁，结合典型

4、事件及其特点分析，给出相应的建议和应对方案。01 背景 302 金融行业面对的网络威胁风险 4 2.1 传统金融业务风险 4 2.2 数据安全风险 4 2.3 互联网侧攻击风险 6 2.3.1 APT 攻击风险 6 2.3.2 恶意软件攻击风险 9 2.3.3 供应链攻击风险 11 2.3.4 区块链攻击风险 11 2.3.5 分布式拒绝服务（DDoS）攻击风险 1103 我们能做什么？13 3.1 数字风险防护 13 3.2 网络攻击侧防护 1304 发展趋势预测 1505 总结 1642024 金融行业网络威胁风险报告 REPORT金融行业面对的网络威胁风险PART022.1 传统金融业务

5、风险2.2 数据安全风险网络钓鱼和欺诈一直是传统金融业务面临的主要风险之一。据统计，近年来针对金融行业的钓鱼攻击在所有此类活动中占比持续超过 50%，这些攻击的主要目的是窃取帐户凭据，以获取直接的经济利益。针对金融行业的网络钓鱼攻击类型多样：在用户侧，仿冒银行、券商、保险等行业的钓鱼网站层出不穷；在金融机构侧，各类 BEC（商务电子邮件）攻击则通过诱使专业人士进行相关诈骗操作来实现，此类邮件中往往包含可能用于传播各类恶意软件的附件，从而进一步扩大攻击范围。总体来说，网络钓鱼和欺诈等方式是相对直接的攻击手段，并且由于其攻击难度低，覆盖范围广，且能迅速获取收益，因此广受各类攻击团伙和组织的青睐，通

6、常被视为初始目标入侵的首要方式。数据泄露是目前金融行业暴露的最为严重的问题之一，金融行业的数据泄露事件数量大幅领先于其它所有行业。美国财政部金融犯罪执法网络曾发布一份报告称，由于网络犯罪活动猖獗，每个月大约有 10 亿美元从金融机构被盗。金融行业除了自身资产信息的安全存在威胁，用户数据的安全也面临严峻挑战，一旦用户凭据遭到泄露或窃取，无论对银行还是个人，都将带来严重的财产损失。近几年，已披露多起针对金融机构的重大数据泄露事件，凸显了这一问题的严重性。国内早期有黑客利用木马病毒非法控制逾 2000 台计算机，入侵 40 多家国内金融机构的内网交易数据库，非法获取交易指令和多条内幕信息。2022