2023年10月9日

保护您的金融和保险数据:2023年要注意的3种常见网络攻击方法

网络安全, 金融bet9平台游戏
by 丹尼尔Hooven

2023年金融保险行业最常见的网络攻击模式是什么?

支持… 网络安全 Awareness Month在美国，我们正在审查各行业报告的事故. 本文的重点将放在金融和保险部门.

尽管影响金融和保险行业的标准和法规过多, 威胁行为者继续以惊人的速度瞄准这一群体. 事实上, 2016年至2020年，金融和保险连续四年被评为受攻击最严重的行业 IBM X-Force Threat Intelligence Index.

那么，尽管监管和合规义务确保了最低限度的控制障碍，使其更难以妥协，为什么威胁行为者仍在继续攻击这一领域呢? 答案很简单:敏感数据的纯粹量.

事实上， Verizon 2023数据泄露调查报告 (Verizon DBIR)发现，97%的举报事件是出于经济动机, 74%的人追求个人数据——在网络安全领域，动机和目标是相辅相成的.

虽然有些人可能认为这个行业有这么多的法规和标准，有额外的保护, 由于该部门经常被成功攻击，因此存在额外的保护层.

So, 2023年金融和保险行业最常见的网络安全攻击方法是什么?

According to the 2023 Verizon DBIR, 在金融和保险行业报告的所有事件中，77%是基本的web应用程序攻击, 各种错误和系统入侵.

基本的Web应用程序攻击和金融 & 保险行业

基本的web应用程序攻击就像他们听起来的那样:需要低复杂度的攻击方法，包括暴力攻击. 暴力攻击仅仅是威胁参与者通过猜测用户名和密码来自动获得未经授权的访问. 公司可以通过限制单个IP地址的登录尝试次数或在登录失败次数过多后自动锁定帐户来降低风险. 另外, 增加密码的强度和复杂性可以降低威胁参与者成功实施暴力破解或其他密码破解技术的可能性.

也, 公司应该及时了解他们的数据何时属于以前的违规行为，并更改安全信息——因为许多威胁行为者可能只是从以前的违规行为中获取安全凭证，并将其应用于新的违规行为.

Miscellaneous Errors and the 金融 & 保险行业

当受保护的数据被发送给错误的人时，其他错误是另一种具有重大后果的简单威胁.

想想受保护数据的纯粹数量，比如客户和受益人的社会安全号码, 金融账户信息和公司数据每天都在这个领域交换——无论是电子的还是实体的——以及如果这些信息落入坏人之手会发生什么.

各种错误的威胁不仅仅是数据被盗和账户泄露. 拥有正确信息的威胁参与者可以使用社会工程来冒充客户和公司来推进攻击.

在这种情况下，安全负担也落在了最终用户身上. 如果你是黑客的一部分，一定要更新你的物理邮件信息，并更改你的密码, 不同的账户使用不同的密码. 不要让一个被攻破的密码成为你所有个人和私人信息的万能钥匙.

System Intrusion and the 金融 & 保险行业

系统入侵是前三种攻击方法中更复杂的一种，并且更有条理，因为这些攻击利用恶意软件和黑客来获得访问权限, which can include ransomware. 与2022年相比，由于各种错误增加，这种攻击方法从27%下降到14%, 但它仍然是金融和保险领域流行的攻击方法.

所有行业的组织都可以通过在其网络安全策略中采用更全面的入侵防御和检测功能来主动防御系统入侵攻击, 例如系统信息和事件监视(SIEM), 安全编排自动化和响应(SOAR)和管理检测和响应(MDR)强调自动化控制，可扩展以提高防止攻击的有效性.

本文是强调行业最常见网络安全事件的系列文章的一部分，基于2023年Verizon DBIR的数据. Additional articles include:

值得注意的是，引用的数据来自于选择披露事件和数据泄露的组织.

About 网络安全 Awareness Month

自2004年以来, 美国和国会已将10月定为网络安全宣传月，以提高公众和私营部门以及部落社区对网络安全重要性的认识. The year marks the 20^th 网络安全意识月一周年纪念日和今年的活动，保护我们的世界，重点介绍了保护自己、家人和企业免受网络威胁的四种方法.

相关的再保险来源

About Schneider Downs 网络安全

施耐德唐斯网络安全实践由提供全面信息技术安全bet9平台游戏的专家组成, including penetration testing, intrusion prevention/detection review, ransomware安全, 脆弱性评估和一个健壮的数字取证和事件响应团队. 此外，我们的 Digital 法医s and Incident Response 如果您怀疑或正在经历任何类型的网络事件，团队可以拨打1-800-993-8937,24x7x365.

To learn more, visit our dedicated 网络安全 page or contact the team at (电子邮件保护).

Want to be in the know? Subscribe to our bi-weekly newsletter, Focus on 网络安全.

你们已经听到了我们的想法，我们也想听听你们的想法

Schneider down 我们对博客的存在是为了就对组织和个人重要的问题进行对话. 虽然我们喜欢分享我们的想法和见解, 我们对你要说的特别感兴趣. 如果你对这篇文章有任何问题或评论，或者我们博客上的任何文章，我们希望你能和我们分享. 毕竟，对话是一种思想的交流，我们希望听到你的声音. 电邮至 (电子邮件保护).

所讨论的材料仅供参考, 而且这不能被理解为投资, 税, 或法律建议. 请注意，个别情况可能有所不同. 因此, 当与个人专业意见相协调时，应依赖此信息.

我们对

网络安全, IT风险咨询, Risk Advisory/Internal Audit BY 内森Shepler 4.19.2024

8审查用户访问时的关键考虑事项

加强风险管理及保障消费者权益

控制金融行业的电汇欺诈

网络安全, IT风险咨询 BY 玛德琳Adamczyk 4.3.2024

阿勒格尼县结婚证数据泄露可能影响最近的新婚夫妇

网络安全, 卫生保健 BY 丹尼尔Hooven 3.11.2024

每日10亿美元:医疗保健网络攻击带来的金融余震