Theo Verizon's Báo cáo điều tra vi phạm dữ liệu, lĩnh vực tài chính luôn nằm trong số các ngành được nhắm mục tiêu nhiều nhất và tỷ lệ các cuộc tấn công ngày càng gia tăng. Các ngân hàng chứng kiến ​​số vụ tấn công tăng 238% chỉ trong năm 2022. Theo IBM, vụ vi phạm dữ liệu trung bình trong lĩnh vực tài chính gây thiệt hại 5.9 triệu USD, chỉ kém lĩnh vực chăm sóc sức khỏe về chi phí trung bình. Chi phí của Báo cáo vi phạm dữ liệu năm 2023.

Trong khi ngành đã có những bước tiến đáng kể về an ninh mạng, có vô số yếu tố vẫn khiến các ngân hàng và tổ chức tài chính trở thành mục tiêu hấp dẫn.

Những thách thức của việc bảo vệ dữ liệu tài chính

Một số vấn đề góp phần gây ra những khó khăn mà các tổ chức tài chính gặp phải trong việc bảo vệ tài sản của mình. Một trong những vấn đề quan trọng nhất là sự phức tạp của môi trường kinh doanh, đặc biệt đối với các tổ chức lớn hơn đã trải qua các hoạt động mua bán và sáp nhập. Việc kết nối các mạng và ứng dụng cũ có thể dẫn đến cấu hình sai, tạo ra các lỗ hổng khiến tin tặc dễ dàng xâm nhập.

Các tổ chức tài chính, giống như nhiều doanh nghiệp, cũng có lực lượng lao động được phân bổ nhiều hơn sau đại dịch. Kết quả là, họ phải tích hợp các ứng dụng lớn hơn của điện toán đám mây và di động, điều này làm tăng bề mặt tấn công. Và, mặc dù đã triển khai các ứng dụng hiện đại, hướng ngoại, không có gì lạ khi các ngân hàng có các ứng dụng 50 năm tuổi - được viết bằng COBOL - chạy ở mặt sau đã quá thời hạn được hỗ trợ từ lâu. Các ứng dụng này có thể trở nên rủi ro từ góc độ bảo mật nhưng thường không có ý nghĩa về mặt tài chính hoặc hoạt động để cập nhật.

Bất chấp tất cả những rủi ro này, hầu hết các cuộc tấn công đều xoay quanh yếu tố con người dưới dạng danh tính trên mạng.

Active Directory và tầm quan trọng của danh tính

Danh tính người dùng đóng vai trò quan trọng trong nhiều cuộc tấn công mạng, cho dù vi phạm là do hành động nội bộ, tấn công bên ngoài hay sự tham gia của đối tác bên thứ ba.

Khi nói đến các mối đe dọa danh tính, một kẻ nội gián độc hại có thể gây ra thiệt hại lớn. Ví dụ đáng chú ý nhất là vụ hack Capital One 2019. Gần bốn năm sau, vụ hack đặc biệt này vẫn được công nhận rộng rãi là một trong những mối đe dọa nội bộ lớn nhất cho đến nay. Một người trong cuộc chịu trách nhiệm về việc đánh cắp 100 triệu hồ sơ khách hàng, 140,000 số An sinh xã hội và 80,000 chi tiết ngân hàng của khách hàng. Và việc xâm phạm thông tin xác thực từ bên ngoài tổ chức thực sự chỉ là một loại mối đe dọa nội bộ khác. Khi những kẻ tấn công bên ngoài giành được quyền truy cập bằng cách đánh cắp thông tin xác thực, chúng sẽ hoạt động như một người trong cuộc đáng tin cậy.

Rủi ro của bên thứ ba cũng có thể gây ra thiệt hại nghiêm trọng. Hầu hết các tổ chức tài chính đều có hàng chục đến hàng trăm nhà cung cấp, nhà cung cấp dịch vụ và các đối tác khác kết nối với mạng của họ. Đối với những tin tặc hiểu biết, việc vi phạm hệ thống của bên thứ ba có thể tạo ra điểm xuất phát hoàn hảo để xâm nhập vào môi trường tài chính.

Điểm giống nhau giữa các cuộc tấn công này là gì? Con đường phổ biến nhất dẫn đến những vi phạm này là Active Directory (AD), dịch vụ nhận dạng cốt lõi của 90% tổ chức tài chính và doanh nghiệp trên toàn thế giới.

Khi ai đó hỏi Willie Sutton tại sao lại cướp ngân hàng, anh ấy đã trả lời, “Bởi vì đó là nơi có tiền.” Vậy tại sao tội phạm mạng lại tấn công Active Directory? Bởi vì đó là nơi có quyền truy cập đặc quyền. AD gắn bó chặt chẽ với hầu hết các tổ chức đến mức nó tham gia vào 9 trên 10 cuộc tấn công mạng. Microsoft ước tính các tác nhân đe dọa tấn công 95 triệu tài khoản AD mỗi ngày và đó là con số thận trọng.

Cho dù kẻ tấn công có được quyền truy cập thông qua lừa đảo hay các phương tiện khác, việc di chuyển đến khu vực có nhiều danh tính như Active Directory có thể cho phép chúng nâng cao đặc quyền, di chuyển qua các mạng và đánh cắp dữ liệu hoặc khởi động các cuộc tấn công ransomware. Những kiểu tấn công này có thể khiến các ngân hàng và các hoạt động dịch vụ tài chính khác bị đình trệ, ngăn chặn việc truy cập vào quỹ, rò rỉ dữ liệu khách hàng và gây thiệt hại cho thương hiệu.

Chuẩn bị cho vi phạm và các biện pháp thực hành tốt nhất khác

Để bảo vệ dữ liệu của mình tốt hơn, các ngân hàng và tổ chức tài chính nên bắt đầu bằng việc ưu tiên rủi ro. Họ cần chấp nhận rằng các hành vi vi phạm sẽ xảy ra, vì vậy họ phải xác định những tài sản có mức độ ưu tiên cao nhất của mình — những tài sản sẽ gây ra nhiều thiệt hại nhất nếu bị xâm phạm — và các lỗ hổng của những tài sản đó.

Việc chuẩn bị cho vi phạm bắt đầu bằng việc đánh giá tính bảo mật của AD, cùng với việc đánh giá kiến ​​trúc bảo mật, quy trình vận hành và cấu hình bảo mật của tổ chức. Điều này cho phép các nhóm bảo mật xác định các đường tấn công và phát triển các kế hoạch ứng phó và khắc phục. Với những đánh giá kỹ lưỡng về môi trường, các tổ chức có thể phát triển các kế hoạch giảm thiểu mối đe dọa nhằm giảm bề mặt tấn công, tối ưu hóa cấu hình bảo mật và tạo một kế hoạch chu đáo để phục hồi sau một cuộc tấn công giúp giảm thời gian ngừng hoạt động và gián đoạn.

Việc liên tục theo dõi danh tính người dùng cũng rất quan trọng. Nếu một nhân viên cấp thấp hơn đột nhiên có đặc quyền nâng cao, đang truy cập dữ liệu nhạy cảm mà lẽ ra họ không nên xem xét hoặc đang hoạt động vào giờ lẻ và không thực hiện các nhiệm vụ kinh doanh thông thường, thì có khả năng danh tính của họ bị xâm phạm.

Cuối cùng, việc lập kế hoạch cần có yếu tố con người, dưới hình thức tuyển dụng, giữ chân nhân viên an ninh và đào tạo người dùng. Các ngân hàng và tổ chức tài chính phải thu hút và giữ chân những người hành nghề bảo mật có kiến ​​thức, điều này sẽ dễ dàng hơn cho các tổ chức lớn. Nhưng trong các tổ chức thuộc mọi quy mô, bảo mật chỉ là một phần nhỏ trong hoạt động kinh doanh. Các tổ chức tài chính vẫn có rất nhiều người có kiến ​​thức hạn chế về bảo mật đang truy cập hệ thống và xử lý dữ liệu nhạy cảm. Vì vậy, việc đào tạo nhân viên và nâng cao nhận thức về an ninh là điều cần thiết, đặc biệt khi số lượng nhân viên làm việc từ xa ngày càng tăng.

Tương lai của an ninh khu vực tài chính

Với tốc độ và mức độ phức tạp của các cuộc tấn công ngày càng gia tăng, các tổ chức cần có khả năng hiển thị trong môi trường của mình, kiểm soát danh tính người dùng và phát triển các kế hoạch rõ ràng để chuẩn bị, ứng phó và phục hồi vi phạm.

Trong tương lai, các tổ chức tài chính cũng sẽ phải đối mặt với những rủi ro liên quan đến các mối đe dọa và thách thức mới với tiền điện tử. Giống như tất cả các hình thức bảo mật, điều quan trọng là phải nắm vững các nguyên tắc cơ bản để đạt được khả năng hiển thị và kiểm soát doanh nghiệp.