Die VK se finansiëledienstesektor presteer ver bo sy gewig. Londen is 'n nabye tweede na New York as die wêreld se voorste finansiële spilpunt en die land is die wêreld se grootste netto uitvoerder van finansiële dienste. Maar hierdie sukses maak dit 'n groot teiken vir kubermisdadigers en nasiestaat-akteurs. En ten spyte daarvan dat dit een van die mees gereguleerde sektore is, is kuberveerkragtigheid nie waar dit behoort te wees nie.

Die voortgesette koste vir die ekonomie van kuber-aanvalle op die sektor, en die spook van 'n sistemiese voorval, is hoekom die Bank van Engeland (BoE) steeds 'n pen-toetsraamwerk bekend as CBEST bedryf. Ongelukkig, sy jongste verslag beklemtoon dat daar nog 'n lang pad voor die bedryf is.

Wat die verslag bevind het

Die punt van CBEST is om die soort aanvalle te simuleer wat banke en ander finansiële sektormaatskappye in die natuur sou ervaar – aan die hande van gesofistikeerde kriminele groepe, staatsakteurs en kwaadwillige insiders. Hierdie pogings is gefokus op die kompromie van derdeparty-verskaffers, sosiale manipulasie en insider-aktiwiteit, want dit is die areas wat die bedryf die moeilikste vind om aan te pak. Nul-dag-uitbuitings, pasgemaakte wanware, KI-gedrewe outomatisering en presiese teikenstelling word alles in hierdie rooi span-assesserings gebruik – in aanvalle wat einddoelwitte soos kuber-spioenasie, finansiële gewin en sabotasie simuleer.

So, wat het die BoE bevind?

  • Onkonsekwent gekonfigureerde en onvoldoende verharde/gepatchte stelsels
  • 'n Gebrek aan enkripsie vir data in rus, insluitend bevoorregte geloofsbriewe
  • Swak identiteits- en toegangsbestuurskontroles (insluitend swak wagwoorde en/of onveilige wagwoordberging)
  • Oormatig permissiewe toegangsbeheer
  • Sub-par opsporing en reaksie (bv. "swak ingestelde" EDR)
  • Oneffektiewe verkeersmonitering/inspeksie (wat aanvallers in staat stel om in wettige verkeer weg te kruip)
  • Oneffektiewe netwerksegmentering (bv. tussen ontwikkelings- en produksieomgewings) wat die potensiële impak van aanvalle versterk
  • Personeel vatbaar vir direkte en indirekte sosiale manipulasie
  • Personeel stoor gereeld geloofsbriewe in onbeskermde omgewings (bv. oop lêerdelings)
  • Onveilige hulptoonbankprotokolle wat hackers in staat stel om sosiale manipulasiepogings te versterk

Die verslag het ook opgemerk dat organisasies se bedreigingsintelligensie ontbreek het in "strategiese beplanning, die definiëring van vereistes, die vestiging van bestuursraamwerke en die kartering van langtermynvermoëns." Dit het gelei tot 'n ontkoppeling tussen die intelligensie wat finansiëledienstefirmas insamel en hul werklike sake-/bedryfsbehoeftes. Dit beteken uitdagings in die opskaal en/of ontwikkeling van hierdie programme, het die BoE beweer.

Hoekom dit aangaan

Die taktieke, tegnieke en prosedures (TTP's) wat deur CBEST se pentoetsers ontplooi word, is met 'n rede gekies. Hulle weerspieël die soort bedreigings waarmee finansiële instellings daagliks of weekliks te kampe het. In 'n afdeling in die verslag het die Nasionale Kuberveiligheidsentrum (NCSC) gewaarsku dat die Scattered Spider-kollektief bekend is vir sosiale manipulasie van IT-hulptoonbankpersoneel om byvoorbeeld wagwoorde en MFA-tokens terug te stel. Daar word geglo dat hulle dit gedoen het gedurende die M&S en Co-Op groep ransomware-aanvalle.

Afsonderlik het dit die Chinese APT-groep Volt Typhoon aangehaal, wat groot dele van die VSA in gevaar gestel het. kritieke nasionale infrastruktuur netwerke met geheime aanvalle. Beter netwerkmonitering en -segmentering sou gehelp het om lig op hierdie pogings te werp en die ontploffingsradius van aanvalle te beperk, het die NCSC beweer.

Finansiëledienstefirmas moet CBEST nie net as 'n belangrike fondament beskou vir die bou van veerkragtigheid teen werklike aanvalle nie. Baie sal ook hul sekuriteitsposisie moet verbeter in die lig van die EU se Wet op Digitale Operasionele Veerkragtigheid (DORA), wat streng nuwe vereistes regdeur die bankvoorsieningsketting voorskryf. Voorsieningskettings is 'n besondere risiko. 2025-verslag geëis dat 58% van groot finansiëledienstefirmas die vorige jaar ten minste een derdeparty-aanval ervaar het, met 'n vyfde (23%) wat drie of meer keer geteiken is.

Wat gebeur volgende?

In die voorwoord van die verslag het die BoE en reguleerders, die FCA en Prudential Regulation Authority (PRA), organisasies in die sektor aangespoor om "die onderliggende oorsake" van risiko aan te spreek eerder as om tydelike kolle toe te pas. Dit beteken om 'n tegniese en kulturele benadering te volg wat voorkoming, opsporing en reaksie dek.

Spesifiek wil die BoE/FCA/PRA organisasies in die sektor sien:

  • Opstel en konfigurasie van kritieke toepassings en bedryfstelsels
  • Versterking van geloofsbriewebestuur, afdwinging van sterk wagwoorde, gebruik van MFA en segmentering van netwerke
  • Versekering van vroeë opsporing en effektiewe monitering om die impak van aanvalle te verminder
  • Implementering van risikogebaseerde remediëringsplanne in samewerking met risikobestuurders en interne ouditeure

Daarbenewens wil die NCSC verbeterings in personeelopleiding sien, veral in die lig van KI-gegenereerde phishing, om te help om 'n positiewe sekuriteitskultuur te bou. Dit wil ook strenger bevoorregte rekeningbestuur (PAM) volgens beste praktyke hê. En nouer toesig oor bates, veral ou IT, deels om te help met die reis na post-kwantumkriptografie (PQC).

Netwerksegmentering, toestelverharding en deurlopende monitering moet alles as deel van 'n zero-trust-benadering tot sekuriteit ontplooi word, het dit gesê. En omvattende logging- en voorvalreaksieprosesse kan die veerkragtigheid van moniterings- en opsporingsvermoëns verbeter. Bedreigingsjag bied belangrike ekstra insig om meer gesofistikeerde kwaadwillige aktiwiteit te ontdek, het die NCSC afgesluit.

Aan die slag

So waar begin finansiëledienstefirmas? Beyond Blue-direkteur, Carl Hunt, voer aan dat opsporing 'n goeie plek is om te begin.

“Dit sluit in die verbetering van eindpuntopsporing en -reaksie, maar ook die korrelasie van gebeure oor hul organisasie se waarskynlike aanvalpaaie om anomale gedrag op te spoor,” sê hy vir IO (voorheen ISMS.online). “Om dit uit te voer, is 'n goeie begrip van kritieke bates, aanvalpaaie en effektiewe afstemming van opsporingsreëls nodig.”

Die menslike aspek van reaksie is nog 'n kritieke poging wat sekuriteitspanne dikwels mis.

“KISO's moet bemagtig word om 'n aanval betyds te isoleer, wat vereis dat die besigheidskonteks die nodige besluite neem. Dit is 'n besondere uitdaging waar sekuriteitsbedrywighede uitgekontrakteer word,” gaan Hunt voort. “Daar moet onthou word dat aanvallers in 'n werklike aanval vinnig beweeg om hul doelwitte te bereik eerder as op 'n meer beheerde manier soos met 'n gesimuleerde oefening soos CBEST. 'n Vinnige reaksie is noodsaaklik om die impak te beperk.”

Hy wys op netwerksegmentering as ewe krities, om die ontploffingsradius van aanvalle te beperk. “Dit onderlê ook herstelstrategieë deur die kartering van IT en netwerke na noodsaaklike besigheidsfunksies, effektiewe inperking en dan die uiteindelike uitwissing van 'n aanval kan bereik word,” sê Hunt.

Die goeie nuus is dat standaarde soos ISO 27001 organisasies kan help om die fondamente te lê om hierdie beste praktyke te versnel. En die risikogebaseerde benadering tot kuberveiligheid te lewer wat reguleerders toenemend verwag, gegrond op 'n kultuur van voortdurende verbetering.