即便在普通人眼里，2023年金融业的动荡不安也是显而易见，比如3月硅谷银行倒闭引发了对金融体系稳定性一连串的恐慌。尽管近几个月来普遍的经济担忧逐渐平息，但金融业在进行转型和保持数字化的同时，仍然面临着巨大压力，同时还要保护日益遭受攻击的全球互联的业务系统网络。在这篇博文中，我们将简要探讨当今金融业面临的三大网络威胁并分享可执行的建议。

01、勒索软件

勒索软件并不是新鲜事，但这类攻击继续以无情的速度造成大规模破坏。报告估计，汇总全球自2018年以来的数据，金融业因勒索软件攻击造成宕机的经济影响高达323亿美元。更令人担忧的是，有报道称发生在金融业的勒索软件攻击正在增加。据SOCRadar在2023年上半年的统计，在勒索软件攻击的前十大目标行业中，金融业排名第7。

虽然上述整体趋势令人不安，但是组织机构可以通过切实可行的措施改善安全态势。我们的建议不是开创性的，而是基础性的作法，在组织机构将注意力转移到更先进的下一代解决方案时，这些作法往往被忽视。

02、供应链

早在2020年，对SolarWinds 的大规模黑客攻击使软件供应链安全成为当年的网络安全焦点，成千上万的用户不知不觉中下载受感染的软件更新。SolarWinds遭遇的复杂攻击策划之精心、执行之隐秘和长久，以致于我们可能永远无法全面理解其造成的影响。SolarWinds事件发生后不久，美国软件开发商Kaseya受到零日漏洞攻击，导致大量的托管服务提供商（MSP）使用的软件受影响，进一步波及这些托管服务提供商的用户。

对供应链的攻击揭示了这样的事实：软件开发生命周期（SDLC）如果缺乏严格安全措施和测试标准，那是十分脆弱的。组织机构某种程度上在供应商面前显得无助，以确保执行适当的标准，保障软件开发基础设施安全和主动识别漏洞。尽管如此，组织机构仍可以采取以下措施维护自身权益和追究供应商的责任。

03、网络钓鱼

说到网络威胁必然逃不开网络钓鱼，这种威胁仍然是一种非常普遍和成熟的攻击形式，通常伴随着社会工程学的元素。网络钓鱼的威胁不能完全通过控制的措施进行应对，因此阻止网络钓鱼攻击最终取决于人的因素。不幸的是，网络钓鱼攻击经常得逞，因为人们经常在走神或者手忙脚乱的时候中招。根据Verizon的2023年数据泄露调查报告，74%的泄露涉及人为因素。