2024年1月:未经授权的第三方访问了约1660万LoanDepot客户的敏感个人数据。2025年8月:安联人寿遭遇网络攻击,导致超过100万客户的个人数据泄露。2026年2月:BridgePay Network Solutions遭受勒索软件攻击,导致佛罗里达州棕榈湾市的在线账单门户无法使用。
随着金融机构已成为攻击者眼中的高价值目标,一种明显的趋势已然显现。
此类行动通常由有组织的网络犯罪团伙或受国家支持的实体发起,其目的是谋取巨额经济利益或扰乱市场秩序。如果你从事金融行业,却以为自己能免受风险威胁,那你就太天真了。
攻击者的切入点往往并不复杂。在许多情况下,一切始于一封钓鱼邮件。随后,攻击者会进行横向移动,在内部系统中穿梭,提升权限,从而更接近其最初的目标:支付基础设施、交易平台和客户数据。
许多金融机构正是在这一点上失去了对局势的掌控:如果网络可视性有限,这种活动可能在为时已晚之前都难以被察觉;平均检测时间可能长达181天。
这正是某领先金融机构面临的挑战,该机构致力于弥补可视性缺口,并强化其威胁检测与响应系统。为此,他们选择了OPSWAT NDR将其部署在基础设施的关键环节,以更深入地洞察网络流量,并更早地发现威胁。
这就是他们的故事。
网络可视性不足导致客户系统面临横向移动的风险
该客户此前已部署了传统的监控工具,这些工具主要侧重于终端警报和边界防御。在检测已知恶意软件或可疑登录尝试方面,这些工具表现出色,但其网络可视化能力却有所欠缺。
因此,该网络就像一个隐形的区域,而这恰恰是安全系统最脆弱、SOC团队最缺乏应对事件能力的环节。这些盲点导致了:
横向运动检测中的延迟
在银行和其他金融机构中,横向移动通常是指攻击者从最初被入侵的工作站(如银行柜员的笔记本电脑或后台办公电脑)向高价值系统渗透的阶段。这些系统可能包括支付处理系统、SWIFT基础设施或核心银行数据库等。
对于我们的客户而言,延迟源于依赖边界级别的警报——这些警报要么迟迟未到,要么根本无法触发。由于拥有超过5万名员工,攻击者有大量机会入侵系统。这是客户不愿承担的风险。
缓慢的取证工作流程
在金融机构中,数据源分散往往会拖慢安全事件发生后的取证调查进度,因为安全运营中心(SOC)团队可能需要关联防火墙日志、终端警报或身份验证日志。即便面临迅速采取行动的压力,这些团队仍可能难以确定实际发生了什么,以及如何采取最佳措施来控制安全事件。
简而言之,SOC团队就像是被蒙住了眼睛,潜在的攻击者本可以利用这一点。
MetaDefender NDR 如何NDR 检测与取证工作
借助NDR可视性缺口得以填补;MetaDefender NDR 专为网络狩猎而设计NDR 客户现有安全体系中缺失的网络可视化功能和分析工具。
MetaDefender NDR
MetaDefender NDR 企业更快地检测、调查和应对网络威胁,同时不会影响业务运营。
通过分析网络遥测数据以识别异常流量模式,该系统能够检测系统间的横向移动,并发现与网络攻击相关的通信。
该平台旨在扩展普通SOC分析师的专业知识。借助其人工智能辅助检测模型,该平台可持续分析网络行为,从而在攻击生命周期的早期阶段识别可能预示攻击者活动的细微异常。
对于我们的客户而言,该平台解决了影响SOC性能的主要问题。
横向移动检测
MetaDefender NDR 并非通过终端设备来报告活动情况,而是持续在网络层NDR 东西向流量,同时检查内部系统之间的流量流向。因此,它能够检测到诸如重复认证尝试、异常连接,或是通常不会交互的系统之间进行通信等模式。
通过结合对正常内部通信的行为基线分析以及近乎实时的异常检测,延迟得以降低。
加快取证调查
MetaDefender NDR 记录流量元数据,并支持回溯分析。一旦发现 IOC(入侵指标),系统即可回溯检查是否有任何内部系统曾与其进行过通信。
如今,安全运营中心(SOC)团队无需再费力地重建事件发生当天的流量数据或查找历史日志;分析师可以直接查询存储的网络遥测数据,这对金融行业尤为重要,因为在该行业,若攻击发生后延迟处理,可能会导致违反监管规定。
此外,人工智能辅助的调查工作流帮助分析师关联各类警报、优先处理高风险事件并缩短人工调查时间,从而使该机构得以从被动检测转向主动网络监控。
对安全运营中心(SOC)可视性和威胁检测的切实成效
MetaDefender NDR 监控范围NDR 至网络层,并对内部流量应用了行为分析技术,这在分段式的金融环境中尤为有效。此外,该方案还使分析师能够减少数据收集的时间,从而将更多精力投入到决策制定中。
以下是各领域取得的成果:
| 影响范围 | 可衡量的成果 |
|---|---|
| 网络可视性 | 深入洞察了内部财务系统的通信情况。 |
| 威胁检测速度 | 借助人工智能辅助分析,能够更早地发现可疑活动和横向移动。 |
| 调查效率 | SOC分析师调查警报所需的时间得以缩短。 |
| 运行保护 | 增强了识别网络内部高级威胁的能力。 |
| 事件响应 | 在潜在攻击升级前迅速作出响应。 |
| 合规准备情况 | 为满足金融监管要求,需要加强监控能力。 |
如果威胁悄无声息地蔓延,可视性就变得至关重要
我们在劫案电影中见过,在现实生活中也见过。对于金融机构而言,最初的数据泄露本身并不危险。如果能及时发现,除了暴露公司的薄弱环节外,其实不会造成多大危害。
然而,当攻击者入侵系统后并未急于暴露行踪,反而潜伏观察、悄然行动,并逐渐逼近最关键的目标——支付系统或敏感的客户数据时,真正的危险便随之而来。
正因如此,安全防护不能仅局限于外围。否则,指示性指标(IOC)将一直未被察觉,直到为时已晚。
通过部署MetaDefender NDR我们的客户实现了从有限的威胁感知到持续网络监控的转变。如今,其安全运营中心(SOC)团队能够实时发现可疑行为,将网络信号关联成模式,并在异常情况演变为安全事件之前采取行动。
如果贵组织正在重新思考如何检测和应对边界之外的威胁,那么现在或许正是时候突破传统防护措施的局限,考虑采用网络级别的解决方案。请联系我们,了解MetaDefender NDR 如何为您NDR 。
