远程工作推动金融服务中的SaaS及定制应用程序普及

关键要点

• 随着远程工作的普及，SaaS和定制应用程序在金融机构中变得越来越流行。
• 用户数量的增加导致针对账户、资金和数据的攻击风险上升。
• 内部威胁对组织造成重大成本，平均检测和控制泄露需要77天。
• 多因素身份验证虽有助于减少未授权访问，但仍然无法提供完全保护。
• 应用程序日志分析和数据科学是改善安全的重要因素。

在近年来，软件即服务（SaaS）和定制应用程序对于金融机构的员工及客户变得愈发流行，尤其是在疫情封锁后，更多员工选择远程工作。随着用户的增加，攻击者也愈加针对潜在的账户、资金及数据进行攻击，安全风险日益加大。

根据RevealSecurity的首席执行官兼联合创始人DoronHendler的说法，SaaS和定制应用程序尤其受到依赖技术承包商的金融公司的青睐，已成为“普遍做法”。这些企业通常员工超千人，平均使用超过150个不同的应用程序。值得注意的是，调查发现，80%的员工使用可能不符合组织安全及合规政策的应用程序。Hendler指出：“内部威胁对组织造成的成本不容忽视，平均需要77天才能检测和处理这种泄露。”

Hendler表示：“从本地部署到SaaS技术的市场转变，加上员工远程工作的趋势，扩展了SaaS应用程序中的攻击面。”他补充道：“滥用、误用和恶意行为现在随时随地都可能发生，这促使市场需要一种解决方案，能够针对多个不同应用程序进行应用检测与响应（ADR）。”

根据Hendler的说法，金融行业企业呼叫他们的主要原因有两个：一个是针对客户，另一个是面向金融员工。在通常用于银行或保险公司面向消费者网站的定制应用程序中，更容易出现被冒充者所制造的异常现象。Hendler指出，一种常见的攻击方式是网络犯罪分子在未告知账户持有者的情况下更改账户内容。

然而，在监测当前大部分员工、承包商及代理商使用的SaaS应用程序（如大多数Microsoft 365、Salesforce、GoogleWorkspace及Amazon WebServices应用程序）时，RevealSecurity检测到了恶意内部人员所制造的异常现象。例如，某员工试图利用这些应用程序获取权限或信息。

Hendler表示：“随着员工远程工作的日益普及，误用现象变得更为常见。”他引用了一个近期的例子，某客户的“授权员工意外删除了一项影响数千人的保险政策。在大多数公司，这种错误可能需要几周时间才能被发现，因为他们只在寻找以前见过的异常。”

那么，金融企业该如何降低这种风险呢？多因素身份验证可以显著降低未授权访问的风险，但Hendler指出：“这种方式尚未提供百分之百的保护，这使得任何安全团队都面临更大的内部威胁风险，尤其是来自被信任和认证用户的威胁。”

Hendler强调：“准确性至关重要，因为虚假警报和高信噪比对于安全团队来说可能会变得难以处理。目前市场上大多数检测解决方案仍主要基于规则，这样的方式成本高、效率低。”

他补充道：“应将数据科学应用于应用程序日志文件，而非简单定义规则，识别并响应应用程序中的复杂威胁策略，以便员工和客户能够在安全可靠的环境中继续操作。”