2024年1月:未經授權的第三方存取了約1,660萬名LoanDepot客戶的敏感個人資料。2025年8月:安聯人壽(Allianz Life)遭遇網路攻擊,導致超過100萬名客戶的個人資料外洩。2026年2月:BridgePay NetworkSolutions遭受勒索軟體攻擊,導致佛羅里達州棕櫚灣市(City of Palm Bay)的線上帳單入口網站無法使用。
隨著金融機構已成為攻擊者的高價值目標,一種明顯的趨勢逐漸浮現。
這些攻擊行動通常由有組織的網路犯罪集團或受國家資助的行為者發動,其目的在於獲取巨額財利或擾亂市場。若您從事金融業卻以為自己能免於風險,那便是太過大意了。
入侵的切入點通常並不複雜。在許多情況下,一切始於一封釣魚電子郵件。從此處開始,攻擊者會進行橫向移動,在內部系統中穿梭,提升權限,並逐步逼近他們最初的目標:支付基礎設施、交易平台以及客戶資料。
這正是許多金融機構無法掌握局勢的關鍵所在:若網路可視性受限,這類活動可能在為時已晚之前都未被察覺;平均偵測時間甚至可能長達 181 天。
這正是某家領先金融機構所面臨的挑戰,該機構致力於彌合可視性缺口,並強化其偵測與應對系統。為此,他們採用了OPSWAT MetaDefender NDR並將其部署於基礎設施的關鍵環節,藉此更深入地掌握網路流量狀況,並更早地偵測到威脅。
這就是他們的故事。
網路可視性不足,導致客戶系統面臨橫向移動的風險
該客戶原本已部署傳統的監控工具,這些工具主要著重於端點警示與邊界防禦。在偵測已知惡意軟體或可疑登入嘗試方面,這些工具表現優異,但其網路可視性功能卻有所欠缺。
因此,該網路就像一個隱形的區域,而這正是安全系統最脆弱、SOC 團隊最缺乏應對事件能力的環節。這些盲點導致:
橫向移動偵測的延遲
在銀行及其他金融機構中,橫向移動通常是指攻擊者從最初遭入侵的工作站(例如銀行櫃員的筆記型電腦或後台辦公室電腦)向高價值系統移動的階段。這些系統可能涵蓋支付處理系統、SWIFT 基礎設施,或是核心銀行資料庫等各類系統。
對我們的客戶而言,延遲源於過度依賴邊界層級的警報,這些警報不是遲遲未到,就是根本不會觸發。由於擁有超過 5 萬名員工,攻擊者有許多機會入侵系統。這是客戶不願承擔的風險。
緩慢的法證工作流程
在金融機構中,資料來源的分散往往會拖慢資料外洩事件後的鑑識調查進度,因為安全營運中心(SOC)團隊可能需要將防火牆日誌、端點警報或驗證日誌進行關聯分析。即使面臨必須迅速採取行動的額外壓力,這些團隊仍可能難以釐清實際發生了什麼事,以及找出遏制資料外洩的最佳方法。
簡單來說,SOC 團隊就像是被蒙上了眼睛,而潛在的攻擊者勢必會利用這一點。
MetaDefender NDR 如何NDR 偵測與鑑識作業
透過MetaDefender NDR我們成功彌合了可視性缺口;NDR 專為網路狩獵設計的NDR 客戶原有系統中所缺乏的網路可視性功能與分析工具。
MetaDefender NDR
MetaDefender NDR 企業更快地偵測、調查及應對網路威脅,同時不影響業務運作。
透過分析網路遙測數據以識別異常流量模式,該系統能偵測系統間的橫向移動,並揭露與網路攻擊相關的通訊活動。
該平台旨在擴展一般 SOC 分析師的專業知識。透過其 AI 輔助的偵測模型,該平台會持續分析網路行為,以在攻擊生命週期的早期階段,及早識別可能顯示攻擊者活動的細微異常。
對我們的客戶而言,該平台解決了影響 SOC 效能的主要問題。
橫向移動偵測
MetaDefender NDR 並非透過監控終端裝置來回報活動狀況,而是持續在網路層級NDR 東西向流量,同時檢查內部系統之間的流量流向。因此,它能夠偵測到諸如重複的認證嘗試、異常連線,或是通常不會相互互動的系統之間進行通訊等模式。
透過結合正常內部通訊的行為基準建立,以及近乎即時的異常偵測,成功降低了延遲。
更快速的鑑識調查
MetaDefender NDR 記錄流量元資料,並支援回溯分析。一旦偵測到 IOC(入侵指標),系統即可回溯檢查是否有任何內部系統曾與其進行通訊。
如今,SOC 團隊無需費心重建事件當日的流量或查找過往日誌;分析師可直接查詢儲存的網路遙測資料,這在金融業尤為重要,因為若攻擊發生後延遲處理,可能導致違反監管規定。
此外,人工智慧輔助的調查工作流程協助分析師關聯各項警示、優先處理高風險事件,並縮短人工調查時間,使該機構得以從被動偵測轉向主動式網路監控。
對 SOC 可視性與威脅偵測的具體成效
MetaDefender NDR 監控範圍NDR 至網路層,並對內部流量進行行為分析,這在分段式的金融環境中特別有效。此外,它還讓分析師能減少花在資料蒐集上的時間,將更多時間投入決策制定。
以下是各領域的成果概況:
| 影響範圍 | 可量化的成果 |
|---|---|
| 網路可視性 | 提供了對內部財務系統通訊的深入洞察。 |
| 威脅偵測速度 | 借助 AI 輔助分析,得以更早地偵測到可疑活動及橫向移動。 |
| 調查效率 | 縮短了 SOC 分析師調查警報所需的時間。 |
| 運作保護 | 提升識別網路內部運作之進階威脅的能力。 |
| 事件應變 | 在潛在攻擊升級前,迅速採取應對措施。 |
| 合規準備狀況 | 為符合金融監管要求,必須強化監控能力。 |
若威脅悄然潛行,能見度便成為關鍵
我們在搶劫片中見過,現實生活中也見過。對金融機構而言,最初的資料外洩本身並不危險。如果及時發現,除了暴露公司的弱點之外,並不會造成太大危害。
然而,當攻擊者入侵系統卻不急於暴露行蹤時,便會產生真正的危險。相反地,他們會進行觀察、悄然行動,並逐漸逼近最關鍵的目標:支付系統或敏感的客戶資料。
正因如此,資安措施不能僅限於邊界防禦。否則,指標與跡象(IOCs)將在為時已晚之前仍未被察覺。
透過導入NDR我們的客戶已從有限的威脅感知能力,轉變為持續性的網路監控。如今,其安全營運中心(SOC)團隊能夠即時偵測可疑行為,將網路訊號串聯成模式,並在異常狀況演變為事件之前採取行動。
如果貴組織正在重新思考如何偵測並應對邊界之外的威脅,現在或許正是時候跳脫傳統防護措施的框架,考慮採用網路層級的解決方案。歡迎與我們聯繫,了解MetaDefender NDR 如何為您NDR 。
