Industri jasa keuangan selalu menjadi yang terdepan dalam adopsi teknologi, tetapi pandemi 2020 mempercepat penyebaran aplikasi mobile banking, layanan pelanggan berbasis obrolan, dan alat digital lainnya. Laporan Tren FIS 2022 Adobe, misalnya, menemukan bahwa lebih dari separuh layanan keuangan dan perusahaan asuransi yang disurvei mengalami peningkatan signifikan dalam pengunjung digital/seluler pada paruh pertama tahun 2020. Laporan yang sama menemukan bahwa empat dari sepuluh eksekutif keuangan mengatakan bahwa akun saluran digital dan seluler untuk lebih dari setengah penjualan mereka – sebuah tren yang diperkirakan hanya akan berlanjut dalam beberapa tahun ke depan.
Saat lembaga keuangan memperluas jejak digital mereka, mereka memiliki lebih banyak peluang untuk melayani pelanggan mereka dengan lebih baik – tetapi juga lebih rentan terhadap ancaman keamanan. Setiap alat baru meningkatkan permukaan serangan. Jumlah celah keamanan potensial yang lebih tinggi, berpotensi menyebabkan jumlah pelanggaran keamanan yang lebih tinggi.
Menurut survei Cisco CISO Benchmark, 17 persen organisasi memiliki 100.000 atau lebih peringatan keamanan harian pada tahun 2020. Pasca-pandemi, lintasan itu terus berlanjut. 2021 memiliki jumlah kerentanan dan eksposur umum tertinggi sepanjang masa: 20.141, yang melampaui rekor tahun 2020 sebesar 18.325.
Kuncinya adalah bahwa pertumbuhan digital dalam industri keuangan adalah bukan henti; oleh karena itu, tim keamanan siber akan membutuhkan cara untuk mendapatkan visibilitas real-time yang akurat ke permukaan serangan mereka. Dari sana, identifikasi kerentanan yang paling dapat dieksploitasi dan prioritaskan untuk ditambal.
Pendekatan Tradisional untuk Validasi Keamanan
Secara tradisional, lembaga keuangan telah menggunakan beberapa teknik berbeda untuk menilai postur keamanan mereka.
Simulasi pelanggaran dan serangan
Simulasi pelanggaran dan serangan, atau BAS, membantu mengidentifikasi kerentanan dengan mensimulasikan jalur serangan potensial yang mungkin digunakan oleh aktor jahat. Hal ini memungkinkan validasi kontrol dinamis tetapi berbasis agen dan sulit untuk diterapkan. Ini juga membatasi simulasi ke buku pedoman yang telah ditentukan sebelumnya – yang berarti cakupannya tidak akan pernah lengkap.
Pengujian penetrasi manual
Pengujian penetrasi manual memungkinkan organisasi untuk melihat bagaimana kontrol bank, misalnya, menghadapi serangan dunia nyata, sambil memberikan masukan tambahan dari perspektif penyerang. Namun, proses ini bisa mahal dan hanya diselesaikan beberapa kali per tahun. Ini berarti bahwa itu tidak dapat memberikan wawasan waktu nyata. Selain itu, hasilnya selalu bergantung pada keterampilan dan cakupan penguji penetrasi pihak ketiga. Jika manusia melewatkan kerentanan yang dapat dieksploitasi selama uji penetrasi, itu bisa tetap tidak terdeteksi sampai dimanfaatkan oleh penyerang.
Pemindaian kerentanan
Pemindaian kerentanan adalah tes otomatis jaringan perusahaan. Ini dapat dijadwalkan dan dijalankan kapan saja – sesering yang diinginkan. Namun, mereka terbatas dalam konteks yang dapat mereka berikan. Dalam kebanyakan kasus, tim keamanan siber hanya akan menerima peringkat keparahan CVSS (tidak ada, rendah, sedang, tinggi, atau kritis) untuk setiap masalah yang terdeteksi oleh pemindaian. Tim mereka akan memikul beban untuk meneliti dan menyelesaikan masalah tersebut.
Pemindaian kerentanan juga menimbulkan masalah kelelahan waspada. Dengan begitu banyak nyata menghadapi ancaman, tim keamanan di industri keuangan harus dapat fokus pada kerentanan yang dapat dieksploitasi yang berpotensi menyebabkan dampak bisnis paling besar.
Lapisan Perak
Validasi Keamanan Otomatis, atau ASV, memberikan pendekatan baru – dan akurat. Ini menggabungkan pemindaian kerentanan, validasi kontrol, eksploitasi nyata, dan rekomendasi remediasi berbasis risiko untuk manajemen permukaan serangan yang lengkap.
ASV menyediakan cakupan berkelanjutan, yang memberikan wawasan waktu nyata kepada lembaga keuangan tentang postur keamanan mereka. Menggabungkan cakupan internal dan eksternal, ini memberikan gambaran sepenuhnya mungkin dari seluruh lingkungan risiko mereka. Dan, karena ini memodelkan perilaku penyerang kehidupan nyata, ia melangkah lebih jauh daripada simulasi berbasis skenario.
Bagaimana Industri Keuangan Menggunakan ASV
(hampir) tidak perlu dikatakan lagi bahwa bank, serikat kredit, dan perusahaan asuransi membutuhkan tingkat keamanan yang tinggi untuk melindungi data pelanggan mereka. Mereka juga harus memenuhi standar kepatuhan tertentu, seperti FINRA dan PCI-DSS.
Jadi: bagaimana mereka melakukannya? Banyak yang berinvestasi dalam alat validasi keamanan otomatis yang menunjukkan kepada mereka risiko keamanan mereka yang sebenarnya pada waktu tertentu, kemudian menggunakan wawasan tersebut untuk membuat peta jalan perbaikan. Inilah peta jalan yang diikuti oleh lembaga keuangan seperti Sander Capital Management:
Langkah 1 — Mengetahui permukaan serangan mereka
Menggunakan Pentera untuk memetakan permukaan serangan yang menghadap ke web, mereka mengumpulkan pemahaman lengkap tentang domain, IP, jaringan, layanan, dan situs web mereka.
Langkah 2 — Menantang permukaan serangan mereka
Dengan aman mengeksploitasi aset yang dipetakan dengan teknik serangan terbaru, mereka mengungkap vektor serangan lengkap – baik internal maupun eksternal. Ini memberi mereka pengetahuan yang mereka butuhkan untuk memahami apa yang benar-benar dapat dieksploitasi – dan sepadan dengan sumber daya untuk memulihkannya.
Langkah 3 — Memprioritaskan upaya remediasi berdasarkan dampak
Dengan memanfaatkan emulasi jalur serangan, mereka dapat menunjukkan dengan tepat dampak bisnis dari setiap celah keamanan dan menetapkan pentingnya akar penyebab dari setiap vektor serangan yang diverifikasi. Ini memberi tim mereka peta jalan yang jauh lebih mudah diikuti untuk melindungi organisasi mereka.
Langkah 4 — Menjalankan peta jalan remediasi mereka
Mengikuti daftar perbaikan yang hemat biaya, organisasi keuangan ini memberdayakan tim keamanan mereka untuk mengatasi kesenjangan dan mengukur dampak upaya mereka terhadap postur TI mereka secara keseluruhan.
Ketika datang ke milikmu organisasi: apakah Anda tahu di mana tautan terlemah Anda sehingga Anda dapat menyelesaikannya sebelum penyerang menggunakannya untuk melawan Anda?
Jika Anda siap untuk memvalidasi organisasi Anda terhadap ancaman terbaru, mintalah pemeriksaan kesehatan keamanan gratis.