FINRA 启动情报融合中心以对抗金融网络威胁

执行摘要

金融行业监管局（FINRA）启动了一个金融情报融合中心，以集中和增强其对针对美国经纪交易商行业的网络安全和欺诈威胁的分析。这一运营转变旨在通过将FINRA现有的监控、分析和调查职能整合为一个单一实体，改善成员公司之间的威胁情报共享和防御协调。该举措反映了金融监管领域日益认识到，分散的情报努力不足以应对复杂、跨领域的攻击。

技术分析

新成立的融合中心不是一个技术产品，而是一个旨在综合多个数据流的组织和程序框架。根据Dark Reading的报道，该中心将整合FINRA现有的监控市场活动、分析监管文件和调查潜在不当行为的能力。技术价值主张在于关联不同的数据集——比如交易异常、网络安全事件报告和金融欺诈指标——以识别可能被忽视的复杂、多阶段活动。通过作为监管机构自身的内部**安全运营中心（SOC）和计算机安全事件响应小组（CSIRT）**运作，该中心有能力为成员公司开发更具上下文的警报。源材料中没有详细说明所使用的具体分析工具、数据摄取管道和关联引擎。

入侵指标

目前未识别出任何入侵指标。

战术、技术与程序

尽管FINRA融合中心本身是一个防御性结构，但其创建是对针对金融部门的威胁行为者观察到的TTPs的直接回应。基于中心的声明重点领域，这些可能包括：

• TA0042: 资源开发 —— 为欺诈或市场操纵计划获取基础设施和身份。
• TA0001: 初始访问 —— 使用钓鱼和凭证盗窃来破坏经纪交易商员工账户。
• TA0006: 凭证访问 —— 采用暴力破解或购买凭证等技术进入交易和客户系统。
• TA0008: 横向移动 —— 在被破坏的网络内移动以访问包含市场敏感或客户数据的高价值系统。
• TA0009: 收集 —— 汇总被盗的非公开信息或个人身份信息（PII）以获取经济利益。
• TA0040: 影响 —— 执行欺诈或操纵市场以创造非法利润，直接影响市场完整性。 融合模型旨在检测将这些技术在网络和欺诈领域之间的操作模式联系起来。

威胁行为者背景

融合中心旨在解决来自广泛对手的威胁，尽管源材料中没有指明特定团体。金融部门历史上与以下对手打交道：

• 以金融为动机的网络犯罪集团：专注于通过银行木马、勒索软件和商业电子邮件泄露（BEC）直接盗窃的有组织犯罪集团。
• 高级持续性威胁（APT）集团：从事间谍活动的国家行为者，目的是窃取知识产权、并购数据或为潜在的破坏性攻击做准备。
• 内部威胁：滥用对系统和数据访问权限的恶意或被破坏的员工。
• 欺诈团伙：致力于证券欺诈、市场操纵和账户接管计划的组织。中心明确结合网络安全和欺诈分析，表明特别关注网络犯罪分子和传统欺诈者汇聚的TTPs。

缓解措施与建议

FINRA建立融合中心意味着对成员公司和更广泛的金融部门推荐几种实践：

1. 打破内部壁垒：公司应促进其网络安全团队、欺诈部门和合规/法律单位之间的运营协作。威胁情报应双向流动。
2. 关联不同的数据源：安全信息和事件管理（SIEM）或扩展检测和响应（XDR）平台应配置为摄取和分析来自交易平台、客户关系管理（CRM）系统和网络安全工具的日志。
3. 参与信息共享中心：参与特定于行业的信息共享和分析中心（ISACs），如FS-ISAC，并响应像FINRA这样的监管机构的警报，以获得更广泛的情况意识。
4. 实施强大的访问控制：执行最小权限原则，在所有关键系统上强制执行多因素认证（MFA），并为异常账户行为进行强有力的监控，特别是对于有权访问重要非公开信息的员工。
5. 进行跨领域演习：运行模拟结合网络欺诈事件的桌面演习，以测试传统上分开的团队之间的沟通和响应计划。