首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動互聯(lián)網(wǎng)|會展
首頁 >> 技術(shù) >> 正文

新思科技解讀金融服務(wù)業(yè)應(yīng)用程序安全的七大誤區(qū)

2021年8月2日 11:11  CCTIME飛象網(wǎng)  

飛象網(wǎng)訊 人們常常由于一些固有的觀念而產(chǎn)生誤解,比如金融服務(wù)業(yè)如果不安全,那么將會損失重大,所以他們推向市場的產(chǎn)品一定是安全的。或許大家應(yīng)該先聽聽另一種說法,金融服務(wù)企業(yè)分兩種類型:一種是曾經(jīng)遭受過網(wǎng)絡(luò)攻擊;另一種是將會被攻擊。這不是危言聳聽,因?yàn)榫薮蟮睦麧櫴沟媒鹑诜⻊?wù)行業(yè)經(jīng)常成為黑客首選的攻擊目標(biāo)。2019年,全球金融服務(wù)市場估值高達(dá)22萬億美元。疫情爆發(fā)的第一年,超過70%的金融服務(wù)企業(yè)都遭遇了網(wǎng)絡(luò)攻擊。

新思科技軟件質(zhì)量與安全部門亞太區(qū)客戶服務(wù)總監(jiān)Ian Hall指出:“這是金融服務(wù)企業(yè)面臨的現(xiàn)實(shí)。為了轉(zhuǎn)變AppSec實(shí)踐并簡化DevOps開發(fā)模型,企業(yè)一直在努力實(shí)施可擴(kuò)展并能緊跟需求變化的工具和流程。管理和維護(hù)開源代碼的復(fù)雜性、云原生架構(gòu)和相關(guān)微服務(wù)的應(yīng)用都給這項(xiàng)工作的開展增加了難度。此外,錯綜復(fù)雜的供應(yīng)鏈?zhǔn)沟闷髽I(yè)很難全面了解其風(fēng)險(xiǎn)狀況!

盡管如此,因?yàn)榻鹑诜⻊?wù)行業(yè)的性質(zhì),許多人認(rèn)為這個行業(yè)應(yīng)該非常安全。以下是新思科技(Synopsys)使用2020年度“軟件安全構(gòu)建成熟度模型”(BSIMM)報(bào)告中的研究數(shù)據(jù)來揭示并解釋金融服務(wù)行業(yè)安全的七大誤區(qū)。

誤區(qū)一:金融服務(wù)企業(yè)是安全的,因?yàn)樗麄儽仨毎踩?/STRONG>

這種看法并不是基于證據(jù)或數(shù)據(jù),而是基于這樣一種信念:金融服務(wù)企業(yè)作為用戶敏感數(shù)據(jù)的看門人,必須是安全的。

由于該行業(yè)受到嚴(yán)格監(jiān)管,因此,金融服務(wù)企業(yè)往往非常善于保持合規(guī)性,從而導(dǎo)致安全主管和客戶很容易產(chǎn)生錯誤的安全感。但如果他們不能仔細(xì)檢查安全實(shí)踐在合規(guī)范圍外的表現(xiàn),長期以往也會出現(xiàn)問題。

事實(shí)上,金融服務(wù)企業(yè)并沒有那么安全。新思科技近期委托Ponemon Institute開展了一項(xiàng)名為《金融服務(wù)業(yè)的軟件安全狀況》的獨(dú)立研究,凸顯出人們對金融服務(wù)安全性的誤解。報(bào)告發(fā)現(xiàn),50%的金融服務(wù)企業(yè)由于不安全的軟件而遭遇數(shù)據(jù)盜竊。

誤區(qū)二:金融軟件不同于其他軟件(因此無法改變)

許多金融服務(wù)企業(yè)仍然認(rèn)為他們的軟件與其它類型的軟件存在本質(zhì)上的區(qū)別,因此無法做出改變。他們認(rèn)為企業(yè)負(fù)擔(dān)不起朝著DevOps做出重大轉(zhuǎn)變的費(fèi)用,也無法無條件地信任瀑布式方法等公認(rèn)的最佳實(shí)踐。他們的看法是,過去有效的方法未來將繼續(xù)奏效。

其實(shí)金融軟件的編寫、管理和測試方式與其它軟件大同小異。過時(shí)的開發(fā)模式會限制開發(fā)速度并阻礙上市速度。拒絕適應(yīng)現(xiàn)代軟件環(huán)境的企業(yè)遲早會落伍。

誤區(qū)三:小型金融服務(wù)企業(yè)的AppSec需求有別于大型金融服務(wù)企業(yè)

有人誤認(rèn)為,小銀行和大銀行對AppSec和相對安全級別有著不同的需求。小銀行通常是購買軟件,而大銀行則是自己開發(fā)軟件。有人認(rèn)為當(dāng)購買軟件時(shí),確保安全性的責(zé)任便落在了供應(yīng)商而不是購買者身上。此外,他們還認(rèn)為小銀行使用的軟件不同于大銀行,這種錯誤觀點(diǎn)常常導(dǎo)致重要的安全實(shí)踐活動被忽視。更令人不安的是,許多規(guī)模較小的銀行認(rèn)為自己的規(guī)模太小,不可能成為攻擊目標(biāo)。

所有的金融服務(wù)企業(yè),無論規(guī)模大小,都依賴于開源軟件和軟件供應(yīng)鏈——即使是那些自己開發(fā)軟件的企業(yè)。客戶對小銀行和大銀行的安全要求是一樣的。因此,所有的銀行都有責(zé)任實(shí)施可靠而全面的AppSec策略,并了解其安全風(fēng)險(xiǎn)狀況。

誤區(qū)四:企業(yè)可以控制所部署的軟件中的所有內(nèi)容

許多金融服務(wù)企業(yè)都認(rèn)為,他們對其部署的軟件中的所有組件和元素非常了解。但是,了解軟件堆棧中的所有內(nèi)容并不代表全面了解—— 甚至比較全面地了解 —— 它們在生產(chǎn)環(huán)境中的表現(xiàn)。即便是大型金融服務(wù)企業(yè)也陷入這個誤區(qū)之中。

要知道,您所擁有的是不完整的視圖。現(xiàn)在所有的金融服務(wù)企業(yè)都在使用各種形式的開源軟件,覆蓋廣泛的AppSec活動和環(huán)境。從Docker和Kubernetes,到供應(yīng)鏈、云部署和共擔(dān)責(zé)任模式,您需要了解環(huán)境中的所有代碼和每個組件。準(zhǔn)確了解正在部署的內(nèi)容及其安全狀態(tài)是至關(guān)重要的。

誤區(qū)五:確保云安全是云運(yùn)營商和所有者的工作

就像對待第三方責(zé)任的態(tài)度一樣,金融服務(wù)企業(yè)通常認(rèn)為,在云安全問題上,有人可以“代勞”。金融服務(wù)企業(yè)以為云安全是云運(yùn)營商和所有者的責(zé)任,通;净蚋静粫扇∪魏未胧﹣肀Wo(hù)其云部署。

實(shí)際上,確保云安全是企業(yè)本身的責(zé)任。GitHub、GitLab和其它各色云服務(wù)提供者都在努力保護(hù)用戶的云部署。然而,能否確保部署安全仍然取決于貴企業(yè)的內(nèi)部AppSec計(jì)劃。為了運(yùn)行安全的云部署,安全團(tuán)隊(duì)必須將安全的容器部署到云端。此外,金融服務(wù)企業(yè)還要負(fù)責(zé)整體的安全最佳實(shí)踐、身份和訪問管理以及加密安全。如果沒有內(nèi)部安全活動,云部署也許可以正常工作,但肯定不安全。

誤區(qū)六:具備滲透測試、門禁測試和最后一步安全便足夠

金融服務(wù)企業(yè)往往認(rèn)為,開展?jié)B透測試就足夠了。這種測試的方法簡易,再加上資源匱乏問題,很多企業(yè)誤以為已經(jīng)在現(xiàn)有條件下做到了最好。

需要強(qiáng)調(diào)的是,AppSec必須內(nèi)置。雖然滲透測試確實(shí)能在應(yīng)用安全方面起到關(guān)鍵作用,但僅開展?jié)B透測試是不夠的。新思科技的行業(yè)經(jīng)驗(yàn)表明,在軟件中發(fā)現(xiàn)的所有缺陷中有50%是架構(gòu)缺陷,滲透測試無法檢測到這些缺陷。金融服務(wù)企業(yè)需要采用深度架構(gòu)風(fēng)險(xiǎn)分析(ARA)實(shí)踐或威脅建模方法來識別這些重大風(fēng)險(xiǎn)。

誤區(qū)七:開發(fā)人員可以根據(jù)經(jīng)驗(yàn)自學(xué)AppSec技能

金融服務(wù)企業(yè)往往缺乏開展重要安全活動所需的資源。盡管如此,他們?nèi)匀幌嘈胖灰凶銐虻臅r(shí)間和自學(xué)經(jīng)驗(yàn),開發(fā)人員便可以滿足整個軟件開發(fā)生命周期中的任何安全需求。

這種學(xué)習(xí)方式也許適用于少數(shù)開發(fā)人員,但在學(xué)習(xí)過程中產(chǎn)生的不良后果會給企業(yè)帶來風(fēng)險(xiǎn)。開發(fā)人員需要多長時(shí)間才能成為安全專家的問題以及缺乏用技能評估架構(gòu)和指標(biāo)的問題,都構(gòu)成了安全上的危險(xiǎn)缺口。

然而,安全培訓(xùn)是必要的。Ponemon報(bào)告顯示,只有38%的金融服務(wù)企業(yè)的員工具備保護(hù)軟件所需的網(wǎng)絡(luò)安全技能。25%的員工根本沒有接受過安全培訓(xùn),但仍然肩負(fù)著AppSec 的責(zé)任。

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁總結(jié)道:“越來越多的金融服務(wù)機(jī)構(gòu)都使用App來開展業(yè)務(wù)。但是便利性和安全隱患共生,軟件安全問題不能小覷,比如高危漏洞、惡意程序或者使用第三方SDK時(shí)引入的安全風(fēng)險(xiǎn)等。金融服務(wù)企業(yè)無論是剛剛開始進(jìn)行應(yīng)用安全轉(zhuǎn)型,還是正在逐步實(shí)現(xiàn)安全計(jì)劃的更新與增強(qiáng),都應(yīng)該盡量安全‘左移’,用基于數(shù)據(jù)的策略來修正此類誤區(qū),以改進(jìn)AppSec流程!

新思科技《金融服務(wù)業(yè)的應(yīng)用安全誤區(qū)與現(xiàn)實(shí)》現(xiàn)已上線,可點(diǎn)擊這里下載。

1.       https://cybersecurityguide.org/industries/financial/

2.       https://www.infosecurity-magazine.com/news/financial-services-suffered-covid/

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬倚聞澐至酥蓄l段6G頻譜資源
精彩專題
專題丨“汛”速出動 共筑信息保障堤壩
2023MWC上海世界移動通信大會
中國5G商用四周年
2023年中國國際信息通信展覽會
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像