• Top
    首頁 > 正文

    金融服務應用十面“黑”伏 新思科技指點安全迷津

    金融機構想要確保應用安全一定要做到“安全左移”,即盡量做預防性的安全活動,在更早的階段就做相應的安全測試。
    發布時間:2021-08-27 16:08        來源:賽迪網        作者:徐培炎

    【賽迪網訊】根據統計,平均一個嚴重的數據泄露問題,都會導致百萬美元級別的損失,2019年的數據泄露平均損失高達586萬美元??梢钥闯?,在金融行業里面如果出現安全問題,最直接的就是經濟損失,而且還非常的大。在安全領域有一個說法是將金融公司分為兩類,一類是已經遭受了安全攻擊的,一類是即將遭受安全攻擊的,黑客并不會管金融公司的規模有多大或者有多小,只要你存在相應的漏洞就會被無情的攻擊。

    由于目前金融的技術棧使用的越來越復雜,迭代的越來越快,代碼量越來越大,所以向外暴露的接口就越來越多,給漏洞攻擊者也留下了更多利用漏洞的機會。而且,隨著這兩年疫情爆發之后,安全問題有進一步惡化的趨勢。

    金融服務應用十面“黑”伏 新思科技指點安全迷津

    新思科技軟件質量與安全部門高級安全架構師楊國梁

    近期,新思科技發布了聚焦于金融應用安全問題的報告《金融服務業的應用安全:誤區與現實》。新思科技軟件質量與安全部門高級安全架構師楊國梁,結合該報告的內容深度解答了金融服務應用如何應對越來越多的安全挑戰,并介紹了新思科技在這一領域的相關應對措施。

    金融行業 十面“黑”伏

    楊國梁首先強調了金融行業的特殊屬性。這種特殊突出表現在金融服務市場估值高。2019年,全球金融市場估值高達22萬億美元,因此金融市場往往成為網絡攻擊者首要的攻擊目標。

    金融公司的漏洞被利用的機會也越來越多。黑客對金融公司的攻擊是無差別的,并不會計較于其規模大小。目前金融使用的技術棧越來越復雜,迭代地越來越快,代碼量越來越大,向外暴露的接口越來越多,為漏洞攻擊者留下了更多利用漏洞的機會。

    新冠疫情爆發之后使安全問題有進一步惡化的趨勢,傳統的供應鏈管理在轉成線上之后可能會出現一些紕漏,此外疫情還導致預算和資源受限、安全培訓缺乏等問題。

    楊國梁還宣布稱,BSIMM11(軟件安全構建成熟度模型第十一版)已于2020年10月發布,該模型基于從130家企業中觀察到的數據直接構建而成,觀察、評估和描述企業的SSI真實的狀態,BSIMM12預計于2021年第四季度發布。

    安全誤區 鏡花水月

    《金融服務業的應用安全:誤區與現實》報告使用BSIMM11報告中的研究數據揭示了七大誤區,楊國梁給出了相應的指導建議:

    第一個誤區:“金融服務公司是安全的,因為他們必須安全。”

    經過新思科技的調查顯示有50%的金融公司由于不安全的軟件而遭遇數據盜竊;76%的公司表示很難在上市前檢測出金融軟件系統中的安全漏洞。

    同時只有34%的其他金融類軟件經過安全漏洞測試,只有45%的金融服務公司認為他們有足夠的預算來應對安全風險。因此,金融服務公司不僅存在漏洞,而且并沒有足夠的能力、預算、技術、應用來消除漏洞保證安全。

    第二個誤區:“金融軟件不同于其他軟件,因此無法改變。”

    楊國梁指出,目前的金融已經不再是過去傳統的花一年甚至更長時間來編寫一個系統再上線,其開發和其他所有的軟件其實越來越趨同,各金融公司都會朝DevOps進而DevSecOps方向演進,面臨的安全問題其實是一樣的,因此在這個維度上金融軟件并無特殊性。

    第三個誤區:“小型金融公司和大型金融服務公司在應用安全上面可能會有差別。”

    對此楊國梁強調,金融機構即使體量再小,對黑客來講也是一個足夠有吸引力的目標。而且越來越多的黑客都是通過自動化的攻擊腳本去挖掘潛在的漏洞,以自動化的攻擊方式去找有弱點的系統。

    不管是自行研發還是直接購買,現階段都會大量地利用開源組件如常用的第三方商業組件。而這些組件一旦出了問題,無論金融機構的規模大小,系統都會出問題,并且最終的責任一定是落在對消費者直接提供服務的金融機構身上。

    第四個誤區:“業界人員或技術人員可以控制所部署的軟件中的所有內容。”利用審計工具Black Duck,新思科技發現軟件開發過程中調用組件的同時,被調用的組件又去調用了其他的組件,形成了一長串的依賴關系,而這些跨層的依賴關系對于開發人員來說往往是不可見的。

    當軟件打包運行時,如果間接調用的組件出了安全漏洞系統一樣是危險的。而在云環境下相關部件編排的技術棧會涉及更多,因此運維的風險會更大。

    第五個誤區:“確保云安全是云運營商和所有者的工作。”

    楊國梁指出,一旦出了安全問題,客戶找到的一定是金融機構自身,而不會直接去追究提供云服務的運營商。

    對于一個金融機構來講,確保安全問題是金融機構本身的責任之一。為了運行安全的部署,金融機構的安全團隊必須將安全的容器,安全打包好的可運行的內容部署到云端。

    第六個誤區:“具備滲透測試、門禁測試和最后一步安全便足夠。”

    新思科技的行業經驗表明,在軟件中發現的所有缺陷中有50%是架構缺陷,滲透測試無法檢測到這些缺陷。

    第七個誤區:開發人員可以根據經驗自學應用安全技能。

    新思科技的調研報告顯示只有38%的金融服務公司員工具備保護軟件所需的網絡安全技能;25%的員工根本沒有接受過安全培訓,但仍然肩負著AppSec的責任,因此楊國梁認為安全培訓仍是十分必要的。

    新思方案 枕戈待旦

    新思科技針對以上提到的安全風險,給出了應對方案。楊國梁介紹,針對金融類的應用安全,新思科技的BSIMM軟件安全構建成熟度模型可以被用于參考同行、競爭對手的安全建構方案用以指導自身的安全維護。

    新思科技在整個金融機構DevOps向DevSecOps轉型中有著豐富的經驗。同時還可托管滲透測試,對于一些可暴露在外API、URL等可通過新思科技提供的安全測試業務來保證。

    新思科技每年還會發布《開源安全和風險分析》報告,在報告中會發布各行各業使用的開源組件的代碼。新思科技可幫助金融機構梳理軟件資產,識別開源組件的使用,實時監控開源組件產生的安全漏洞并提供修復建議,還會提供提升軟件整體安全性計劃性方案。

    最后新思科技還提供線上線下各種按需的軟件安全培訓,幫助金融應用的安全性。

    楊國梁在接受賽迪網采訪時一再強調,金融機構想要確保應用安全一定要做到“安全左移”,即盡量做預防性的安全活動,在更早的階段就做相應的安全測試。

    楊國梁表示,新思科技在整個研發階段,不管是依靠經驗還是依靠白盒工具Coverity靜態應用安全測試這樣的工具,都有受到市場廣泛認可的服務和產品的提供。不管是購買標準軟件和自研軟件,或是選擇私有云、公有云、混合云、多云的服務,新思科技都有相應的安全服務團隊協助,從而一定程度上保證金融機構的應用安全。(文/徐培炎)

    專題訪談

    合作站點
    stat