金融服务行业是否能有效地未雨绸缪,领先于网络攻击?

Synopsys Editorial Staff

Aug 06, 2019 / 1 min read

金融

现在有大量的新技术是面向金融服务行业的。同时值得注意的是为了提高利润率,金融服务行业提升自动化,开发新软件以为客户提供完整及无缝的体验,无论是在传统的柜台服务,还是在线和移动业务方面。技术已经深深嵌入到每个金融服务行业的业务中。任何银行或保险公司都依赖技术才能运行。但最新的一项研究显示,大多数金融服务行业都在施展各种方法以确保他们使用的技术是安全的。

新思科技网络安全研究中心(CyRC)最近委托数据安全中心Ponemon Institute对金融服务行业当前的软件安全实践进行独立调查,以了解该行业的态势及其解决安全相关问题的能力。研究人员对金融服务行业的400多名IT安全从业人员进行了访问调研,包括银行、保险、抵押贷款/处理和经纪业务公司。受访者的职务涵盖安装和实施金融应用程序、开发金融应用程序以及为金融服务行业提供服务。

金融服务行业面临的网络威胁不容忽视

对于金融服务机构而言,网络安全是必选项而不是可选服务。56%的受访者表示他们的机构遭遇过网络攻击而导致系统故障和停机。很显然,网络安全无法跟上金融服务行业的技术进步,除非现在采取积极措施,否则网络攻击问题只会恶化。这表明金融服务机构需要更多地关注网络安全、安全编码培训、在源代码中发现缺陷和安全漏洞的自动化工具,以及识别内部开发团队或第三方供应商引入的开源组件的软件组合分析工具。

金融服务机构仍在积累所需的软件安全技能和资源。虽然大多数金融服务机构为软件开发人员提供某种形式的安全开发培训,但只有一小部分的此类培训是强制性的。与使用BSIMM(软件安全构建成熟度模型)或SAMM等外部评估工具相比,金融服务机构可能更依赖于内部评估来确定其安全计划的有效性。

导致软件漏洞的最常见因素是在软件生产后期才进行漏洞测试。而且,我们发现大多数金融服务机构是在软件发布后才进行漏洞评估。这可能是由于缺乏应用安全专业知识、对成本的担忧,以及担心软件开发生命周期早期的安全流程(SDLC)可能会阻碍开发进程从而影响产品上市时间。

不到一半的受访者表示,在软件设计或开发和测试过程中会进行安全评估,只有25%的受访者相信他们的机构可以在发布前检测到其财务软件和系统中的安全漏洞。

软件供应链存在重大风险

软件供应链存在重大风险

虽然大多数金融服务机构仍在开发自己的软件和系统,但许多机构正逐渐依赖第三方独立供应商来提供最新技术。报告中,近四分之三的受访者表示非常关注第三方供应商是否会引入安全漏洞问题,但只有不到一半的机构要求第三方遵守特定的网络安全要求或验证其安全实践。

接受访问的金融服务机构中很少有一个既定的流程来清点和管理内部开发或由第三方提供的开源代码。缺乏开源管理使这些机构面临着由于其应用程序中的开源组件中的漏洞导致的额外风险。

不能仅凭借单一方式来保护金融服务行业软件和系统

单凭一种方法、工具或服务无法确保金融服务行业的全面安全。

有些机构更青睐托管服务提供商的精良的安全团队;有些则偏向组建大规模的内部专业安全团队。

一些机构使用自动化工具的分层方法,包括静态应用安全测试(SAST)、软件组合分析(SCA)交互式应用安全测试(IAST)、动态应用安全测试(DAST)以及运行时应用程序自我保护(RASP)。其它策略包括手动规划和测试活动,例如安全架构设计、需求定义、威胁建模、代码审查和模糊测试,以确保SDLC每个阶段的安全性。

不能仅凭借单一方式来保护金融服务行业软件和系统

无论采取哪些方法或工具,都必须与业务保持一致,支持和保护业务发展。该报告有一个有趣的发现,大多数受访者认为相比在产品发布后防止网络攻击,在前期检测和控制安全隐患的做法更加有效。金融服务行业越来越注重安全性,特别是在SDLC早期嵌入安全性,这将有助于更有效地防止攻击,避免网络攻击带来的严重后果和巨额修复成本。

Continue Reading