工业和信息化部主管 中国电子报社主办
收藏本站投稿

云服务

金融服务业应用程序安全存在七大误区,确保云安全是企业本身责任

在2019年,全球金融市场估值高达22万亿美元,高市场估值使得金融机构往往成为网络攻击者首要的攻击目标。根据统计,平均一个严重的数据泄露问题,都会导致百万美元级别的损失,2019年的数据泄露平均损失高达586万美元。而在金融安全中,应用软件造成的安全越来越引起业界重视。

“金融服务业的应用安全已引起业内高度关注,因为目前DevOps在向DevSecOps转型的过程中,我们发现,每天提供服务的这些应用软件,其本身软件不健全导致的安全问题对金融类机构造成的困扰越来越严重。”新思科技软件质量与安全部门高级安全架构师杨国梁表示。

不过,对于金融服务业应用程序安全,人们还存在七大误区。新思科技通过使用2020年度“软件安全构建成熟度模型”(BSIMM)报告中的研究数据,揭示并解释了金融服务行业安全的七大误区。

误区一:金融服务企业是安全的,因为他们必须安全

这种看法并不是基于证据或数据,而是基于这样一种信念:金融服务企业作为用户敏感数据的看门人,必须是安全的。

由于该行业受到严格监管,因此,金融服务企业往往非常善于保持合规性,从而导致安全主管和客户很容易产生错误的安全感。但如果他们不能仔细检查安全实践在合规范围外的表现,长期以往也会出现问题。

事实上,金融服务企业并没有那么安全。新思科技近期委托Ponemon Institute开展了一项名为《金融服务业的软件安全状况》的独立研究,凸显出人们对金融服务安全性的误解。报告发现,50%的金融服务企业由于不安全的软件而遭遇数据盗窃。

误区二:金融软件不同于其他软件(因此无法改变)

许多金融服务企业仍然认为他们的软件与其它类型的软件存在本质上的区别,因此无法做出改变。他们认为企业负担不起朝着DevOps做出重大转变的费用,也无法无条件地信任瀑布式方法等公认的最佳实践。他们的看法是,过去有效的方法未来将继续奏效。

其实金融软件的编写、管理和测试方式与其它软件大同小异。过时的开发模式会限制开发速度并阻碍上市速度。拒绝适应现代软件环境的企业迟早会落伍。

误区三:小型金融服务企业的AppSec需求有别于大型金融服务企业

有人误认为,小银行和大银行对AppSec和相对安全级别有着不同的需求。小银行通常是购买软件,而大银行则是自己开发软件。有人认为当购买软件时,确保安全性的责任便落在了供应商而不是购买者身上。此外,他们还认为小银行使用的软件不同于大银行,这种错误观点常常导致重要的安全实践活动被忽视。更令人不安的是,许多规模较小的银行认为自己的规模太小,不可能成为攻击目标。

所有的金融服务企业,无论规模大小,都依赖于开源软件和软件供应链——即使是那些自己开发软件的企业。客户对小银行和大银行的安全要求是一样的。因此,所有的银行都有责任实施可靠而全面的AppSec策略,并了解其安全风险状况。

误区四:企业可以控制所部署的软件中的所有内容

许多金融服务企业都认为,他们对其部署的软件中的所有组件和元素非常了解。但是,了解软件堆栈中的所有内容并不代表全面了解——甚至比较全面地了解——它们在生产环境中的表现。即便是大型金融服务企业也陷入这个误区之中。

要知道,您所拥有的是不完整的视图。现在所有的金融服务企业都在使用各种形式的开源软件,覆盖广泛的AppSec活动和环境。从Docker和Kubernetes,到供应链、云部署和共担责任模式,您需要了解环境中的所有代码和每个组件。准确了解正在部署的内容及其安全状态是至关重要的。

误区五:确保云安全是云运营商和所有者的工作

就像对待第三方责任的态度一样,金融服务企业通常认为,在云安全问题上,有人可以“代劳”。金融服务企业以为云安全是云运营商和所有者的责任,通常基本或根本不会采取任何措施来保护其云部署。

实际上,确保云安全是企业本身的责任。GitHub、GitLab和其它各色云服务提供者都在努力保护用户的云部署。然而,能否确保部署安全仍然取决于贵企业的内部AppSec计划。为了运行安全的云部署,安全团队必须将安全的容器部署到云端。此外,金融服务企业还要负责整体的安全最佳实践、身份和访问管理以及加密安全。如果没有内部安全活动,云部署也许可以正常工作,但肯定不安全。

误区六:具备渗透测试、门禁测试和最后一步安全便足够

金融服务企业往往认为,开展渗透测试就足够了。这种测试的方法简易,再加上资源匮乏问题,很多企业误以为已经在现有条件下做到了最好。

需要强调的是,AppSec必须内置。虽然渗透测试确实能在应用安全方面起到关键作用,但仅开展渗透测试是不够的。新思科技的行业经验表明,在软件中发现的所有缺陷中有50%是架构缺陷,渗透测试无法检测到这些缺陷。金融服务企业需要采用深度架构风险分析(ARA)实践或威胁建模方法来识别这些重大风险。

误区七:开发人员可以根据经验自学AppSec技能

金融服务企业往往缺乏开展重要安全活动所需的资源。尽管如此,他们仍然相信只要有足够的时间和自学经验,开发人员便可以满足整个软件开发生命周期中的任何安全需求。

这种学习方式也许适用于少数开发人员,但在学习过程中产生的不良后果会给企业带来风险。开发人员需要多长时间才能成为安全专家的问题以及缺乏用技能评估架构和指标的问题,都构成了安全上的危险缺口。

然而,安全培训是必要的。Ponemon报告显示,只有38%的金融服务企业的员工具备保护软件所需的网络安全技能。25%的员工根本没有接受过安全培训,但仍然肩负着AppSec 的责任。

新思科技软件质量与安全部门高级安全架构师杨国梁总结道:“越来越多的金融服务机构都使用App来开展业务。但是便利性和安全隐患共生,软件安全问题不能小觑,比如高危漏洞、恶意程序或者使用第三方SDK时引入的安全风险等。金融服务企业无论是刚刚开始进行应用安全转型,还是正在逐步实现安全计划的更新与增强,都应该尽量安全‘左移’,用基于数据的策略来修正此类误区,以改进AppSec流程。”

责任编辑:徐恒


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

2021年上半年中国家电市场报告

8月9日,中国电子信息产业发展研究院(又称赛迪研究院)发布了《2021年上半年中国家电市场报告》(以下简称《报告》)。《报告》显示,2021年上半年,我国家电市场加速回暖,零售额达4293亿元,同比增长16.3%;家电消费进一步向线上迁移,电商渠道对家电零售的贡献率达53.65%;家电产品均价普遍提升,高端家电销售热度不减,有效促进了消费升级...

新思想引领新征程·红色足迹

党的十八大以来,习近平总书记在地方考察调研时多次到访革命纪念地,强调要从中国革命历史、优良传统和精神中汲取养分。追寻红色足迹,感悟初心使命。即日起,本报推出“新思想引领新征程·红色足迹”专栏,跟随习近平总书记的红色足迹,访当事人、忆当年事,重温总书记的重要论述和重要指示精神,生动回顾红色圣地光荣的革命历史、优秀的革命传统...

聚焦2021年全国两会

3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。

2021年全国工业和信息化工作会议

12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。

世界超高清视频(4K/8K)产业发展大会

会议

2021世界显示产业大会

6月17日,由工业和信息化部、安徽省人民政府共同主办的2021世界显示产业大会在合肥市开幕。安徽省委书记李锦斌出席开幕式并宣布大会开幕,安徽省省长王清宪、上海合作组织秘书长弗拉基米尔·诺罗夫、工业和信息化部副部长王志军出席开幕式并先后致辞。

2021世界超高清视频(4K/8K)产业发展大会

5月8日-10日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2021世界超高清视频(4K/8K)产业发展大会在广州召开。5月9日,广东省委书记李希出席开幕式,工业和信息化部部长肖亚庆、广东省省长马兴瑞、国家广播电视总局副局长孟冬、中央广播电视总台编务会议成员姜文波出席开幕式并致辞。

CITE2021第九届中国电子信息博览会开幕论坛

4月9日,第九届中国电子信息博览会(简称CITE2021)在深圳举办。深圳市人民政府市长陈如桂、广东省人民政府副秘书长陈岸明、工业和信息化部电子信息司司长乔跃山出席开幕式并先后致辞。

2020世界显示产业大会

11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。

2020世界超高清视频(4K/8K)产业发展大会

11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。

2020世界VR产业大会云峰会

10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。

世界显示产业大会

本周排行