新思科技軟件質(zhì)量與安全部門(mén)亞太區客戶(hù)服務(wù)總監Ian Hall指出:“這是金融服務(wù)企業(yè)面臨的現實(shí)。為了轉變AppSec實(shí)踐并簡(jiǎn)化DevOps開(kāi)發(fā)模型,企業(yè)一直在努力實(shí)施可擴展并能緊跟需求變化的工具和流程。管理和維護開(kāi)源代碼的復雜性、云原生架構和相關(guān)微服務(wù)的應用都給這項工作的開(kāi)展增加了難度。此外,錯綜復雜的供應鏈使得企業(yè)很難全面了解其風(fēng)險狀況。”
盡管如此,因為金融服務(wù)行業(yè)的性質(zhì),許多人認為這個(gè)行業(yè)應該非常安全。以下是新思科技(Synopsys)使用2020年度“軟件安全構建成熟度模型”(BSIMM)報告中的研究數據來(lái)揭示并解釋金融服務(wù)行業(yè)安全的七大誤區。
誤區一:金融服務(wù)企業(yè)是安全的,因為他們必須安全
這種看法并不是基于證據或數據,而是基于這樣一種信念:金融服務(wù)企業(yè)作為用戶(hù)敏感數據的看門(mén)人,必須是安全的。
由于該行業(yè)受到嚴格監管,因此,金融服務(wù)企業(yè)往往非常善于保持合規性,從而導致安全主管和客戶(hù)很容易產(chǎn)生錯誤的安全感。但如果他們不能仔細檢查安全實(shí)踐在合規范圍外的表現,長(cháng)期以往也會(huì )出現問(wèn)題。
事實(shí)上,金融服務(wù)企業(yè)并沒(méi)有那么安全。新思科技近期委托Ponemon Institute開(kāi)展了一項名為《金融服務(wù)業(yè)的軟件安全狀況》的獨立研究,凸顯出人們對金融服務(wù)安全性的誤解。報告發(fā)現,50%的金融服務(wù)企業(yè)由于不安全的軟件而遭遇數據盜竊。
誤區二:金融軟件不同于其他軟件(因此無(wú)法改變)
許多金融服務(wù)企業(yè)仍然認為他們的軟件與其它類(lèi)型的軟件存在本質(zhì)上的區別,因此無(wú)法做出改變。他們認為企業(yè)負擔不起朝著(zhù)DevOps做出重大轉變的費用,也無(wú)法無(wú)條件地信任瀑布式方法等公認的最佳實(shí)踐。他們的看法是,過(guò)去有效的方法未來(lái)將繼續奏效。
其實(shí)金融軟件的編寫(xiě)、管理和測試方式與其它軟件大同小異。過(guò)時(shí)的開(kāi)發(fā)模式會(huì )限制開(kāi)發(fā)速度并阻礙上市速度。拒絕適應現代軟件環(huán)境的企業(yè)遲早會(huì )落伍。
誤區三:小型金融服務(wù)企業(yè)的AppSec需求有別于大型金融服務(wù)企業(yè)
有人誤認為,小銀行和大銀行對AppSec和相對安全級別有著(zhù)不同的需求。小銀行通常是購買(mǎi)軟件,而大銀行則是自己開(kāi)發(fā)軟件。有人認為當購買(mǎi)軟件時(shí),確保安全性的責任便落在了供應商而不是購買(mǎi)者身上。此外,他們還認為小銀行使用的軟件不同于大銀行,這種錯誤觀(guān)點(diǎn)常常導致重要的安全實(shí)踐活動(dòng)被忽視。更令人不安的是,許多規模較小的銀行認為自己的規模太小,不可能成為攻擊目標。
所有的金融服務(wù)企業(yè),無(wú)論規模大小,都依賴(lài)于開(kāi)源軟件和軟件供應鏈--即使是那些自己開(kāi)發(fā)軟件的企業(yè)。客戶(hù)對小銀行和大銀行的安全要求是一樣的。因此,所有的銀行都有責任實(shí)施可靠而全面的AppSec策略,并了解其安全風(fēng)險狀況。
誤區四:企業(yè)可以控制所部署的軟件中的所有內容
許多金融服務(wù)企業(yè)都認為,他們對其部署的軟件中的所有組件和元素非常了解。但是,了解軟件堆棧中的所有內容并不代表全面了解-- 甚至比較全面地了解 -- 它們在生產(chǎn)環(huán)境中的表現。即便是大型金融服務(wù)企業(yè)也陷入這個(gè)誤區之中。
要知道,您所擁有的是不完整的視圖。現在所有的金融服務(wù)企業(yè)都在使用各種形式的開(kāi)源軟件,覆蓋廣泛的AppSec活動(dòng)和環(huán)境。從Docker和Kubernetes,到供應鏈、云部署和共擔責任模式,您需要了解環(huán)境中的所有代碼和每個(gè)組件。準確了解正在部署的內容及其安全狀態(tài)是至關(guān)重要的。
誤區五:確保云安全是云運營(yíng)商和所有者的工作
就像對待第三方責任的態(tài)度一樣,金融服務(wù)企業(yè)通常認為,在云安全問(wèn)題上,有人可以“代勞”。金融服務(wù)企業(yè)以為云安全是云運營(yíng)商和所有者的責任,通常基本或根本不會(huì )采取任何措施來(lái)保護其云部署。
實(shí)際上,確保云安全是企業(yè)本身的責任。GitHub、GitLab和其它各色云服務(wù)提供者都在努力保護用戶(hù)的云部署。然而,能否確保部署安全仍然取決于貴企業(yè)的內部AppSec計劃。為了運行安全的云部署,安全團隊必須將安全的容器部署到云端。此外,金融服務(wù)企業(yè)還要負責整體的安全最佳實(shí)踐、身份和訪(fǎng)問(wèn)管理以及加密安全。如果沒(méi)有內部安全活動(dòng),云部署也許可以正常工作,但肯定不安全。
誤區六:具備滲透測試、門(mén)禁測試和最后一步安全便足夠
金融服務(wù)企業(yè)往往認為,開(kāi)展滲透測試就足夠了。這種測試的方法簡(jiǎn)易,再加上資源匱乏問(wèn)題,很多企業(yè)誤以為已經(jīng)在現有條件下做到了最好。
需要強調的是,AppSec必須內置。雖然滲透測試確實(shí)能在應用安全方面起到關(guān)鍵作用,但僅開(kāi)展滲透測試是不夠的。新思科技的行業(yè)經(jīng)驗表明,在軟件中發(fā)現的所有缺陷中有50%是架構缺陷,滲透測試無(wú)法檢測到這些缺陷。金融服務(wù)企業(yè)需要采用深度架構風(fēng)險分析(ARA)實(shí)踐或威脅建模方法來(lái)識別這些重大風(fēng)險。
誤區七:開(kāi)發(fā)人員可以根據經(jīng)驗自學(xué)AppSec技能
金融服務(wù)企業(yè)往往缺乏開(kāi)展重要安全活動(dòng)所需的資源。盡管如此,他們仍然相信只要有足夠的時(shí)間和自學(xué)經(jīng)驗,開(kāi)發(fā)人員便可以滿(mǎn)足整個(gè)軟件開(kāi)發(fā)生命周期中的任何安全需求。
這種學(xué)習方式也許適用于少數開(kāi)發(fā)人員,但在學(xué)習過(guò)程中產(chǎn)生的不良后果會(huì )給企業(yè)帶來(lái)風(fēng)險。開(kāi)發(fā)人員需要多長(cháng)時(shí)間才能成為安全專(zhuān)家的問(wèn)題以及缺乏用技能評估架構和指標的問(wèn)題,都構成了安全上的危險缺口。
然而,安全培訓是必要的。Ponemon報告顯示,只有38%的金融服務(wù)企業(yè)的員工具備保護軟件所需的網(wǎng)絡(luò )安全技能。25%的員工根本沒(méi)有接受過(guò)安全培訓,但仍然肩負著(zhù)AppSec 的責任。
新思科技軟件質(zhì)量與安全部門(mén)高級安全架構師楊國梁總結道:“越來(lái)越多的金融服務(wù)機構都使用App來(lái)開(kāi)展業(yè)務(wù)。但是便利性和安全隱患共生,軟件安全問(wèn)題不能小覷,比如高危漏洞、惡意程序或者使用第三方SDK時(shí)引入的安全風(fēng)險等。金融服務(wù)企業(yè)無(wú)論是剛剛開(kāi)始進(jìn)行應用安全轉型,還是正在逐步實(shí)現安全計劃的更新與增強,都應該盡量安全‘左移’,用基于數據的策略來(lái)修正此類(lèi)誤區,以改進(jìn)AppSec流程。”
新思科技《金融服務(wù)業(yè)的應用安全誤區與現實(shí)》現已上線(xiàn),可查看這里 https://www.synopsys.com/zh-cn/software-integrity/resources/ebooks/appsec-financial-services-myths-vs-reality.html下載。
- https://cybersecurityguide.org/industries/financial/
- https://www.infosecurity-magazine.com/news/financial-services-suffered-covid/
