【 讯】根据统计,平均一个严重的数据泄露问题,都会导致百万美元级别的损失,2019年的数据泄露平均损失高达586万美元。可以看出,在金融行业里面如果出现安全问题,最直接的就是经济损失,而且还非常的大。在安全领域有一个说法是将金融公司分为两类,一类是已经遭受了安全攻击的,一类是即将遭受安全攻击的,黑客并不会管金融公司的规模有多大或者有多小,只要你存在相应的漏洞就会被无情的攻击。
由于目前金融的技术栈使用的越来越复杂,迭代的越来越快,代码量越来越大,所以向外暴露的接口就越来越多,给漏洞攻击者也留下了更多利用漏洞的机会。而且,随着这两年疫情爆发之后,安全问题有进一步恶化的趋势。
新思科技软件质量与安全部门高级安全架构师杨国梁
近期,新思科技发布了聚焦于金融应用安全问题的报告《金融服务业的应用安全:误区与现实》。新思科技软件质量与安全部门高级安全架构师杨国梁,结合该报告的内容深度解答了金融服务应用如何应对越来越多的安全挑战,并介绍了新思科技在这一领域的相关应对措施。
金融行业 十面“黑”伏
杨国梁首先强调了金融行业的特殊属性。这种特殊突出表现在金融服务市场估值高。2019年,全球金融市场估值高达22万亿美元,因此金融市场往往成为网络攻击者首要的攻击目标。
金融公司的漏洞被利用的机会也越来越多。黑客对金融公司的攻击是无差别的,并不会计较于其规模大小。目前金融使用的技术栈越来越复杂,迭代地越来越快,代码量越来越大,向外暴露的接口越来越多,为漏洞攻击者留下了更多利用漏洞的机会。
新冠疫情爆发之后使安全问题有进一步恶化的趋势,传统的供应链管理在转成线上之后可能会出现一些纰漏,此外疫情还导致预算和资源受限、安全培训缺乏等问题。
杨国梁还宣布称,BSIMM11(软件安全构建成熟度模型第十一版)已于2020年10月发布,该模型基于从130家企业中观察到的数据直接构建而成,观察、评估和描述企业的SSI真实的状态,BSIMM12预计于2021年第四季度发布。
安全误区 镜花水月
《金融服务业的应用安全:误区与现实》报告使用BSIMM11报告中的研究数据揭示了七大误区,杨国梁给出了相应的指导建议:
第一个误区:“金融服务公司是安全的,因为他们必须安全。”
经过新思科技的调查显示有50%的金融公司由于不安全的软件而遭遇数据盗窃;76%的公司表示很难在上市前检测出金融软件系统中的安全漏洞。
同时只有34%的其他金融类软件经过安全漏洞测试,只有45%的金融服务公司认为他们有足够的预算来应对安全风险。因此,金融服务公司不仅存在漏洞,而且并没有足够的能力、预算、技术、应用来消除漏洞保证安全。
第二个误区:“金融软件不同于其他软件,因此无法改变。”
杨国梁指出,目前的金融已经不再是过去传统的花一年甚至更长时间来编写一个系统再上线,其开发和其他所有的软件其实越来越趋同,各金融公司都会朝DevOps进而DevSecOps方向演进,面临的安全问题其实是一样的,因此在这个维度上金融软件并无特殊性。
第三个误区:“小型金融公司和大型金融服务公司在应用安全上面可能会有差别。”
对此杨国梁强调,金融机构即使体量再小,对黑客来讲也是一个足够有吸引力的目标。而且越来越多的黑客都是通过自动化的攻击脚本去挖掘潜在的漏洞,以自动化的攻击方式去找有弱点的系统。
不管是自行研发还是直接购买,现阶段都会大量地利用开源组件如常用的第三方商业组件。而这些组件一旦出了问题,无论金融机构的规模大小,系统都会出问题,并且最终的责任一定是落在对消费者直接提供服务的金融机构身上。
第四个误区:“业界人员或技术人员可以控制所部署的软件中的所有内容。”利用审计工具Black Duck,新思科技发现软件开发过程中调用组件的同时,被调用的组件又去调用了其他的组件,形成了一长串的依赖关系,而这些跨层的依赖关系对于开发人员来说往往是不可见的。
当软件打包运行时,如果间接调用的组件出了安全漏洞系统一样是危险的。而在云环境下相关部件编排的技术栈会涉及更多,因此运维的风险会更大。
第五个误区:“确保云安全是云运营商和所有者的工作。”
杨国梁指出,一旦出了安全问题,客户找到的一定是金融机构自身,而不会直接去追究提供云服务的运营商。
对于一个金融机构来讲,确保安全问题是金融机构本身的责任之一。为了运行安全的部署,金融机构的安全团队必须将安全的容器,安全打包好的可运行的内容部署到云端。
第六个误区:“具备渗透测试、门禁测试和最后一步安全便足够。”
新思科技的行业经验表明,在软件中发现的所有缺陷中有50%是架构缺陷,渗透测试无法检测到这些缺陷。
第七个误区:开发人员可以根据经验自学应用安全技能。
新思科技的调研报告显示只有38%的金融服务公司员工具备保护软件所需的网络安全技能;25%的员工根本没有接受过安全培训,但仍然肩负着AppSec的责任,因此杨国梁认为安全培训仍是十分必要的。
新思方案 枕戈待旦
新思科技针对以上提到的安全风险,给出了应对方案。杨国梁介绍,针对金融类的应用安全,新思科技的BSIMM软件安全构建成熟度模型可以被用于参考同行、竞争对手的安全建构方案用以指导自身的安全维护。
新思科技在整个金融机构DevOps向DevSecOps转型中有着丰富的经验。同时还可托管渗透测试,对于一些可暴露在外API、URL等可通过新思科技提供的安全测试业务来保证。
新思科技每年还会发布《开源安全和风险分析》报告,在报告中会发布各行各业使用的开源组件的代码。新思科技可帮助金融机构梳理软件资产,识别开源组件的使用,实时监控开源组件产生的安全漏洞并提供修复建议,还会提供提升软件整体安全性计划性方案。
最后新思科技还提供线上线下各种按需的软件安全培训,帮助金融应用的安全性。
杨国梁在接受 采访时一再强调,金融机构想要确保应用安全一定要做到“安全左移”,即尽量做预防性的安全活动,在更早的阶段就做相应的安全测试。
杨国梁表示,新思科技在整个研发阶段,不管是依靠经验还是依靠白盒工具Coverity静态应用安全测试这样的工具,都有受到市场广泛认可的服务和产品的提供。不管是购买标准软件和自研软件,或是选择私有云、公有云、混合云、多云的服务,新思科技都有相应的安全服务团队协助,从而一定程度上保证金融机构的应用安全。(文/徐培炎)