作者:新思科技软件质量与安全部门销售总监兼管理顾问薛植元
很多金融机构会依赖防间谍软件、防病毒软件等来保护敏感信息。这是远远不够的。金融行业应该将网络安全建设的重点“左移”到软件开发之初。现在几乎所有的金融服务都是依靠软件运转的。但是金融服务行业在网络安全防护方面仍然需要更多投入,才能与时俱进。
新思科技网络安全研究中心(CyRC)对金融服务行业当前的软件安全实践进行独立调查(SS-FSI),调查报告发现金融服务机构已经意识到网络安全风险,他们认为应该投入更多资源以解决这些风险。
该报告的主要发现:
- 大多数金融服务机构为软件开发人员提供安全开发培训。但只有19%表示培训需要强制参与
- 大多数机构采用第三方金融软件和系统。他们担心这些产品的安全漏洞。但是只有差不多50%的受访者表示他们要求第三方供应商遵循网络安全要求或者提供验证结果
- 进行安全测试的机构,有很大一部分依赖渗透测试和安全补丁管理来确保技术安全。这两种测试当然是有用的,但相比采用多种测试工具,渗透测试和安全补丁管理还不足以在早期发现和修复漏洞以及将此安全实践贯穿在整个软件开发生命周期(SDLC)
- 只有少量金融机构采用软件组件分析(SCA)工具以识别和解决开源代码的漏洞。大部分受访者缺少代码清单,没有建立一个管理代码的流程
对此,新思科技有五个建议,以帮助金融服务机构提升数据安全,保护他们及客户的资产。
- 进行网络安全培训
首先,金融服务机构应该制定一个能够反映在每一个流程及商业决定上的网络安全政策。为员工提供培训,普及网络安全的最佳做法。比如,设定复杂的密码、妥善保存机密信息以及了解鱼叉式网络钓鱼等常见攻击。
- 遵循现有的合规要求,并了解即将颁布的法规,未雨绸缪
越来越多中国金融服务机构正在拓展海外市场,因此这些机构的产品不止要满足中国的合规要求,还需要考虑目标市场的行业要求以及现有和即将颁布的法规。而且金融机构也应该要求他们的供应商满足这些行业和法规的要求。
- 采用多种测试工具
没有任何一种单一的工具可以解决所有问题。自动化测试工具应包括动态应用安全测试、静态应用安全测试和交互式应用安全测试等。而且随着API应用越来越普遍,API安全测试工具对于金融服务机构来说也很重要。这些工具可以帮助开发人员更快地发现和修复漏洞,减少损失。
- 不要忽略开源组件
所有网络安全专家都会告诉你:如果你都不知道用了哪些组件,那网络安全就无从谈起。现在开发软件大多数要用到开源组件,开源带来便利等好处的同时,也伴随着风险。
《2020年开源安全和风险分析》报告(OSSRA)显示经过审计的代码库中,75%包含具有已知安全漏洞的开源组件,将近一半(49%)的代码库包含高风险漏洞,91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。OSSRA研究了由Black Duck审计服务团队执行的超过1,250个商业代码库。
金融服务机构必须审查第三方代码(包括内部开发的代码),以避免软件安全和法律层面的风险。SCA解决方案可以帮助金融服务机构管理整个软件供应链以及应用生命周期的开源应用。
- 强化系统
最后,但同样也很重要的是强化你的系统,将安全内置在软件中。这包括在软件构建之初就要对关键应用进行安全威胁建模和架构审查,以及在整个构建过程中进行有效的代码审查。
编者注:
2019年,新思科技网络安全研究中心(CyRC)委托数据安全中心Ponemon Institute对金融服务行业当前的软件安全实践进行独立调查,以了解该行业的态势及其解决安全相关问题的能力。
《2020年开源安全和风险分析》报告(OSSRA)于2020年5月发布。下载链接:https://www.synopsys.com/zh-cn/software-integrity/resources/reports/2020-open-source-security-risk-analysis.html?cmp=sig-pr