尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
IT時報見習記者 黃建
在8月28日的媒體會上,新思科技(Synopsys)分享了近期發布的《金融服務業軟件安全狀況》報告,該報告對來自銀行、保險等金融服務行業各個領域的400多名IT從業人員進行了調查,重點呈現了金融服務業的軟件安全現狀及解決安全問題的能力。報告指出,第三方代碼的供應鏈問題成金融服務業軟件安全的主要風險地,只有三成機構可以做到安全預防,60%的機構在通過安全補丁來修補安全漏洞,金融服務業軟件安全整體形勢嚴峻。
一半以上受訪機構的信息曾被盜,只有三成可以做到有效預防
由於不安全的金融服務軟件和技術,許多金融機構都曾遭受過系統故障、信息被盜、客戶流失、被罰款等各種問題。報告指出,56%的受訪者表示他們的機構遭遇過系統故障,超過一半(51%)表示客戶的敏感信息曾被盜,接近四成的機構曾遇到勒索軟件等敲詐行為。
而在預防、檢測和控制網路攻擊方面,雖然大部分機構可以做到有效監測和控制攻擊,超過一半的受訪者認為滲透測試、動態安全測試是降低網路安全風險最有效的活動,但只有3成左右的機構可以做到有效預防,60%的受訪者表示他們的機構在通過安全補丁來修補安全漏洞。
七成代碼來自第三方,供應鏈問題成金融服務業軟件安全主要風險之一
雖然大部分金融服務業機構都在開發自己的軟件和系統,但越來越多的機構已經開始依賴第三方獨立提供商來交付最新技術。據新思科技軟件質量與安全部門高級安全架構師楊國梁透露,有些機構的軟件代碼有七八成來自於開源和第三方組件。
報告指出,近四分之三的受訪者表示十分擔心第三方軟件供應商會帶來安全漏洞。
但對於如何確保第三方開發人員遵循安全要求,只有不到一半的機構要求第三方軟件供應商遵循特定的網路安全要求或驗證其安全實踐。只有23%的受訪者表示會直接對第三方進行安全評估,大部分受訪者機構都是要求參與開發的第三方進行自我評估。
安全不僅僅是技術問題 也是人和流程的問題
楊國梁認為,金融服務業的軟件安全問題歸根到底還是人、技術、流程的問題。
應用程序中的漏洞主要是第三方、自研、運行時環境的漏洞,盡管在技術層面有SCA(軟件組成分析)等方法可以對第三方開源代碼及二進制包進行檢測,使用代碼審查、SAST(靜態應用安全測試)等方法對自研代碼檢測,對運行時使用滲透測試、動態測試、交互式安全測試等方法檢測,但人、流程的問題依然嚴峻。
報告指出,雖然有75%的機構為軟件開發人員提供安全開發培訓,但32%的受訪者表示這是可選的,只有19%表示培訓需要強制參加。
而對於是否遵循安全軟件開發生命周期流程(SSDLC),74%的受訪者表示其機構內部(23%)、外部(31%) 或兩者(20%)都遵循SSDLC 流程。但是,平均而言,金融機構僅對34% 的金融軟件技術進行網路安全漏洞測試。
從檢測漏洞到預防漏洞 新思科技提供全流程安全保障
報告指出,將安全問題「左移」,有助於軟件開發生命周期早期就已經將安全考慮在內,可以從檢測漏洞轉變為預防漏洞。對此,新思科技提供Black Duck SCA、托管滲透測試、DevSecOps、軟件安全構建成熟度模型 (BSIMM)、成熟度升級方案 (MAP) 、軟件安全培訓等一整套的工具和服務,保障整個軟件開發生命周期的問題。
Black Duck SCA(軟件組成分析)可以監測第三方代碼並進行安全漏洞修復,從漏洞發現到入庫,只需要1個小時。托管滲透測試則可以消除業務邏輯和API中存在的漏洞,DevSecOps在DevOps工具和流程中集成安全測試,軟件安全構建成熟度模型 (BSIMM) 和成熟度升級方案 (MAP) 則為當前及未來軟件提供維護保障,軟件安全培訓可以為機構提供安全人員培養計劃。
據楊國梁透露,新思科技一直與華為等國內多家公司保持合作。作為應用安全領域的佼佼者,新思科技連續三年在Gartner魔力象限報告中被評為應用安全測試主管者。
>新思科技發布金融軟件安全報告:3/4的機構擔心第三方代碼問題