七大误区 新思科技解读金融服务业AppSec现状 原创

当下，金融行业的数字化转型进程不断提速，不管是已有应用的改造还是创新的互联网应用，软件的安全问题是至关重要的。

特别是为了转变AppSec实践并简化DevOps开发模型，金融服务业一直在努力实施可扩展并能紧跟需求变化的工具和流程。管理和维护开源代码的复杂性、云原生架构和相关微服务的应用都给这项工作的开展增加了难度。

在此背景下，新思科技推出了《金融服务业的应用安全：误区与现实》报告，该报告基于BSIMM11和独立调研机构Ponemon的金融服务业的具体数据调查，详细分析了金融服务行业应用安全的七大误区。

金融服务业应用安全背景

由于金融行业市场估值高，所以其往往成为网络攻击者首要的攻击目标。有数据统计显示，一个严重的数据泄露问题可以导致百万美元级别的损失。

新思科技软件质量与安全部门高级安全架构师杨国梁说，目前金融服务机构的技术栈越来越复杂，迭代的越来越快，代码量越来越大，向外暴露的接口越来越多，给漏洞攻击者也留下了更多利用漏洞的机会。

尤其是后疫情时代，安全问题有进一步恶化的趋势。例如由于金融服务的线上化，传统的供应链管理风险也会暴露出来；疫情造成的预算减少也限制了安全投入；缺乏安全培训导致安全攻击进一步严重。

解读七大误区

正是金融服务业面临如此严峻的安全挑战，他们需要高度重视安全问题。在新思科技看来，金融服务业存在七大误区。

误区一：金融服务企业是安全的，因为他们必须安全

新思科技委托Ponemon Institute开展的《金融服务业的软件安全状况》独立研究显示，50%的金融服务公司由于不安全的软件而遭遇数据盗窃；76%的公司表示很难在上市前检测出金融软件系统中的安全漏洞。只有34%的其他金融类软件经过安全漏洞测试，这还不包括渗透测试，而只有45%的金融服务公司认为他们有足够的预算来应对安全风险。

杨国梁表示，根据此调研，大家可以看到现实状况是金融服务企业的系统是有漏洞的，但是他们没有足够的能力、预算，甚至没有足够的技术保障应用安全。

误区二：金融软件不同于其他软件（因此无法改变）

许多金融服务企业仍然认为他们的软件与其它类型的软件存在本质上的区别，但是事实是金融企业的应用开发和其他所有的软件其实越来越趋同，转向DevOps甚至DevSecOps方向演进。这样大家所面临的安全问题其实都是一样的，也就不存金融行业比其他行业更安全或者更不安全的问题。

误区三：小型金融服务企业的AppSec需求有别于大型金融服务企业

杨国梁说，金融机构即使体量再小，对黑客来讲也是一个足够有吸引力的目标。而且从技术的角度来说，黑客越来越多地通过自动化的攻击脚本挖掘潜在的漏洞和有弱点的系统，这并不区分大银行还是小银行。

所有的金融服务企业，无论规模大小，都依赖于开源软件和软件供应链——即使是那些自己开发软件的企业。客户对小银行和大银行的安全要求是一样的。因此，所有的银行都有责任实施可靠而全面的AppSec策略，并了解其安全风险状况。

误区四：企业可以控制所部署的软件中的所有内容

许多金融服务企业都认为，他们对其部署的软件中的所有组件和元素非常了解。但是，了解软件堆栈中的所有内容并不代表全面了解——甚至比较全面地了解——它们在生产环境中的表现。

现在所有的金融服务企业都在使用各种形式的开源软件，覆盖广泛的AppSec活动和环境。从Docker和Kubernetes，到供应链、云部署和共担责任模式，金融企业需要了解环境中的所有代码和每个组件。

误区五：确保云安全是云运营商和所有者的工作

目前绝大多数金融类服务都会采用云服务的形式。金融服务企业以为云安全是云运营商和所有者的责任，通常基本或根本不会采取任何措施来保护其云部署。

实际上，确保云安全是企业本身的责任，能否确保部署安全仍然取决于企业的内部AppSec计划。为了运行安全的云部署，安全团队必须将安全的容器部署到云端。

此外，金融服务企业还要负责整体的安全最佳实践、身份和访问管理以及加密安全。如果没有内部安全活动，云部署也许可以正常工作，但肯定不安全。

误区六：具备渗透测试、门禁测试和最后一步安全便足够

虽然渗透测试确实能在应用安全方面起到关键作用，但仅开展渗透测试是不够的。需要强调的是，AppSec必须内置，并将安全“左移”，在软件开发生命周期（SDLC）早期就将安全考虑在内。

误区七：开发人员可以根据经验自学AppSec技能

Ponemon报告显示，只有38%的金融服务企业的员工具备保护软件所需的网络安全技能。25%的员工根本没有接受过安全培训，但仍然肩负着AppSec的责任。

金融服务企业往往缺乏开展重要安全活动所需的资源。开发人员需要多长时间才能成为安全专家的问题以及缺乏用技能评估架构和指标的问题，都构成了安全上的危险缺口。

应对之策

针对金融服务企业出现的这些问题，新思科技提供了全面的解决方案，比如BSIMM软件安全构建成熟度模型、DevSecOps最佳实践、托管渗透测试、Black Duck SCA软件组件分析 、软件安全培训等。

杨国梁认为，优质的工具软件能够确保AppSec，而这种工具本身性能可靠，能够经得起大规模的工程化的应用，结果的准确性也要有保障，让开发人员能够易接受。除了工具，人员的培训与制度的设计也非常重要。

金融服务企业无论是刚刚开始进行应用安全转型，还是正在逐步实现安全计划的更新与增强，都应该尽量安全“左移”，用基于数据的策略来修正此类误区，以改进AppSec流程。

企业应该更多的把精力投放在整个应用开发的过程中，确保需求、设计、实现、测试各个环节的安全，提升整个安全水准，而不光是纯结果导向的驱动安全。