C114讯 9月16日专稿(蒋均牧)大数据时代,数据安全往往与企业的生存与发展休戚相关,对金融机构而言更是如此。然而,尽管各国都已出台了相关的法案、金融服务业也已在该领域倾注了大量的资源,现实却不容乐观。
新思科技(Synopsys)最近发布的、由数据安全中心Ponemon Institute独立调查完成的《金融服务业软件安全状况》报告显示,超过一半受访机构曾由于不安全的金融服务软件和技术而导致客户敏感信息被盗或系统故障及停机。此外,许多机构难以管理其供应链的网络安全风险,且无法在软件发布前正确评估其安全漏洞。
在一场小规模的媒体采访中,新思科技软件质量与安全部门(SIG)高级安全架构师杨国梁对该报告进行了解读。他指出,软件安全是整个数据生命周期安全保障的重要一环,随着技术的快速发展和环境的日益复杂,软件安全已经到了迫切需要解决的阶段。而在改进手段上,技术/工具、人员、流程三方面需要齐头并进。
金融服务业软件安全现状堪忧
作为大部分企业的核心资产之一,规模庞大的数据无疑是座金矿,在黑客眼中亦价值惊人。实际上,金融服务业的数据泄露事故也已屡见不鲜。2017年9月,美国征信巨头Equifax爆出数据遭黑客窃取而影响到1.42亿美国用户;2018年10月,美国汇丰银行网银账户遭到攻击导致1%美国用户个人信息被泄露;今年7月底,美国第七大银行Capital One也承认数据泄露影响到超过1亿北美用户。
如此一而再再而三的泄露事件引发了业界反思。通过对来自银行、保险、抵押贷款/处理和经纪等金融服务业各个领域的400多名IT安全从业人员的访问,《金融服务业软件安全状况》罗列了11种由不安全的金融服务软件和技术导致的负面业务影响。由此可见,提高软件安全方面的关注与投入已刻不容缓。
杨国梁分享道,报告重点发现包括——多数金融服务行业机构无法有效防止网络攻击。据56%的受访者称,由于不安全的金融服务软件和技术,他们的机构遭遇过系统故障;超过一半(51%)表示客户的敏感信息被盗。毫不意外的是,调查显示更多机构在检测(56%)和控制(53%)网络攻击方面充满信心,而在从源头防止攻击方面则较弱。
许多机构难以管理其供应链的网络安全风险。几乎四分之三(74%)的受访者关注或极其关注第三方软件系统的安全性。除此之外,只有43%的受访者表示他们要求参与金融软件技术开发过程的第三方验证其安全实践。以及,只有43%的受访者表示他们有既定的流程来编目和管理软件产品中的开放源代码。
金融服务机构无法在软件发布前正确评估其安全漏洞。虽然大多数金融机构遵循安全软件开发生命周期流程,但是平均而言,金融机构仅对34%的金融软件/技术进行网络安全漏洞测试。此外,即使是对金融软件/技术进行网络安全漏洞测试,只有48%的受访者表示这项活动是在SDLC流程的软件预发布阶段开展,例如需求和设计阶段或开发和测试阶段。
工具、人员、流程三方面需齐头并进
从报告可以看到,当金融科技越来越深刻地嵌入到每一项金融服务业务中,传统互联网上遭遇的攻击风险变成了金融机构所面临的。在将资源投入杀毒软件、防火墙这样的“硬手段”的同时,通过检测并解决应用层已知及未知安全漏洞来进行主动的风险控制亦极为重要。
被权威独立调研机构Gartner连续三年在Gartner魔力象限应用安全测试中评为领导者的新思科技,即是这方面的佼佼者。杨国梁告诉C114,针对开源软件及第三方组件、自研代码、程序运行等各个环节中的漏洞和缺陷,该公司均能提供全面的、行业领先的安全测试工具和解决方案,以帮助开发团队更快地找到并修复。
在新思科技看来,工具、人员、流程是保障软件安全的三大要素,仅仅解决了工具的问题依然不够。针对人员,需要提升安全意识、提供安全培训;针对流程,目前普遍侧重的是比较“硬核”的部分,前期的安全要求、安全规划往往不那么引人注目,但同样存在许多问题。
“世界二十强的金融机构中,大部分都与新思科技有过合作。我们不仅提供工具,还提供包括咨询服务和安全培训、安全编码规范、安全架构设计在内的一整套专业服务。在更多其他行业中,比如高科技、云、互联网有着大量合作经验,可以输出如何设计开发生命周期、是否有特殊的地方,如何才是最符合你的商业模式的将安全考虑进去的开发模式和流程。”杨国梁说。
在金融服务业的一个最新案例来自新思科技旗下的黑鸭(Black Duck)。NorthEdge Capital是一家l在英国利兹、曼彻斯特和伯明翰都设有办事处,管理着6.5亿英镑的私募股权基金,旨在降低英格兰北部和中部地区的中低收购和开发资本交易。它采用了黑鸭的审计服务进行开源审计,以识别可能影响公司出售Utiligroup出现的潜在问题。后者是是英国一家能源技术供应商,曾获得NorthEdge的投资。
“黑鸭的软件组成分析(SCA)方案是我们现在在金融服务业软件安全方面比较成功的产品,今年年底前就能实现一个漏洞被爆出后一个小时内入库,从而可以针对已知漏洞的软件反向去查有多少产品用了这个软件。”杨国梁补充道。 
