首頁 > IT業界 > 正文

漏洞非小事,金融服務機構如何對抗代碼缺陷?

2019-12-11 14:51:51  來源:互聯網

摘要:在全球金融行業數字化轉型與升級的大趨勢下,不論是傳統銀行業的聯網業務和手機銀行業務,還是移動支付、P2P金融乃至數字貨幣和區塊鏈,金融行業新技術和新應用層出不窮
關鍵詞: 金融服務
\
  在全球金融行業數字化轉型與升級的大趨勢下,不論是傳統銀行業的聯網業務和手機銀行業務,還是移動支付、P2P金融乃至數字貨幣和區塊鏈,金融行業新技術和新應用層出不窮,銀行業、證券業、保險業紛紛都開始依賴應用軟件進行業務的拓展及維護。面對日益激烈的商業競爭,市場不等待,也要求開發者縮短開發和創新的時間!而在快節奏的軟件開發環境中,由于代碼缺陷造成的軟件系統漏洞卻給推向市場的金融應用埋下了安全隱患。金融服務機構該如何應對這些威脅呢?
 
  金融機構應用安全漏洞
 
  2018年,金融行業漏洞數量增長趨勢勢頭不減,不論是漏洞的規模、出現的速度還是整體數量都給企業漏洞管理帶來極大挑戰。以互聯網金融為例,2018年,國家互聯網應急中心(CNCERT)對430個互聯網金融APP進行檢測,共發現安全漏洞1,005個,其中高危漏洞240個,明文數據傳輸漏洞數量最多有50個(占高危漏洞數量的20.8%),其次是網頁視圖(Webview)明文存儲密碼漏洞有48個(占20.0%)和源代碼反編譯漏洞有31個(占12.9%)。這些安全漏洞可能威脅交易授權和數據保護,存在數據泄露風險,其中部分安全漏洞影響應用程序的文件保護,不能有效阻止應用程序被逆向或者反編譯,進而使應用暴露出多種安全風險。
 
  從業務發展的角度,安全漏洞帶給金融機構,包括銀行業、證券業、保險業及互聯網金融等的風險不言而喻。以銀行業為例,安全牛發布的《2018年第二季度中國銀行業網絡風險報告》發現,53%的銀行機構存在安全漏洞,其中最為普遍的為CVE安全漏洞,其在整個軟件開發生命周期(SDLC)內從設計、編碼到上線運行各個環節都可能造成安全漏洞。這些漏洞—旦被利用,便可能會造成嚴重的信息泄露或者系統故障,給用戶和銀行機構帶來不可挽回的經濟損失,近期發生的Capital One 銀行數據泄漏事件正是一個警鐘!
 
  除此以外,漏洞威脅的版圖也在時時發生變化,這也給金融服務機構的信息安全帶來了極大的挑戰。Freebuf 《2018金融行業應用安全態勢報告》顯示,“與去年相比,不論是漏洞類型、數量還是威脅程度都有了較大的變化……從漏洞數量來講,互聯網金融明顯少于傳統金融,但從漏洞利用難易度來看,互聯網金融顯得更為脆弱。金融機構遭遇的熱門漏洞按照威脅程度排行,命令執行、SQL注入及弱口令排名靠前;從數量上來看,邏輯漏洞、命令執行和XSS漏洞分列前三。”
\
 
  圖片數據來源于Freebuf 《2018金融行業應用安全態勢報告》
 
 
  從理論上講,任何計算機系統都有漏洞,它們存在于操作系統或組件中,這些漏洞一旦遭受病毒攻擊或者黑客利用,便可能導致數據信息泄露等安全風險。而隨著構建在信息系統之上的各種金融服務軟件應用的不斷豐富,軟件和信息系統復雜程度的不斷提高,系統代碼中隱藏漏洞或者后門的各種安全隱患也越來越多,并且通常難以被及時發現修復。
 
  金融服務機構該如何應對這些威脅?
 
  我們看到,盡管所有企業都部署了大量的安全產品,例如EDR、ADS、IPS等等,攻擊者依然能夠輕易的突破層層防線,復雜的攻擊每天都在上演。IPS規則可以檢測并阻斷已知攻擊,但攻擊者能夠利用漏洞更改或繞過安全規則,攻擊業務服務器或數據庫服務器,防御新型攻擊比以往更加艱難。單一的安全工具已無法解決金融機構當前復雜的威脅態勢。
 
  幾乎所有金融機構從業人員都認同,面對如此嚴峻的安全形勢,必須加強安全防范意識來保護企業及用戶的信息和財產安全,他們同時承認,出于缺乏應用程序安全專業知識、對成本的擔憂以及對軟件開發生命周期早期安全流程可能會阻礙開發和市場響應速度的擔心,大多數金融機構總是在軟件發布后才進行漏洞評估。現實是,現階段嚴格遵循安全開發流程的金融機構不超過10%。
 
  但導致軟件漏洞的最常見因素也正是在開發過程中過晚地執行漏洞測試!安全專家指出,面對漏洞威脅,最關鍵、最根本的舉措之一就是改變金融機構現有的安全理念和措施,執行安全專家十多年來一直在建議的事情:“左移測試”。換個通俗的說法,也就是說“不要等到最后!”從一開始到整個開發過程都將安全性納入軟件開發中,將安全需求列為項目導入前期開發流程,從全局統籌,以安全賦能業務開發與實現。
 
  事實上,正如我們之前一直所強調的:沒有任何單一的方法、工具或服務可以確保任何銀行等金融服務業的絕對安全,遠離漏洞威脅。從軟件開發生命周期的角度出發,這需要使用多個自動化工具,這些工具可以幫助開發人員在軟件開發前期找到并修復錯誤,而不是在產品上線后花費大量時間和金錢進行修復,或者在市場上的產品由于被黑而需要緊急補丁時再亡羊補牢。重要的是我們必須認識到,戰勝漏洞威脅沒有“萬能工具”,檢測與防護漏洞需要多種自動化工具互相補充,每種工具尋找特定的軟件缺陷(例如開源組件),或者以不同的狀態(靜態、動態和交互)測試軟件代碼。正如安全專家經常說的,或許我們不可能使得組織變得完全防彈,但通過更早地將安全需求集成于軟件開發生命周期的整個流程中,輔以適當的自動化開發工具,我們能更容易檢測到攻擊者,使他們更難以破壞組織,從根本上增強軟件的安全性。
 
  錨點
 
  關于作者
 
  梁宇寧先生是鑒釋的聯合創始人兼首席執行官,他的技術背景包括嵌入式系統、平臺APIs和計算機視覺(人工智能領域)等。鑒釋成立于2018年,致力于通過使用高級靜態分析技術幫助客戶降低成本,提高生產力,并確保其軟件開發人員具備相應的能力以開發更好、更可靠的軟件。在創立鑒釋前,梁宇寧先生在世界500強企業(包括三星、諾基亞、華為)和初創科技公司領導軟件開發工作,他擁有超過二十年的軟件開發和管理經驗,對全球科技和軟件安全行業有深刻的行業洞見。

第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:chenjian
体彩排列3试机号 足球比分直播即时比分中国足彩网比分直播 真人麻将注册平台网址 幸运飞艇开奖记录 股票融资杠杆比例 济南沐足论坛交流 麻将来了cdkey在哪领 陕西11选5开奖结 2010年茅台股票行情 2013中甲比分直播 特工简.布隆德归来 足彩大赢家比分 湖北十一选五 南洋股份东方财富股吧 5252一本道影片快播 澳洲幸运10微信群 竞彩篮球大小分