<cite id="fhfbp"><video id="fhfbp"></video></cite>
<var id="fhfbp"></var><cite id="fhfbp"></cite>
<menuitem id="fhfbp"><dl id="fhfbp"><progress id="fhfbp"></progress></dl></menuitem>
<var id="fhfbp"><video id="fhfbp"><thead id="fhfbp"></thead></video></var>
<cite id="fhfbp"><video id="fhfbp"></video></cite>
<var id="fhfbp"></var>
<menuitem id="fhfbp"><strike id="fhfbp"><listing id="fhfbp"></listing></strike></menuitem>
<var id="fhfbp"></var>
<var id="fhfbp"><strike id="fhfbp"><listing id="fhfbp"></listing></strike></var><var id="fhfbp"></var><cite id="fhfbp"><span id="fhfbp"><var id="fhfbp"></var></span></cite> <var id="fhfbp"><strike id="fhfbp"></strike></var>
<var id="fhfbp"></var>
<cite id="fhfbp"></cite>
<cite id="fhfbp"><span id="fhfbp"><var id="fhfbp"></var></span></cite>
<cite id="fhfbp"></cite>
首頁|滾動|國內|國際|運營|制造|監管|原創|業務|技術|報告|測試|博客|特約記者
手機|互聯網|IT|5G|光通信|LTE|云計算|芯片|電源|虛擬運營商|移動互聯網|會展
首頁 >> 技術 >> 正文

新思科技解讀金融服務業應用程序安全的七大誤區

2021年8月2日 11:11  CCTIME飛象網  

飛象網訊 人們常常由于一些固有的觀念而產生誤解,比如金融服務業如果不安全,那么將會損失重大,所以他們推向市場的產品一定是安全的;蛟S大家應該先聽聽另一種說法,金融服務企業分兩種類型:一種是曾經遭受過網絡攻擊;另一種是將會被攻擊。這不是危言聳聽,因為巨大的利潤使得金融服務行業經常成為黑客首選的攻擊目標。2019年,全球金融服務市場估值高達22萬億美元。疫情爆發的第一年,超過70%的金融服務企業都遭遇了網絡攻擊。

新思科技軟件質量與安全部門亞太區客戶服務總監Ian Hall指出:“這是金融服務企業面臨的現實。為了轉變AppSec實踐并簡化DevOps開發模型,企業一直在努力實施可擴展并能緊跟需求變化的工具和流程。管理和維護開源代碼的復雜性、云原生架構和相關微服務的應用都給這項工作的開展增加了難度。此外,錯綜復雜的供應鏈使得企業很難全面了解其風險狀況!

盡管如此,因為金融服務行業的性質,許多人認為這個行業應該非常安全。以下是新思科技(Synopsys)使用2020年度“軟件安全構建成熟度模型”(BSIMM)報告中的研究數據來揭示并解釋金融服務行業安全的七大誤區。

誤區一:金融服務企業是安全的,因為他們必須安全

這種看法并不是基于證據或數據,而是基于這樣一種信念:金融服務企業作為用戶敏感數據的看門人,必須是安全的。

由于該行業受到嚴格監管,因此,金融服務企業往往非常善于保持合規性,從而導致安全主管和客戶很容易產生錯誤的安全感。但如果他們不能仔細檢查安全實踐在合規范圍外的表現,長期以往也會出現問題。

事實上,金融服務企業并沒有那么安全。新思科技近期委托Ponemon Institute開展了一項名為《金融服務業的軟件安全狀況》的獨立研究,凸顯出人們對金融服務安全性的誤解。報告發現,50%的金融服務企業由于不安全的軟件而遭遇數據盜竊。

誤區二:金融軟件不同于其他軟件(因此無法改變)

許多金融服務企業仍然認為他們的軟件與其它類型的軟件存在本質上的區別,因此無法做出改變。他們認為企業負擔不起朝著DevOps做出重大轉變的費用,也無法無條件地信任瀑布式方法等公認的最佳實踐。他們的看法是,過去有效的方法未來將繼續奏效。

其實金融軟件的編寫、管理和測試方式與其它軟件大同小異。過時的開發模式會限制開發速度并阻礙上市速度。拒絕適應現代軟件環境的企業遲早會落伍。

誤區三:小型金融服務企業的AppSec需求有別于大型金融服務企業

有人誤認為,小銀行和大銀行對AppSec和相對安全級別有著不同的需求。小銀行通常是購買軟件,而大銀行則是自己開發軟件。有人認為當購買軟件時,確保安全性的責任便落在了供應商而不是購買者身上。此外,他們還認為小銀行使用的軟件不同于大銀行,這種錯誤觀點常常導致重要的安全實踐活動被忽視。更令人不安的是,許多規模較小的銀行認為自己的規模太小,不可能成為攻擊目標。

所有的金融服務企業,無論規模大小,都依賴于開源軟件和軟件供應鏈——即使是那些自己開發軟件的企業?蛻魧π°y行和大銀行的安全要求是一樣的。因此,所有的銀行都有責任實施可靠而全面的AppSec策略,并了解其安全風險狀況。

誤區四:企業可以控制所部署的軟件中的所有內容

許多金融服務企業都認為,他們對其部署的軟件中的所有組件和元素非常了解。但是,了解軟件堆棧中的所有內容并不代表全面了解—— 甚至比較全面地了解 —— 它們在生產環境中的表現。即便是大型金融服務企業也陷入這個誤區之中。

要知道,您所擁有的是不完整的視圖,F在所有的金融服務企業都在使用各種形式的開源軟件,覆蓋廣泛的AppSec活動和環境。從Docker和Kubernetes,到供應鏈、云部署和共擔責任模式,您需要了解環境中的所有代碼和每個組件。準確了解正在部署的內容及其安全狀態是至關重要的。

誤區五:確保云安全是云運營商和所有者的工作

就像對待第三方責任的態度一樣,金融服務企業通常認為,在云安全問題上,有人可以“代勞”。金融服務企業以為云安全是云運營商和所有者的責任,通;净蚋静粫扇∪魏未胧﹣肀Wo其云部署。

實際上,確保云安全是企業本身的責任。GitHub、GitLab和其它各色云服務提供者都在努力保護用戶的云部署。然而,能否確保部署安全仍然取決于貴企業的內部AppSec計劃。為了運行安全的云部署,安全團隊必須將安全的容器部署到云端。此外,金融服務企業還要負責整體的安全最佳實踐、身份和訪問管理以及加密安全。如果沒有內部安全活動,云部署也許可以正常工作,但肯定不安全。

誤區六:具備滲透測試、門禁測試和最后一步安全便足夠

金融服務企業往往認為,開展滲透測試就足夠了。這種測試的方法簡易,再加上資源匱乏問題,很多企業誤以為已經在現有條件下做到了最好。

需要強調的是,AppSec必須內置。雖然滲透測試確實能在應用安全方面起到關鍵作用,但僅開展滲透測試是不夠的。新思科技的行業經驗表明,在軟件中發現的所有缺陷中有50%是架構缺陷,滲透測試無法檢測到這些缺陷。金融服務企業需要采用深度架構風險分析(ARA)實踐或威脅建模方法來識別這些重大風險。

誤區七:開發人員可以根據經驗自學AppSec技能

金融服務企業往往缺乏開展重要安全活動所需的資源。盡管如此,他們仍然相信只要有足夠的時間和自學經驗,開發人員便可以滿足整個軟件開發生命周期中的任何安全需求。

這種學習方式也許適用于少數開發人員,但在學習過程中產生的不良后果會給企業帶來風險。開發人員需要多長時間才能成為安全專家的問題以及缺乏用技能評估架構和指標的問題,都構成了安全上的危險缺口。

然而,安全培訓是必要的。Ponemon報告顯示,只有38%的金融服務企業的員工具備保護軟件所需的網絡安全技能。25%的員工根本沒有接受過安全培訓,但仍然肩負著AppSec 的責任。

新思科技軟件質量與安全部門高級安全架構師楊國梁總結道:“越來越多的金融服務機構都使用App來開展業務。但是便利性和安全隱患共生,軟件安全問題不能小覷,比如高危漏洞、惡意程序或者使用第三方SDK時引入的安全風險等。金融服務企業無論是剛剛開始進行應用安全轉型,還是正在逐步實現安全計劃的更新與增強,都應該盡量安全‘左移’,用基于數據的策略來修正此類誤區,以改進AppSec流程!

新思科技《金融服務業的應用安全誤區與現實》現已上線,可點擊這里下載。

1.       https://cybersecurityguide.org/industries/financial/

2.       https://www.infosecurity-magazine.com/news/financial-services-suffered-covid/

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業信息,本站只提供參考并不構成任何投資及應用建議。如網站內容涉及作品版權和其它問題,請在30日內與本網聯系,我們將在第一時間刪除內容。本站聯系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯系方式,進行的“內容核實”、“商務聯系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權。
相關新聞              
 
人物
中國信通院王志勤:新階段新機遇,5G應用揚帆遠航
精彩專題
專題報道丨2020年世界電信和信息社會日
專題報道丨山至高處人為峰,中國5G信號覆蓋珠穆朗瑪
專題報道丨助力武漢"戰疫",共鑄堅強后盾
2019年信息通信產業盤點暨頒獎禮
CCTIME推薦
關于我們 | 廣告報價 | 聯系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網 CopyRight © 2007-2021 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務業務經營許可證080234號 京公網安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經書面許可,禁止轉載、摘編、復制、鏡像
亚洲性人人天天夜夜摸_欧美日韩国产无线码高清_尤物免费av在线观看不卡_污污的网站_艳妇交换俱乐部_老bbwbbwbbwbbwpics