近年來,得益于云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)的發(fā)展,金融服務(wù)也更加多樣、便利及智能。與此同時,由于巨額的利益驅(qū)使,金融服務(wù)行業(yè)成為了網(wǎng)絡(luò)攻擊的重點對象。如何做到更有效的安全防護成為業(yè)界的關(guān)注點。
金融服務(wù)機構(gòu)經(jīng)常部署復(fù)雜的應(yīng)用程序,與采用不同語言的分布式地理信息系統(tǒng)連接。它們通過多種協(xié)議進行通信,其中一些使用的是多個平臺提供的免費開源軟件。
這種復(fù)雜性使金融服務(wù)機構(gòu)的網(wǎng)絡(luò)面臨更多漏洞。更糟糕的是,市場壓力迫使軟件行業(yè)要更快交付產(chǎn)品。在急于完成一個軟件時,安全流程極有可能就被忽視了。
金融行業(yè)是黑客的重點攻擊對象之一,從ATM攻擊、DDoS攻擊、勒索軟件到APT攻擊等,犯罪手段層出不窮。
為了防患于未然,我們可以探討一下哪種防范方式更有效,能保護金融服務(wù)機構(gòu)、應(yīng)用程序及客戶資產(chǎn)。
1、軟件安全架構(gòu)
軟件完整性是衡量一款軟件是否卓越的關(guān)鍵。完整性是指軟件質(zhì)量與安全。在每款應(yīng)用開發(fā)之初,安全專家和軟件架構(gòu)師應(yīng)該緊密合作,以開發(fā)高度整合的、簡化的軟件安全架構(gòu)。風(fēng)險分析應(yīng)該在軟件開發(fā)早期階段進行 -- 這通常被稱為“左移”。
當(dāng)所有安全決策都通過一個小型、集中式內(nèi)核運行時,它不太可能會省略某個安全決策(例如授權(quán))。開發(fā)團隊可以放心地去構(gòu)建一個安全的應(yīng)用程序,因為代碼在默認(rèn)情況下從一開始就是安全的。
2、威脅建模
威脅建模流程可以支持識別漏洞和潛在攻擊路徑,降低風(fēng)險。進行威脅建模是持續(xù)風(fēng)險評估過程的一部分,可以幫助開發(fā)團隊保持高度的安全警惕性。不斷提醒攻擊的可能性,并從攻擊者的角度考慮應(yīng)用程序安全,有助于開發(fā)團隊從不同角度進行思考,并在開發(fā)過程中進行防御。
3、自動安全測試
過去,應(yīng)用程序安全測試通常在軟件開發(fā)過程結(jié)束時或接近結(jié)束時才進行。這就會導(dǎo)致如果有安全漏洞的話,開發(fā)人員要到后期才能發(fā)現(xiàn),補救成本往往要更高。
早期發(fā)現(xiàn)漏洞不僅可以降低修復(fù)成本,還可以減少在后期階段修復(fù)漏洞的時間。這對于像金融等行業(yè)的快節(jié)奏開發(fā)環(huán)境尤其重要。除了自動連續(xù)測試之外,在整個軟件開發(fā)過程中采取安全措施,可以在軟件投產(chǎn)之前就解決安全問題,避免昂貴的補救成本。
現(xiàn)在市面上有許多自動測試工具,每種工具都有優(yōu)缺點。動態(tài)應(yīng)用安全測試(DAST)工具(也稱為黑盒測試)可識別正在運行的應(yīng)用程序中的漏洞。 DAST可快速有效地查找到不同類型的應(yīng)用程序漏洞,包括身份驗證和授權(quán)問題。而且,即使是不熟悉編碼語言的人也能使用這類工具。
靜態(tài)應(yīng)用安全測試(SAST)工具(也稱為白盒測試)可供有權(quán)訪問應(yīng)用程序的源代碼、字節(jié)代碼或二進制文件的人使用。它能識別應(yīng)用程序中的潛在漏洞,例如程序正在使用不受信任的數(shù)據(jù),并在沒有任何形式的驗證和/或編碼的情況下將其視為可信。黑盒測試用于正在運行的應(yīng)用程序,在這個過程中不易發(fā)現(xiàn)的漏洞可以被 SAST工具檢測出來。
4、手動安全測試
自動化工具有一定的局限性,這就是為什么需要補充手動安全測試的原因。例如,自動化工具可能無法檢測到邏輯和設(shè)計缺陷,這時候就需要手動代碼審查和滲透測試,用來識別和解決這些問題。
5、專業(yè)人員與培訓(xùn)計劃
軟件是一個團隊協(xié)作開發(fā)的結(jié)果。開發(fā)過程中的所有參與者都應(yīng)在安全方面獲得充分的信息和培訓(xùn),從而在整個軟件開發(fā)生命周期(SDLC)中推動安全計劃進展。推行安全計劃不能只靠軟件開發(fā)人員,還需要了解常見漏洞和核心安全概念的質(zhì)量保證(QA)團隊和項目經(jīng)理。 QA團隊?wèi)?yīng)該能夠進行基本的安全測試工作。
創(chuàng)造具有安全意識的環(huán)境和培養(yǎng)這樣的團隊意味著在SDLC早期就能發(fā)現(xiàn)安全問題,并且在其成為沉重負擔(dān)前解決掉。
總結(jié)
金融服務(wù)機構(gòu)受到高度的監(jiān)管,應(yīng)用程序運行環(huán)境復(fù)雜。市場日新月異,維持應(yīng)用程序安全是一項有挑戰(zhàn)的任務(wù)。但部署安全系統(tǒng)及在SDLC早期(即“左移”)采取安全舉措可以為金融服務(wù)機構(gòu)提供堅實的軟件安全保障。
新思科技軟件質(zhì)量與安全部門
管理顧問Olli Jarva
管理顧問Olli Jarva
