金融服务业的应用安全误区与现实

金融服务业软件安全状况 独立调查 PonemonInstituteLLC 开展的调查 目录 关于本报告1 概述2 调查结果详述4 金融服务公司的软件安全态势4 金融软件和应用程序的风险8 金融服务技术设计与开发的安全实践12 结论和建议18 风险和风险控制策略18 利用托管服务来补充内部资源19 方法20 附录：具体调研结果23 关于PonemonInstitute36 关于本报告 新思科技网络安全研究中心(CyRC)最近委托数据安全中心PonemonInstitute对金融服务行业(FSI)当前的软件安全实践进行独立调查，以了解该行业的软件安全态势及其解决安全相关问题的能力。这份名为《金融服务业软件安全状况》(SS-FSI)的报告就是本次调研的结果。 为助力新思科技实现确保软件安全和高质量运行的目标，CyRC会定期发布调研报告来支持强有力的网络安全实践。这些出版物包括深入洞悉开源代码在商业软件中的安全性、合规性和代码质量风险的年度报告《开源安全与风险分析(OSSRA)》，以及Synopsys与SAEInternational为解决基于软件的联网车辆中固有软件安全风险而联合发布的报告 《保护现代车辆的安全》。 为了撰写这份SS-FSI报告，Ponemon的研究人员调查了来自金融服务行业各个领域的400多名IT安全从业人员，包括银行、保险、抵押贷款/处理和经纪领域。调研参与者来自各行各业的工作岗位，如安装和实施金融应用、开发金融应用以及为金融服务业提供服务等。有关本次调研方法和参与者的完整信息，请参见“方法”和“附录”部分。 1 简介 当前，大量新兴技术正涌向金融服务行业，其中最引人注目的是提高金融服务行业内部流程的自动化水平以提升效率和利润率，以及开发新的软件以便用户能在传统银行、网上银行和手机银行领域实现完整无缝的客户体验。 金融技术已深深地嵌入到每一项FSI业务中，如果没有它，任何银行或保险公司都将无法运营。但是，正如这份报告所显示的，大多数FSI机构都难以保护其现有技术。在参与本次调研的FSI机构中，超过一半FSI都曾经历因网络攻击而导致客户数据被盗、系统故障与宕机等安全问题。。 显然，FSI现有的网络安全体系和技术已经跟不上金融服务业技术快速发展的步伐，如果不立即采取积极有效的措施，这个问题只会进一步恶化。 对FSI而言，网络安全是一个非常现实的问题 我们的报告显示，FSI机构需要更多地关注网络安全、安全编码培训、用于发现源代码缺陷和安全漏洞的自动化工具、以及用于识别由内部开发团队和外部软件供应商引入的开源组件的分析工具（SCA）。 虽然FSI机构仍在持续构建所需的软件安全技能和资源，大多数机构都为软件开发人员提供了一定形式的安全开发培训，但是只有一小部分开发人员真正需要（或被强制参加）这种培训。此外，对于评估安全研发的效果，FSI机构更多地依赖于内部评估，而不是使用BSIMM（软件安全构建成熟度模型）或SAMM（软件保障成熟度模型）等外部评估工具。 造成软件漏洞的最常见原因是开展漏洞测试在整个软件研发过程中为时过晚。我们发现，多数FSI机构往往在产品发布后才进行漏洞评估，可能出于诸多原因例如缺乏应用程序安全专业知识、担心成本问题、以及担心在软件开发生命周期(SDLC)过早地引入安全流程和安全活动会阻碍开发工作导致对市场的响应迟缓等等。 不到一半的受访者表示，安全评估发生在软件设计、开发和测试期间，只有25%的受访者表示，他们的机构能够在软件发布之前检测出金融软件和系统中的安全漏洞。 FSI软件供应链是主要风险所在地 虽然大多数的FSI机构仍在自行研发软件和系统，但许多机构已经开始依赖第三方独立提供商来交付最新技术。尽管在本次调研中，近四分之三的受访者表示十分担心第三方软件供应商会带来安全漏洞，但只有不到一半的机构要求第三方软件供应商遵循特定的网络安全要求或验证其安全实践。 金融服务业软件安全现状2 在参与调研的FSI机构中，几乎没有任何机构建立了相应的流程来录入和管理内部开发团队或由第三方软件供应商引入的开源代码。开源组件缺乏管理，应用程序中的开源组件存在漏洞，从而将FSI机构暴露在这些额外的安全风险之中。 保护FSI软件和系统没有统一的方法可循 没有任何一种方法、工具或服务能够确保任何FSI机构的绝对完全。 一些机构更喜欢依赖和利用托管服务提供商的安全团队，其他机构则更喜欢内部拥有丰富安全专业知识大型安全团队。 一些机构使用自动化工具的分层方法，包括SCA（软件组成分析）、SAST、IAST和DAST（静态、交互式和动态应用安全性测试），以及RASP（运行时应用程序自我保护）。其他机构的策略包括手工规划与测试活动，如安全架构设计、安全需求定义、威胁建模、代码审查和模糊测试等，以确保SDLC每个阶段的安全性。 唯一正确的方法是与业务保持一致，支持和保护业务。本报告中的数据揭示了一个有趣的事实，大多数的受访者都认为，其机构主要集中建设和提升网络攻击检测和攻击控制能力，而不是预防和阻止这些网络攻击。随着安全的更加关注，特别是将安全尽早融入到SDLC流程中，FSI机构将有更好的机会来预防攻击，而不是处理这些攻击带来的后果和损失。 3 调查结果详述 本节将更深入探讨调研结果，分为以下几个主题: •金融服务公司的软件安全态势 •金融软件和应用程序的风险 •金融服务软件技术设计与开发的安全实践 完整审计调研结果在“附录”中呈现 金融服务公司的软件安全态势 FSI机构更担心由第三方供应商提供的软件和系统的安全，而不是他们自己开发的软件和系统。 大多数的金融服务机构都在使用第三方供应商提供的金融软件和系统，同时自行开发金融软件和系统。虽然绝大多数的受访者都担心第三方引入的安全漏洞（见图1），但只有43%的受访者表示，他们的机构要求第三方遵守网络安全要求或验证其安全实践。 图1.您对贵机构自行开发或由第三方提供的金融软件和系统的网络安全状况有多担心? 此处显示的是给出7-10分的受访者比例，计分从1到10，1=毫不担心，10=非常担心 第三方提供给机构的金融软件/系统 74% 机构自己开发的金融软件/系统 62% 受访者认为，其机构的网络攻击检测和控制能力，要强于攻击预防能力。 受访者被要求评估其机构在预防、检测和控制网络攻击方面的效力。计分从1到10，1=没效果，10=非常有效。如图2所示，大多数受访者对其机构在检测和控制攻击方面的有效性充满信心，但在预防攻击方面则较弱。 图2.您的机构在预防、检测和控制网络攻击方面成效如何？ 此处显示的是给出7-10分的受访者比例，计分从1到10，1=没效果，10=非常有效 预防网络攻击检测网络攻击控制网络攻击 31% 56% 53% 金融服务业软件安全现状4 大多数的FSI机构都拥有传统的IT网络安全项目或团队。 图3.贵机构如何处理网络安全问题? 67%的受访者表示，其所在机构拥有网络安全项目或团队 可多选 60% 51% 47% 34% 23% 其他3% 确保网络安全是产品开发团队的责任 网络安全是功能性安全团队的职责之一 网络安全团队是集中的（例如：安全中心），指导和支持多个产品开发团队 网络安全团队是分散的，网络安全专家隶属于特定的产品开发团队 网络安全是传统IT网络安全团队的一部分，是IT网络安全团队的职责之一 （通常在全球CISO的领导下） 67%的受访者表示，他们的机构拥有网络安全项目或团队。如图3所示，60%的受访者表示，确保网络安全是传统IT网络安全团队的职责之一，超过半数(51%)的受访者表示，他们的网络安全团队是分散的，网络安全专家隶属于特定的产品开发团队。只有23%的受访者认为确保网络安全是产品开发部门的责任。 5 受访者认为，渗透测试和动态安全测试(DAST)是降低网络安全风险最有效的方法。 65%的受访者认为渗透测试、63%的受访者认为动态安全测试(DAST)是降低网络安全风险最有效的活动。受访者还指出，安全补丁管理、系统调试和威胁建模也很有效。 图4.哪些举措对降低网络攻击风险最有效？可多选 渗透测试 65% 动态应用安全测试/DAST 63% 安全补丁管理 55% 系统调试 52% 威胁建模 51% 模糊测试 49% 静态分析/SAST（自动） 45% 对开发人员进行安全编码方法培训 44% 数据脱敏或在测试期间对真实数据进行改动或隐藏 43% 代码检视（人工） 40% 安全需求定义 34% 软件组成分析 交互式应用安全测试安全架构设计 运行时应用程序自我保护鉴定方法 28% 25% 23% 23% 33% 受访者认为，他们的机构需要更多的资源和内部专业知识来消减降低网络安全风险。 图5.我的机构为网络安全分配了足够的资源，并具备必要的网络安全技能 此处显示的是对此表示“强烈同意”和“同意”的受访者比例 45% 38% 产品研发的网络安全技能 网络安全资源 如图5所示，只有45%的受访者表示，他们的机构有足够的预算来应对网络安全风险，只有38%的受访者表示，他们的机构拥有必要的网络安全技能。 受访者更担心金融服务业的网络安全状况，而不是合规难度。 图6.对金融服务网络安全的担心情况 此处显示的是给出7-10分的受访者比例，计分从1到10，1=毫不担心，10=非常担心 65% 61% 51% 44% 金融服务行业的网络安全监管要求太难达标 我们机构的网络安全实践跟不上金融服务技术的变化步伐 金融服务行业的网络安全监管要求跟不上金融技术的变化步伐 我对整个金融服务行业的网络安全感到担心 受访者被要求在1至10分的范围内表达他们对网络安全风险的担心，其中1=毫不担心，10=非常担心。图6显示了回答“非常担心”的受访者比例（10分制，给出7-10分的受访者比例）。调研显示，65%的受访者非常担心金融服务业的网络安全状况。尽管存在诸如《纽约金融服务局(NYDFS)网络安全条例》等新规定，仍有61%的受访者表示，金融服务业的监管要求跟不上例如区块链和开放银行API等金融技术的变化步伐。 金融软件和应用程序的风险 受访者认为，云迁移工具带来最大的网络安全风险。 图7.哪些软件和技术对金融服务公司的网络安全风险最大? 可多选 云迁移工具 60% 区块链工具 52% 分析建模系统 50% 支付系统 50% 物联网工具和平台 48% 图7显示了受访者认为对金融服务公司构成最大网络安全风险的软件和技术。如图所示，60%的受访者表示是云迁移工具，其次是区块链工具(52%) 恶意行为者的威胁正促使企业在金融软件和技术领域实施与网络安全相关的控制。 如图8所示，84%的受访者表示，他们的机构非常担心恶意行为者可能会攻击他们所开发或使用的金融软件和技术（给出7-10分的受访者比例，10分制，1=毫不担心，10=非常担心）。 攻击面通常包含在互联网上暴露的金融应用，实际上攻击者是利用了例如跨站点脚本（XXS）、跨站点请求伪造(CSRF) 以及SQL注入等软件漏洞，来访问信用卡信息等敏感数据。 83%的受访者表示，在金融软件和系统中实施与网络安全相关的控制非常紧迫（给出7-10分的受访者比例，10分制， 1=不紧迫，10=非常紧迫）。只有25%的受访者有信心在产品发布前能够检测出金融软件和系统中的安全漏洞（给出7-10分的受访者比例，10分制，1=毫无信心，10=非常有信心）。 图8.对金融软件技术漏洞的担心 此处显示的是给出7-10分的受访者比例，计分从1到10，1=毫不担心，10=非常担心 84% 83% 76% 我相信我们能在产品发布上市之前， 能够检测出金融软件/系统中的安全漏洞 25% 难以在金融软件/系统发布上市之前发现安全漏洞 我的机构迫切需要在金融软件/系统中应用与网络安全相关的控制 我担心恶意行为人可能会攻击我机构开发或使用的金融软件/技术 不安全的软件和技术对业务产生许多负面的影响，系统宕机是最频繁发生的