近期,应用安全测试(AST)领导厂商新思科技(Synopsys)的网络安全研究中心(CyRC),委托PonemonInstitute对金融服务行业(FSI)当前的软件安全实践现状进行独立调研(TheStateofSoftwareSecurityintheFinancialServicesIndustry)。
金融服务行业对新技术的应用一向是走在前面的。无论是传统的柜台,还是在线和移动业务,随着业务模式的快速变化,为了给客户提供更加完善的体验,对软件开发、运维以及业务自动化的需求和挑战,都在不断增加。软件的安全性,是企业顺利开展金融服务最底层的保障。因此,金融服务行业对软件安全的重视,以及确保他们所用技术安全性的实践力度,都是非常大的。
这份报告最终由份有效问卷反馈产生,覆盖银行、保险、抵押贷款/处理和经纪业务(brokerage)等行业。受访者的职务囊括开发、安装和实施金融应用,以及为金融服务行业提供服务的IT和IT安全从业者;受访者的职位,除了工程师和技术人员外(两者共占据受访者的32%),还有大量的管理层人员(这其中还包括3%的高级行政和5%的企业VP)。也就是说,这份调研报告,可以从技术和管理两种视角,提供相对完整、客观和具有针对性的洞见。
那么,从软件安全的角度,金融服务行业目前的实践现状如何?如何看待不同安全措施、工具间的差异?以及,现存的主要挑战和趋势有哪些?
渗透测试、安全补丁管理和动态应用安全测试是首选
首先,在网络攻击的预防、检测和控制三个方面,报告显示,受访者基于自身实践经验,对成功检测攻击最有信心(56%);其次是控制网络攻击的蔓延,仅有3个百分点的降低(53%);而在攻击的预防,却呈现有明显的下降,能够保持信心的受访者只有31%。
对攻击预防能力的信心不足,可以看作金融服务行业在安全措施选择上的倾向性的一种体现。
报告详细询问了受访者关于安全措施、活动和工具,在以减少网络安全风险、保护金融软件和技术,以及寻求软件的高质量保证为目的下的选择倾向。有趣的是,无论是出于哪种目的,受访者前三个选择:渗透测试、安全补丁管理和动态应用安全测试(DAST),除了排序外,都没有变化。这也从侧面反映出,渗透测试的市场需求,为何在近两年快速增长,以及补丁管理这一“古老方式”的有效性和可延续性。
但是,如果我们倒序观察,可以发现这样一个现象,那就是诸如安全需求定义、软件组件分析、安全架构设计等,从软件立项开发阶段就要开始筹备,甚至贯穿整个开发生命周期的安全措施,却是大部分受访者目前较少会考虑的手段。例如,选择“软件组件分析”的倾向性,往往不到“渗透测试”的一半。这也部分回答了受访者对“攻击预防能力信心不足”的可能的原因。
之后,我们把