金融行業最基本的要求是風險控制。銀行、證券等金融機構對安全的需求一直都很迫切,尤其是在大數據時代。一旦金融機構或其客戶的數據被洩露,損失往往是不可估量的。
新思科技軟件質量與安全部門管理顧問Olli Jarva指出:“金融服務機構經常部署複雜的應用程序,與採用不同語言的分佈式地理信息系統連接。它們通過多種協議進行通信,其中一些使用的是多個平臺提供的免費開源軟件。”
金融行業軟件安全
這種複雜性使金融服務機構的網絡面臨更多漏洞。更糟糕的是,市場壓力迫使軟件行業要更快交付產品。在急於完成一個軟件時,安全流程極有可能就被忽視了。
金融行業是黑客的重點攻擊對象之一,從ATM攻擊、DDoS攻擊、勒索軟件到APT攻擊等,犯罪手段層出不窮。
為了防患於未然,我們可以探討一下哪種防範方式更有效,能保護金融服務機構、應用程序及客戶資產。
1. 軟件安全架構
軟件完整性是衡量一款軟件是否卓越的關鍵。完整性是指軟件質量與安全。在每款應用開發之初,安全專家和軟件架構師應該緊密合作,以開發高度整合的、簡化的軟件安全架構。風險分析應該在軟件開發早期階段進行 —— 這通常被稱為“左移”。
當所有安全決策都通過一個小型、集中式內核運行時,它不太可能會省略某個安全決策(例如授權)。開發團隊可以放心地去構建一個安全的應用程序,因為代碼在默認情況下從一開始就是安全的。
2. 威脅建模
威脅建模流程可以支持識別漏洞和潛在攻擊路徑,降低風險。進行威脅建模是持續風險評估過程的一部分,可以幫助開發團隊保持高度的安全警惕性。不斷提醒攻擊的可能性,並從攻擊者的角度考慮應用程序安全,有助於開發團隊從不同角度進行思考,並在開發過程中進行防禦。
3. 自動安全測試
過去,應用程序安全測試通常在軟件開發過程結束時或接近結束時才進行。這就會導致如果有安全漏洞的話,開發人員要到後期才能發現,補救成本往往要更高。
早期發現漏洞不僅可以降低修復成本,還可以減少在後期階段修復漏洞的時間。這對於像金融等行業的快節奏開發環境尤其重要。除了自動連續測試之外,在整個軟件開發過程中採取安全措施,可以在軟件投產之前就解決安全問題,避免昂貴的補救成本。
現在市面上有許多自動測試工具,每種工具都有優缺點。動態應用安全測試(DAST)工具(也稱為黑盒測試)可識別正在運行的應用程序中的漏洞。 DAST可快速有效地查找到不同類型的應用程序漏洞,包括身份驗證和授權問題。而且,即使是不熟悉編碼語言的人也能使用這類工具。
靜態應用安全測試(SAST)工具(也稱為白盒測試)可供有權訪問應用程序的源代碼、字節代碼或二進制文件的人使用。它能識別應用程序中的潛在漏洞,例如程序正在使用不受信任的數據,並在沒有任何形式的驗證和/或編碼的情況下將其視為可信。黑盒測試用於正在運行的應用程序,在這個過程中不易發現的漏洞可以被 SAST工具檢測出來。
4. 手動安全測試
自動化工具有一定的侷限性,這就是為什麼需要補充手動安全測試的原因。例如,自動化工具可能無法檢測到邏輯和設計缺陷,這時候就需要手動代碼審查和滲透測試,用來識別和解決這些問題。
5. 專業人員與培訓計劃
軟件是一個團隊協作開發的結果。開發過程中的所有參與者都應在安全方面獲得充分的信息和培訓,從而在整個軟件開發生命週期(SDLC)中推動安全計劃進展。推行安全計劃不能只靠軟件開發人員,還需要了解常見漏洞和核心安全概念的質量保證(QA)團隊和項目經理。 QA團隊應該能夠進行基本的安全測試工作。
創造具有安全意識的環境和培養這樣的團隊意味著在SDLC早期就能發現安全問題,並且在其成為沉重負擔前解決掉。
軟件質量與安全
總結
金融服務機構受到高度的監管,應用程序運行環境複雜。市場日新月異,維持應用程序安全是一項有挑戰的任務。但部署安全系統及在SDLC早期(即“左移”)採取安全舉措可以為金融服務機構提供堅實的軟件安全保障。
Olli Jarva
本文作者:新思科技軟件質量與安全部門管理顧問Olli Jarva
閱讀更多 一一可圈可點 的文章
