随着传统金融机构进行数字化业务扩张,金融数字化转型成为市场竞争的主战场,手机银行、直销银行、移动支付、微信营销等“互联网+”新兴业务不断涌现。据统计,以股份制商业银行为首的众多金融机构离柜交易额不断增长,同时增长的还有新业务不断扩展带来的安全风险。当前,各大金融机构最受关注的是信息泄漏、逻辑缺陷、SQL注入等严重威胁自身业务的安全问题,在关注基础环境安全问题的同时,亟需构筑自身业务应用系统的“内建安全”。
引发金融行业业务安全问题的源头有两方面,一方面是基础环境安全问题,包括网络、安全等设备的漏洞,此类漏洞由设备厂商关注并修复;另一方面是自主研发软件存在的未被发现的各种漏洞,主要由金融机构的科技管理人员管理和响应。
作为金融机构的科技管理人员,在自研漏洞爆发时有两个问题需要解决,一是在组织内部数百种金融业务应用中快速了解该漏洞的存在数量和影响的范围;二是采取措施将风险和损失降到最低。
例如近日影响范围较大的Apache Struts2漏洞,传统的应急响应方式解决的是将风险和损失降低,即启动应急预案,通过分析新型漏洞的特点提取漏洞特征,定制检测规则,第一时间在边界安全设备(IDS、IPS、WAF等)中完成部署,确保攻击来临时可以进行监测和阻断,尽可能降低漏洞带来的损失。这种方式只解决了管理人员关心的第二个问题,但对出现漏洞的组件涉及哪种开发语言、开发框架,这些开发语言和开发框架在当前业务应用中的使用数量等疑问缺乏快速的响应措施,现阶段只能耗费大量人员和时间通过手工方式进行汇总统计。
从安全管理角度进行分析,近期出现的漏洞大部分都是由代码设计缺陷导致,目前各家金融机构都已经建立自身的业务安全开发管理流程。同时,在每一个业务应用上线前,都会进行必要的源代码缺陷、合规性等安全检测。
如果将检测的过程和相关结果信息进行收集汇总,例如开发语言、开发框架、开源组件、缺陷、漏洞等,同时与组织原有的代码仓库、Bug管理系统进行无缝对接,构成金融机构自己的软件资产库,并在开发运维阶段不断丰富,形成基于安全开发的软件资产管理大数据平台。当新型漏洞爆发时,就能提供应急响应查询,检测业务系统中是否使用了存在漏洞的第三方组件,业务系统代码中是否包含了漏洞代码,并通过搜索技术实现源代码层面的问题追溯,有效提升金融机构安全开发管理能力。
软件资产管理大数据平台不仅满足金融行业对于软件资产的源代码级别应急响应需求;同时满足基于代码搜索、自动化查询等快速定位需求;甚至未来可采用机器学习等技术,将安全开发信息提取形成基于源代码的安全威胁情报,精准定位源代码安全缺陷,提升金融业务应用整体安全能力。
360企业安全集团代码卫士相关负责人表示,软件资产是组成金融应用系统的基础,源代码是软件资产的核心机密,源代码的安全问题至关重要。
据了解,360代码卫士是基于多年源代码安全实践经验的源代码安全解决方案,涵盖缺陷分析、合规检测、溯源检测三大检测方向,分别解决软件开发过程中的安全缺陷和漏洞问题、安全合规性问题、第三方代码安全管控问题。在此基础上,代码卫士产品的软件安全开发管理平台可与企业已有的软件开发测试环境无缝对接,形成企业自有的软件资产管理大数据平台,帮助企业以最小代价建立软件资产管理库,构筑基于金融业务应用系统的“内建安全”。
以“Apache Struts2漏洞”事件为例,通过软件资产管理大数据平台进行漏洞响应,可以采用基于漏洞属性的自动化查询方式,快速生成统计报告,相比传统的应急响应方式,在缩短响应时间的同时又保证统计的全面性,帮助管理人员第一时间了解新型漏洞在组织中存在的数据和影响范围,从源头定位问题采取根治措施,尽可能降低漏洞带来的风险和损失。