為什么應(yīng)用安全應(yīng)該成為金融服務(wù)提供商的重點(diǎn)關(guān)注問(wèn)題?

金融服務(wù)提供商正在利用互聯(lián)網(wǎng)和聯(lián)網(wǎng)移動(dòng)設(shè)備的廣泛使用進(jìn)行數(shù)字化。這無(wú)疑給每個(gè)人帶來(lái)了方便，但也產(chǎn)生了新的安全問(wèn)題。

對(duì)于以數(shù)字方式和通過(guò)Web開(kāi)展業(yè)務(wù)的公司而言，最重要的安全問(wèn)題之一是應(yīng)用程序的使用，包括設(shè)備上的本機(jī)應(yīng)用程序和Web應(yīng)用程序。隨著金融服務(wù)提供商通過(guò)應(yīng)用程序與其客戶互動(dòng)，新的威脅和漏洞出現(xiàn)了。

據(jù)CSO報(bào)道，目前應(yīng)用程序安全狀況看起來(lái)不容樂(lè)觀。許多企業(yè)機(jī)構(gòu)即使并不確定發(fā)布的應(yīng)用程序的安全性，還是會(huì)繼續(xù)編寫(xiě)他們的代碼。此外，只有48%的組織投資于安全控制以解決其應(yīng)用程序開(kāi)源組件中的漏洞，這些組件占50%的企業(yè)整體代碼庫(kù)的一半。

應(yīng)用程序成為安全風(fēng)險(xiǎn)

鑒于目前網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜程度不斷增加，應(yīng)用程序安全值得充分關(guān)注。

據(jù)Statista稱，金融業(yè)是網(wǎng)絡(luò)威脅的首要目標(biāo)之一。銀行和其他金融服務(wù)提供商不能僅僅滿足于基本的安全控制，尤其是當(dāng)涉及到他們讓客戶使用的應(yīng)用程序時(shí)。建議金融行業(yè)在軟件開(kāi)發(fā)期間更多關(guān)注代碼安全以提高應(yīng)用程序自身安全性。

在理想情況下，開(kāi)發(fā)人員在創(chuàng)建新的應(yīng)用程序時(shí)應(yīng)當(dāng)就開(kāi)始考慮安全問(wèn)題。但在現(xiàn)實(shí)中并非如此，許多應(yīng)用程序最終都存在缺陷，使得它們面臨各種威脅，包括點(diǎn)擊劫持、HTTP 響應(yīng)拆分和方法篡改、格式錯(cuò)誤的內(nèi)容、路徑遍歷、命令注入、跨站點(diǎn)腳本、請(qǐng)求偽造，以及CSS和HTML注入。安全可信的靜態(tài)代碼檢測(cè)工具可以幫助開(kāi)發(fā)人員發(fā)現(xiàn)部分缺陷，避免被利用后形成重大安全漏洞。

去年的一項(xiàng)研究報(bào)告顯示，銀行的應(yīng)用程序廣泛存在安全問(wèn)題。大約一半的手機(jī)銀行應(yīng)用程序存在問(wèn)題，可能被網(wǎng)絡(luò)犯罪分子利用來(lái)獲取敏感信息，并從事欺詐活動(dòng)。約43%的應(yīng)用程序在沒(méi)有加密或其他形式保護(hù)的情況下存儲(chǔ)敏感數(shù)據(jù)。此外，發(fā)現(xiàn)的漏洞中有76%被證明是可以利用的，而不需要對(duì)目標(biāo)設(shè)備進(jìn)行物理訪問(wèn)，超過(guò)三分之一的漏洞是可以利用的，而不需要管理員權(quán)限。

需要指出的是，網(wǎng)絡(luò)犯罪分子還可以利用應(yīng)用程序來(lái)竊取各種信息。僅使用ATM或非在線金融服務(wù)的銀行客戶，如果他們的設(shè)備上有可用于進(jìn)行網(wǎng)絡(luò)釣魚(yú)、誘餌、借口、尾隨、水坑、勒索軟件和其他攻擊的信息，也可能成為網(wǎng)絡(luò)犯罪分子的犧牲品。

銀行和金融服務(wù)提供商面臨的威脅

由于應(yīng)用程序安全問(wèn)題，銀行和金融服務(wù)提供商將遭受經(jīng)濟(jì)損失。NIST 的一份報(bào)告稱，美國(guó)每年的網(wǎng)絡(luò)犯罪損失達(dá)數(shù)千億美元，約占GDP的1%到4%。其中大部分損失由金融機(jī)構(gòu)和服務(wù)提供商承擔(dān)。

銀行保證在客戶發(fā)生盜竊或其他可追溯到他們問(wèn)題時(shí)，向其客戶提供賠償，當(dāng)遭遇異議或訴訟時(shí)，這種損失甚至可能成倍增加。

另外，銀行和金融相關(guān)企業(yè)很可能因其應(yīng)用程序安全性差而遭受聲譽(yù)損失。例如，2014年針對(duì)摩根大通和其他銀行的安全漏洞導(dǎo)致銀行股價(jià)下跌0.4%至0.9%。

在一些情況下，應(yīng)用程序存在安全漏洞的消息會(huì)導(dǎo)致客戶數(shù)量減少。當(dāng)客戶意識(shí)到金融機(jī)構(gòu)的網(wǎng)絡(luò)安全意識(shí)較差時(shí)，很可能會(huì)避開(kāi)他們。

對(duì)客戶的威脅

美國(guó)聯(lián)邦調(diào)查局(FBI)就手機(jī)銀行應(yīng)用程序帶來(lái)的風(fēng)險(xiǎn)發(fā)布了一份建議，尤其是在銀行木馬興起的情況下。這些針對(duì)銀行客戶的木馬是惡意軟件的傳播點(diǎn)。網(wǎng)絡(luò)犯罪分子利用它們竊取數(shù)據(jù)，不僅限于登錄憑證，還包括聯(lián)系人列表、短信、個(gè)人信息和其他可用于社會(huì)工程攻擊的信息。

根據(jù)Javelin Strategy and Research的一項(xiàng)研究，在美國(guó)，僅身份盜竊就已經(jīng)造成了560 億美元的巨大問(wèn)題。在過(guò)去的一年里，它影響了大約4900萬(wàn)美國(guó)人。通過(guò)移動(dòng)應(yīng)用程序傳播惡意軟件和直接竊取數(shù)據(jù)，是網(wǎng)絡(luò)犯罪分子成功接管帳戶并將被盜信息用于欺詐目的的方法之一。

金融服務(wù)提供商對(duì)安全的把控

金融服務(wù)提供商有責(zé)任對(duì)其應(yīng)用程序的安全性負(fù)責(zé)，首先他們需要確定其代碼是安全的，而這需要通過(guò)嚴(yán)格的安全測(cè)試來(lái)實(shí)現(xiàn)，如靜態(tài)代碼檢測(cè)，在確保代碼安全上起到重要的作用。同時(shí)第三方開(kāi)源庫(kù)的安全性同樣要小心，SCA是現(xiàn)有常用的檢測(cè)工具。此外他們應(yīng)該采用所有適當(dāng)?shù)募用芤约案呒?jí)身份驗(yàn)證和適當(dāng)?shù)臅?huì)話處理。同樣重要的是使用安全和授權(quán)的API。

客戶在確保其使用金融服務(wù)應(yīng)用程序的安全性上也發(fā)揮著重要作用，最基本的是要確保應(yīng)用程序的下載來(lái)源是安全可靠的。

確保對(duì)銀行及其消費(fèi)者的保護(hù)

對(duì)應(yīng)用安全的關(guān)注應(yīng)該是金融服務(wù)提供商應(yīng)該注意的事，只為交付和上線的應(yīng)用程序存在的安全問(wèn)題，很可能會(huì)使金融服務(wù)公司及其客戶面臨網(wǎng)絡(luò)盜竊或安全漏洞，從而導(dǎo)致巨大的聲譽(yù)損失。

參讀鏈接：

https://gbhackers.com/why-app-security-should-be-a-major-concern-for-financial-service-providers/