作者：新思科技軟件質(zhì)量與安全部門管理顧問(wèn)Olli Jarva

近年來(lái)，得益于云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)的發(fā)展，金融服務(wù)也更加多樣、便利及智能。與此同時(shí)，由于巨額的利益驅(qū)使，金融服務(wù)行業(yè)成為了網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象。如何做到更有效的安全防護(hù)成為業(yè)界的關(guān)注點(diǎn)。

金融服務(wù)機(jī)構(gòu)經(jīng)常部署復(fù)雜的應(yīng)用程序，與采用不同語(yǔ)言的分布式地理信息系統(tǒng)連接。它們通過(guò)多種協(xié)議進(jìn)行通信，其中一些使用的是多個(gè)平臺(tái)提供的免費(fèi)開源軟件。

這種復(fù)雜性使金融服務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)面臨更多漏洞。更糟糕的是，市場(chǎng)壓力迫使軟件行業(yè)要更快交付產(chǎn)品。在急于完成一個(gè)軟件時(shí)，安全流程極有可能就被忽視了。

金融行業(yè)是黑客的重點(diǎn)攻擊對(duì)象之一，從ATM攻擊、DDoS攻擊、勒索軟件到APT攻擊等，犯罪手段層出不窮。

為了防患于未然，我們可以探討一下哪種防范方式更有效，能保護(hù)金融服務(wù)機(jī)構(gòu)、應(yīng)用程序及客戶資產(chǎn)。

1.軟件安全架構(gòu)

軟件完整性是衡量一款軟件是否卓越的關(guān)鍵。完整性是指軟件質(zhì)量與安全。在每款應(yīng)用開發(fā)之初，安全專家和軟件架構(gòu)師應(yīng)該緊密合作，以開發(fā)高度整合的、簡(jiǎn)化的軟件安全架構(gòu)。風(fēng)險(xiǎn)分析應(yīng)該在軟件開發(fā)早期階段進(jìn)行 —— 這通常被稱為“左移”。

當(dāng)所有安全決策都通過(guò)一個(gè)小型、集中式內(nèi)核運(yùn)行時(shí)，它不太可能會(huì)省略某個(gè)安全決策（例如授權(quán)）。開發(fā)團(tuán)隊(duì)可以放心地去構(gòu)建一個(gè)安全的應(yīng)用程序，因?yàn)榇a在默認(rèn)情況下從一開始就是安全的。

2.威脅建模

威脅建模流程可以支持識(shí)別漏洞和潛在攻擊路徑，降低風(fēng)險(xiǎn)。進(jìn)行威脅建模是持續(xù)風(fēng)險(xiǎn)評(píng)估過(guò)程的一部分，可以幫助開發(fā)團(tuán)隊(duì)保持高度的安全警惕性。不斷提醒攻擊的可能性，并從攻擊者的角度考慮應(yīng)用程序安全，有助于開發(fā)團(tuán)隊(duì)從不同角度進(jìn)行思考，并在開發(fā)過(guò)程中進(jìn)行防御。

3.自動(dòng)安全測(cè)試

過(guò)去，應(yīng)用程序安全測(cè)試通常在軟件開發(fā)過(guò)程結(jié)束時(shí)或接近結(jié)束時(shí)才進(jìn)行。這就會(huì)導(dǎo)致如果有安全漏洞的話，開發(fā)人員要到后期才能發(fā)現(xiàn)，補(bǔ)救成本往往要更高。

早期發(fā)現(xiàn)漏洞不僅可以降低修復(fù)成本，還可以減少在后期階段修復(fù)漏洞的時(shí)間。這對(duì)于像金融等行業(yè)的快節(jié)奏開發(fā)環(huán)境尤其重要。除了自動(dòng)連續(xù)測(cè)試之外，在整個(gè)軟件開發(fā)過(guò)程中采取安全措施，可以在軟件投產(chǎn)之前就解決安全問(wèn)題，避免昂貴的補(bǔ)救成本。

現(xiàn)在市面上有許多自動(dòng)測(cè)試工具，每種工具都有優(yōu)缺點(diǎn)。動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）工具（也稱為黑盒測(cè)試）可識(shí)別正在運(yùn)行的應(yīng)用程序中的漏洞。 DAST可快速有效地查找到不同類型的應(yīng)用程序漏洞，包括身份驗(yàn)證和授權(quán)問(wèn)題。而且，即使是不熟悉編碼語(yǔ)言的人也能使用這類工具。

靜態(tài)應(yīng)用安全測(cè)試（SAST）工具（也稱為白盒測(cè)試）可供有權(quán)訪問(wèn)應(yīng)用程序的源代碼、字節(jié)代碼或二進(jìn)制文件的人使用。它能識(shí)別應(yīng)用程序中的潛在漏洞，例如程序正在使用不受信任的數(shù)據(jù)，并在沒有任何形式的驗(yàn)證和/或編碼的情況下將其視為可信。黑盒測(cè)試用于正在運(yùn)行的應(yīng)用程序，在這個(gè)過(guò)程中不易發(fā)現(xiàn)的漏洞可以被 SAST工具檢測(cè)出來(lái)。

4.手動(dòng)安全測(cè)試

自動(dòng)化工具有一定的局限性，這就是為什么需要補(bǔ)充手動(dòng)安全測(cè)試的原因。例如，自動(dòng)化工具可能無(wú)法檢測(cè)到邏輯和設(shè)計(jì)缺陷，這時(shí)候就需要手動(dòng)代碼審查和滲透測(cè)試，用來(lái)識(shí)別和解決這些問(wèn)題。

5.專業(yè)人員與培訓(xùn)計(jì)劃

軟件是一個(gè)團(tuán)隊(duì)協(xié)作開發(fā)的結(jié)果。開發(fā)過(guò)程中的所有參與者都應(yīng)在安全方面獲得充分的信息和培訓(xùn)，從而在整個(gè)軟件開發(fā)生命周期（SDLC）中推動(dòng)安全計(jì)劃進(jìn)展。推行安全計(jì)劃不能只靠軟件開發(fā)人員，還需要了解常見漏洞和核心安全概念的質(zhì)量保證（QA）團(tuán)隊(duì)和項(xiàng)目經(jīng)理。 QA團(tuán)隊(duì)?wèi)?yīng)該能夠進(jìn)行基本的安全測(cè)試工作。

創(chuàng)造具有安全意識(shí)的環(huán)境和培養(yǎng)這樣的團(tuán)隊(duì)意味著在SDLC早期就能發(fā)現(xiàn)安全問(wèn)題，并且在其成為沉重負(fù)擔(dān)前解決掉。

總結(jié)

金融服務(wù)機(jī)構(gòu)受到高度的監(jiān)管，應(yīng)用程序運(yùn)行環(huán)境復(fù)雜。市場(chǎng)日新月異，維持應(yīng)用程序安全是一項(xiàng)有挑戰(zhàn)的任務(wù)。但部署安全系統(tǒng)及在SDLC早期（即“左移”）采取安全舉措可以為金融服務(wù)機(jī)構(gòu)提供堅(jiān)實(shí)的軟件安全保障。