數(shù)字技術在很大程度上已經(jīng)改變了傳統(tǒng)金融服務行業(yè)的運行方式。但是,數(shù)字化轉(zhuǎn)型在提升運行效率的同時,也使金融業(yè)態(tài)網(wǎng)絡安全風險形勢加劇。一旦疏于防范,安全風險將呈現(xiàn)更快的傳播速度、更廣的影響范圍、更大的經(jīng)濟損失。這對金融業(yè)界安全是一個重大的挑戰(zhàn)。新思科技強調(diào),軟件風險等同于業(yè)務風險,尤其在金融行業(yè)。一旦安全計劃有薄弱環(huán)節(jié),造成的損失可能不可估量,更談不上推進數(shù)字化轉(zhuǎn)型。
因此,伴隨金融科技的不斷發(fā)展,應用安全(AppSec)已經(jīng)成為金融服務機構(gòu)不可或缺的一部分。憑借可信的安全測試工具,新思科技已經(jīng)為全球許多客戶的應用安全計劃保駕護航,其中不乏財富500強金融公司。
業(yè)務挑戰(zhàn):缺乏可擴展的端到端AppSec解決方案
新思科技為一家財富500強的金融公司服務。它也是美國最大的 10 家銀行之一。該銀行依賴數(shù)字化技術運營,需要可靠的端到端AppSec解決方案,以部署高效的應用安全計劃。此外,它還需要快速將應用安全擴展到其數(shù)百個應用程序。要實現(xiàn)這個目標,該銀行面臨諸多挑戰(zhàn):
- 自動擴展AppSec。該銀行有400多名開發(fā)人員以及數(shù)名應用安全專家,要擴展其紅隊(Red Team, 模仿入侵者的戰(zhàn)術、技術和流程)和整個應用安全方案組合是一個巨大的挑戰(zhàn)。而且,現(xiàn)代銀行應用程序有很多API接口,加劇了安全挑戰(zhàn)。
- 合規(guī)。該銀行采取了系列措施,以滿足年審所需的關鍵合規(guī)性。AppSec是支付卡行業(yè)(PCI)合規(guī)性的重點要素。但是,銀行之前的AppSec方案并不能全面滿足合規(guī)要求。
- 對誤報進行分類?,F(xiàn)有的自動掃描工具產(chǎn)生大量誤報,嚴重影響了開發(fā)流程、AppSec和資源管理。因此,與修復實際漏洞相比,安全團隊花費了更多時間來驗證和交叉檢查調(diào)查結(jié)果。
解決方案:動態(tài)應用安全測試
經(jīng)過多維度的評估,該銀行最終選擇了新思科技的WhiteHat? Dynamic動態(tài)應用安全測試(DAST)。憑借WhiteHat Dynamic,銀行能以生產(chǎn)安全的方式全天候監(jiān)控和掃描數(shù)百個應用程序。并且,WhiteHat Dynamic提供豐富的業(yè)務邏輯評??估。銀行必須獲取這些評估結(jié)果,才能有足夠把握正式地向用戶發(fā)布應用。
鑒于該項目的規(guī)模和復雜性,新思科技為銀行策劃了一個全面的 AppSec 產(chǎn)品組合方案,隨后又添加了 WhiteHat Auto API。得益于此,該銀行的應用安全團隊僅使用一套新思科技的解決方案便擴展了其計劃。
- WhiteHat Dynamic動態(tài)應用安全測試。提供連續(xù)掃描功能,誤報率低,允許安全專家的訪問權(quán)限以及導出報告指標。這些指標按關鍵程度排序,詳細說明掃描發(fā)現(xiàn)和修復的安全漏洞,并且性能隨時間推移不斷提升。
- 業(yè)務邏輯評??估。業(yè)務邏輯評??估 (BLA) 是由 新思科技安全工程師執(zhí)行的手動評估。他們會審查那些無法通過自動化解決方案有效測試的應用安全漏洞。
- WhiteHat Auto API。為 Web 服務 API 以及面向公共、私有和內(nèi)部的 API 提供高度可擴展、準確且全自動的漏洞掃描。
- 安全測試服務。包括指定的項目經(jīng)理和相關領域?qū)<业闹С?。他們與銀行內(nèi)部團隊合作,以擴展其應用安全項目。
該銀行應用安全經(jīng)理贊賞道:“WhiteHat Dynamic提供生產(chǎn)安全的方式,無需單獨的測試環(huán)境即可安全掃描應用。我們可以受益于這個優(yōu)勢,可以進行經(jīng)過身份認證的掃描。最重要的是這些掃描結(jié)果都經(jīng)過驗證,接近零誤報?!?/p>
交付可信產(chǎn)品,安全地踏上數(shù)字化轉(zhuǎn)型之旅
該銀行可以分階段將AppSec解決方案實施到軟件開發(fā)生命周期,監(jiān)控正確的指標集,以可持續(xù)且可擴展的方式部署應用安全。
- 應用安全的變革。DAST 評估可連續(xù)掃描,準確了解銀行數(shù)百個應用的真實風險。WhiteHat 專為生產(chǎn)安全掃描而設計,安全團隊能夠?qū)⒊掷m(xù)風險評估擴展到數(shù)百個應用,從而節(jié)省時間和成本,無需停機。此外,新思科技安全專家直接反饋修復意見,與開發(fā)人員交流,以滿足不斷變化的開發(fā)需求。
- 掃描結(jié)果質(zhì)量提高。該銀行最大的挑戰(zhàn)之一是評估大量AppSec掃描結(jié)果和制定修復計劃。這意味著銀行要對越來越多的誤報進行分類。隨著互聯(lián)的應用逐日增加,銀行的風險面也隨之擴大。WhiteHat提供了相應的解決方案,掃描識別風險,并進行分類和優(yōu)先排序。得益于此,工作團隊可以制定戰(zhàn)略性的、有針對性的計劃,以修復生產(chǎn)中最脆弱的應用。
新思科技安全專家審查掃描配置,以確保掃描能夠準確反映應用或平臺的架構(gòu)和數(shù)據(jù)邊界。這些經(jīng)過驗證的漏洞幾乎消除了誤報,從而降低了資源成本。最重要的是,更快、更準確的安全漏洞識別和修復提高了整體應用安全性和投資回報率。
- 100%合規(guī)。該銀行取得了喜人的成果,達到并保持 100% PCI 合規(guī)性。其團隊能夠維護應用清單,確保按時掃描和 BLA,并提供顯示目標進展情況的定期指標。
該產(chǎn)品經(jīng)理介紹:“在和新思科技合作半年內(nèi),我們的PCI合規(guī)性從40%提升到了100%?!?/p>
- AppSec投資回報率最大化。通過無縫擴展并將程序管理添加到工作范圍,新思科技安全測試服務團隊與銀行的應用安全和開發(fā)團隊建立了密切的合作關系。與團隊的定期協(xié)作確??梢愿鶕?jù)銀行安全策略和最佳實踐修復漏洞。項目經(jīng)理制定了可衡量的標準,跟蹤整個銀行的進展,包括定期會議、季度項目審查和年度服務審查會議。
- 安全活動項目增多。除了動態(tài)應用安全測試解決方案,新思科技還幫助該銀行實施更多安全活動,例如新用戶數(shù)據(jù)數(shù)字化、集成系統(tǒng)以將AppSec團隊的手動流程自動化、漏洞嚴重程度情景化、安全政策變更咨詢,以及為應用安全團隊提供安全培訓。
新思科技已經(jīng)幫助和推動該銀行成功創(chuàng)建和采用應用安全計劃,為客戶提供適合其要求的高性能、可測量、可擴展和可重復的 AppSec 計劃。新思科技安全專家的支持可確??蛻臬@得高度準確的結(jié)果和及時的修復建議。
新思科技致力于幫助客戶安全地踏上數(shù)字化轉(zhuǎn)型之旅。作為合作伙伴,新思科技幫助企業(yè)了解和評估其應用的風險狀況,為安全團隊賦能和提升附加值。憑借新思科技可靠的產(chǎn)品和服務,安全團隊高效地交付可信產(chǎn)品,并專注于未來創(chuàng)新。