金融服务业应用安全存在误区

    由于金融服务市场估值高，漏洞利用机会多，金融服务业经常成为黑客首选的攻击目标，而平均一个严重的数据泄露问题，将导致百万美元级别的损失。疫情暴发之后，这一安全问题有进一步恶化的趋势。
    究其原因，新思科技软件质量与安全部门高级安全架构师杨国梁告诉记者，由于疫情导致线上模式兴盛，传统的供应链管理随之可能出现纰漏，这些往往都是一些风险的高发区；而疫情带来的预算和资源受限，再加上缺乏安全培训，导致疫情后的金融服务业安全问题更加凸显。
    此前，新思发布《金融服务业的应用安全：误区与现实》报告，指出金融服务业的应用安全存在着七大认识误区。对此，杨国梁表示，调查显示有50%的金融服务公司由于不安全的软件而遭遇数据盗窃；76%的公司表示很难在上市前检测出金融软件系统中的安全漏洞。而金融机构即使体量再小，对黑客来讲也是一个足够有吸引力的目标。他还提到，对于技术人员、开发人员、运维人员来讲常见的一个误区就是，所见并不一定即所得，可能还有更多隐藏在所见内容之下。而对于一个金融机构而言，确保安全问题是金融机构本身的责任之一。为了运行安全的部署，金融机构的安全团队必须将安全的容器、安全打包好的可运行的内容部署到云端。此外，安全培训也是需要的。
    杨国梁告诉记者，新思在报告中提到的金融服务业应用安全误区，国内金融业也同样面临，比如，国内大部分金融机构也局限于在最后阶段尽量少地侵入研发过程，尽量低门槛开展安全测试，但又都认可一定要“安全左移”，即在更早阶段就做相应的安全测试。
    在杨国梁看来，此前的护网活动和红蓝对抗促进安全水准上升，有必要持续下去，在前期阶段就引入安全，有利于低成本、有效率地来推进这些安全活动。
    杨国梁认为，只有把这些安全的能力构建到金融服务企业自己的安全团队、业务团队，才能从根本上解决或规避很多问题。“安全左移”，不管是设计阶段做安全，还是实现阶段做安全，都是解决这些问题的根本手段之一。新思科技在整个研发阶段，不管是依靠人、经验还是工具，都有目前最顶尖的服务和产品的提供。