为什么应用安全应该成为金融服务提供商的重点关注问题?
金融服务提供商正在利用互联网和联网移动设备的广泛使用进行数字化。这无疑给每个人带来了方便,但也产生了新的安全问题。
对于以数字方式和通过Web开展业务的公司而言,最重要的安全问题之一是应用程序的使用,包括设备上的本机应用程序和Web应用程序。随着金融服务提供商通过应用程序与其客户互动,新的威胁和漏洞出现了。
据CSO报道,目前应用程序安全状况看起来不容乐观。许多企业机构即使并不确定发布的应用程序的安全性,还是会继续编写他们的代码。此外,只有48%的组织投资于安全控制以解决其应用程序开源组件中的漏洞,这些组件占50%的企业整体代码库的一半。
应用程序成为安全风险
鉴于目前网络攻击的数量和复杂程度不断增加,应用程序安全值得充分关注。
据Statista称,金融业是网络威胁的首要目标之一。银行和其他金融服务提供商不能仅仅满足于基本的安全控制,尤其是当涉及到他们让客户使用的应用程序时。建议金融行业在软件开发期间更多关注代码安全以提高应用程序自身安全性。
在理想情况下,开发人员在创建新的应用程序时应当就开始考虑安全问题。但在现实中并非如此,许多应用程序最终都存在缺陷,使得它们面临各种威胁,包括点击劫持、HTTP 响应拆分和方法篡改、格式错误的内容、路径遍历、命令注入、跨站点脚本、请求伪造,以及CSS和HTML注入。安全可信的静态代码检测工具可以帮助开发人员发现部分缺陷,避免被利用后形成重大安全漏洞。
去年的一项研究报告显示,银行的应用程序广泛存在安全问题。大约一半的手机银行应用程序存在问题,可能被网络犯罪分子利用来获取敏感信息,并从事欺诈活动。约43%的应用程序在没有加密或其他形式保护的情况下存储敏感数据。此外,发现的漏洞中有76%被证明是可以利用的,而不需要对目标设备进行物理访问,超过三分之一的漏洞是可以利用的,而不需要管理员权限。
需要指出的是,网络犯罪分子还可以利用应用程序来窃取各种信息。仅使用ATM或非在线金融服务的银行客户,如果他们的设备上有可用于进行网络钓鱼、诱饵、借口、尾随、水坑、勒索软件和其他攻击的信息,也可能成为网络犯罪分子的牺牲品。
银行和金融服务提供商面临的威胁
由于应用程序安全问题,银行和金融服务提供商将遭受经济损失。NIST 的一份报告称,美国每年的网络犯罪损失达数千亿美元,约占GDP的1%到4%。其中大部分损失由金融机构和服务提供商承担。
银行保证在客户发生盗窃或其他可追溯到他们问题时,向其客户提供赔偿,当遭遇异议或诉讼时,这种损失甚至可能成倍增加。
另外,银行和金融相关企业很可能因其应用程序安全性差而遭受声誉损失。例如,2014年针对摩根大通和其他银行的安全漏洞导致银行股价下跌0.4%至0.9%。
在一些情况下,应用程序存在安全漏洞的消息会导致客户数量减少。当客户意识到金融机构的网络安全意识较差时,很可能会避开他们。
对客户的威胁
美国联邦调查局(FBI)就手机银行应用程序带来的风险发布了一份建议,尤其是在银行木马兴起的情况下。这些针对银行客户的木马是恶意软件的传播点。网络犯罪分子利用它们窃取数据,不仅限于登录凭证,还包括联系人列表、短信、个人信息和其他可用于社会工程攻击的信息。
根据Javelin Strategy and Research的一项研究,在美国,仅身份盗窃就已经造成了560 亿美元的巨大问题。在过去的一年里,它影响了大约4900万美国人。通过移动应用程序传播恶意软件和直接窃取数据,是网络犯罪分子成功接管帐户并将被盗信息用于欺诈目的的方法之一。
金融服务提供商对安全的把控
金融服务提供商有责任对其应用程序的安全性负责,首先他们需要确定其代码是安全的,而这需要通过严格的安全测试来实现,如静态代码检测,在确保代码安全上起到重要的作用。同时第三方开源库的安全性同样要小心,SCA是现有常用的检测工具。此外他们应该采用所有适当的加密以及高级身份验证和适当的会话处理。同样重要的是使用安全和授权的API。
客户在确保其使用金融服务应用程序的安全性上也发挥着重要作用,最基本的是要确保应用程序的下载来源是安全可靠的。
确保对银行及其消费者的保护
对应用安全的关注应该是金融服务提供商应该注意的事,只为交付和上线的应用程序存在的安全问题,很可能会使金融服务公司及其客户面临网络盗窃或安全漏洞,从而导致巨大的声誉损失。
参读链接:
https://gbhackers.com/why-app-security-should-be-a-major-concern-for-financial-service-providers/