datasheet

保证财产安全,如何应对层出不穷的网络攻击?

2018-08-29来源: 互联网关键字:网络攻击


image.png

作者:新思科技软件质量与安全部门管理顾问Olli Jarva

 

金融行业最基本的要求是风险控制。银行、证券等金融机构对安全的需求一直都很迫切,尤其是在大数据时代。一旦金融机构或其客户的数据被泄露,损失往往是不可估量的。



新思科技软件质量与安全部门管理顾问Olli Jarva指出:“金融服务机构经常部署复杂的应用程序,与采用不同语言的分布式地理信息系统连接。它们通过多种协议进行通信,其中一些使用的是多个平台提供的免费开源软件。”

 

image.png


这种复杂性使金融服务机构的网络面临更多漏洞。更糟糕的是,市场压力迫使软件行业要更快交付产品。在急于完成一个软件时,安全流程极有可能就被忽视了。

 

金融行业是黑客的重点攻击对象之一,从ATM攻击、DDoS攻击、勒索软件到APT攻击等,犯罪手段层出不穷。

 

为了防患于未然,我们可以探讨一下哪种防范方式更有效,能保护金融服务机构、应用程序及客户资产。

 

1. 软件安全架构

软件完整性是衡量一款软件是否卓越的关键。完整性是指软件质量与安全。在每款应用开发之初,安全专家和软件架构师应该紧密合作,以开发高度整合的、简化的软件安全架构。风险分析应该在软件开发早期阶段进行 —— 这通常被称为“左移”。

 

image.png


当所有安全决策都通过一个小型、集中式内核运行时,它不太可能会省略某个安全决策(例如授权)。开发团队可以放心地去构建一个安全的应用程序,因为代码在默认情况下从一开始就是安全的。

 

2. 威胁建模

威胁建模流程可以支持识别漏洞和潜在攻击路径,降低风险。进行威胁建模是持续风险评估过程的一部分,可以帮助开发团队保持高度的安全警惕性。不断提醒攻击的可能性,并从攻击者的角度考虑应用程序安全,有助于开发团队从不同角度进行思考,并在开发过程中进行防御。

 

 

 

3. 自动安全测试

过去,应用程序安全测试通常在软件开发过程结束时或接近结束时才进行。这就会导致如果有安全漏洞的话,开发人员要到后期才能发现,补救成本往往要更高。

 

早期发现漏洞不仅可以降低修复成本,还可以减少在后期阶段修复漏洞的时间。这对于像金融等行业的快节奏开发环境尤其重要。除了自动连续测试之外,在整个软件开发过程中采取安全措施,可以在软件投产之前就解决安全问题,避免昂贵的补救成本。

 

现在市面上有许多自动测试工具,每种工具都有优缺点。动态应用安全测试(DAST)工具(也称为黑盒测试)可识别正在运行的应用程序中的漏洞。 DAST可快速有效地查找到不同类型的应用程序漏洞,包括身份验证和授权问题。而且,即使是不熟悉编码语言的人也能使用这类工具。



静态应用安全测试(SAST)工具(也称为白盒测试)可供有权访问应用程序的源代码、字节代码或二进制文件的人使用。它能识别应用程序中的潜在漏洞,例如程序正在使用不受信任的数据,并在没有任何形式的验证和/或编码的情况下将其视为可信。黑盒测试用于正在运行的应用程序,在这个过程中不易发现的漏洞可以被 SAST工具检测出来。

 

4. 手动安全测试

自动化工具有一定的局限性,这就是为什么需要补充手动安全测试的原因。例如,自动化工具可能无法检测到逻辑和设计缺陷,这时候就需要手动代码审查和渗透测试,用来识别和解决这些问题。

 

5. 专业人员与培训计划

软件是一个团队协作开发的结果。开发过程中的所有参与者都应在安全方面获得充分的信息和培训,从而在整个软件开发生命周期(SDLC)中推动安全计划进展。推行安全计划不能只靠软件开发人员,还需要了解常见漏洞和核心安全概念的质量保证(QA)团队和项目经理。 QA团队应该能够进行基本的安全测试工作。



创造具有安全意识的环境和培养这样的团队意味着在SDLC早期就能发现安全问题,并且在其成为沉重负担前解决掉。

 

总结

金融服务机构受到高度的监管,应用程序运行环境复杂。市场日新月异,维持应用程序安全是一项有挑战的任务。但部署安全系统及在SDLC早期(即“左移”)采取安全举措可以为金融服务机构提供坚实的软件安全保障。

 


关键字:网络攻击

编辑:muyan 引用地址:http://www.eeworld.com.cn/wltx/2018/ic-news082921014.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:5G芯片,高通、华为谁能吃第一口螃蟹?
下一篇:5G牌照,三大运营商或将人手一张

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

佛罗里达理工大学正利用新型网络攻击提升安全性和弹性

据外媒报道,佛罗里达理工大学(Florida Polytechnic University)的研究人员正利用新型网络攻击,提升自动驾驶汽车和无人飞行汽车(无人机)等信息物理系统(CPS)的安全性和弹性。 该研究项目由佛罗里达理工大学电子工程系助理教授Arman Sargolzaei博士与佛罗里达理工大学计算机科学系助理教授Navid Khoshavi博士以及佛罗里达国际大学(Florida International University)电子工程系教授Kan K Yen博士合作开展。 由于信息物理系统在不断发展,变得越来越复杂,同时也变得越来越易受到攻击。佛罗里达理工大学电子工程助理教授Arman
发表于 2019-04-03

佛罗里达州大学研究新型网络攻击 以提升自动驾驶系统安全性

(图片来源:佛罗里达理工大学官网,图中人物:Arman Sargolzaei博士)据外媒报道,佛罗里达理工大学(Florida Polytechnic University)的研究人员正利用新型网络攻击,提升自动驾驶汽车和无人飞行汽车(无人机)等信息物理系统(CPS)的安全性和弹性。该研究项目由佛罗里达理工大学电子工程系助理教授Arman Sargolzaei博士与佛罗里达理工大学计算机科学系助理教授Navid Khoshavi博士以及佛罗里达国际大学(Florida International University)电子工程系教授Kan K Yen博士合作开展。由于信息物理系统在不断发展,变得越来越复杂,同时也变得越来越易受到
发表于 2019-04-01
佛罗里达州大学研究新型网络攻击 以提升自动驾驶系统安全性

2019美国RSA信息安全大会:人类将成为未来网络攻击的对象

目前的网络安全威胁有些像一辆装备完善的车在爬坡,已经换了档。开始的时候,网络攻击也就是一些 “脚本小孩”在他们父母的地下室里用一些简单的计算机黑进网站搞点破坏而已,无伤大雅。但随着各种主要业务开始用互联网进行交易处理,网络成了获取真正有价值物品的目标,这些有价值物品包括专有公司秘密、货币等等。去年曾有12名俄罗斯军官因为窃取美国民主党全国委员会文件而被起诉,这很好地说明了现在的风险变得更高了。这些黑客被控阴谋影响美国总统大选。影响大选是对头脑份额的窃取。而据本周齐集在旧金山举行的RSA会议的安全专家的观点,2016年发生的窃取事件和明年大选期间将会发生的事情相比基本就是小事一桩。安全解决方案公司Comodo首席研究科学家兼北约
发表于 2019-03-08

联网升级后的汽车也变得更容易受到网络攻击

随着汽车制造商推出更复杂的功能,我们的日常通勤变得越来越轻松。更多汽车更是结合了联网功能,让汽车变得更加智能。但不得不说联网升级后的汽车也变得更容易受到网络攻击。  根据最新的数据显示,随着网联汽车不断上路,恶意的黑客可以利用互联网、Wi-Fi等方式来操控汽车。如果网联汽车的安全问题始终得不到解决,那么用户的驾驶安全和个人隐私将会受到很大的影响。而调查结果也显示,84%的受访者担心汽车制造商无法跟上行业快速变化产生的安全威胁,汽车制造商正在装载的信息娱乐系统、自动驾驶功能、WiFi、蜂窝连接等,会使公司和消费者更容易受到安全漏洞的威胁。  其实早在2015年,一名黑客就操控过Jeep
发表于 2019-02-14
联网升级后的汽车也变得更容易受到网络攻击

三菱电机研发多层防御技术 防止网联汽车遭受网络攻击恶意远程控制

据外媒报道,当地时间1月21日,日本三菱电机公司(Mitsubishi Electric Corporation)宣布,已经成功研发多层防御技术,可通过增强网联汽车主机的防御能力,保护网联汽车免受网络攻击。该技术将有助于实现更加安全的汽车系统,为日益普及且连接到外部网络的车辆服务。具备通讯功能的车辆可与互联网以及智能手机等移动设备相连。而此类车辆易受网络攻击,甚至在极端情况下会受到恶意远程控制,因此网络安全的重要性也与日俱增。三菱电机最新研发的多层防御技术可通过各种强大的安全功能防止网络攻击,包括无需高负荷处理的入侵检测系统和在车辆启动过程中快速验证软件完整性的安全启动技术。三菱电机主要检测针对车辆控制和汽车主机的网络攻击,其研发
发表于 2019-01-23
三菱电机研发多层防御技术 防止网联汽车遭受网络攻击恶意远程控制

Argus和 NXP 提供联合软硬件解决方案保护车辆免受网络攻击

该全面解决方案提供实时预防、深度防御,以及及时应对、恢复和保护车队免受最复杂攻击的能力。拉斯维加斯(CES 2019,北大厅 6106 号展位),2019 年 1 月 7 日 –Elektrobit (EB) 是汽车行业嵌入式和互联软件产品领域富有远见的全球供应商,其子公司 Argus Cyber Security (Argus) 是汽车信息安全领域的全球领导者。该公司今日宣布,他们正与 NXP 合作,推出业内首套完整软硬件解决方案,即使面对最复杂的网络攻击,亦能提供全面的保护。车辆安全是重中之重,对汽车制造商而言,最为关键的就是能为乘客提供针对网络威胁的最佳防御方案。该联合解决方案使得汽车制造商有能力遵循即将出台的法规和当前
发表于 2019-01-08

小广播

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2019 EEWORLD.com.cn, Inc. All rights reserved