新思科技動(dòng)態(tài)應(yīng)用安全測(cè)試解決方案助力金融服務(wù)機(jī)構(gòu)交付可信產(chǎn)品
掃描二維碼
隨時(shí)隨地手機(jī)看文章
數(shù)字技術(shù)在很大程度上已經(jīng)改變了傳統(tǒng)金融服務(wù)行業(yè)的運(yùn)行方式。但是,數(shù)字化轉(zhuǎn)型在提升運(yùn)行效率的同時(shí),也使金融業(yè)態(tài)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)加劇。一旦疏于防范,安全風(fēng)險(xiǎn)將呈現(xiàn)更快的傳播速度、更廣的影響范圍、更大的經(jīng)濟(jì)損失。這對(duì)金融業(yè)界安全是一個(gè)重大的挑戰(zhàn)。新思科技強(qiáng)調(diào),軟件風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn),尤其在金融行業(yè)。一旦安全計(jì)劃有薄弱環(huán)節(jié),造成的損失可能不可估量,更談不上推進(jìn)數(shù)字化轉(zhuǎn)型。
因此,伴隨金融科技的不斷發(fā)展,應(yīng)用安全(AppSec)已經(jīng)成為金融服務(wù)機(jī)構(gòu)不可或缺的一部分。憑借可信的安全測(cè)試工具,新思科技已經(jīng)為全球許多客戶的應(yīng)用安全計(jì)劃保駕護(hù)航,其中不乏財(cái)富500強(qiáng)金融公司。
業(yè)務(wù)挑戰(zhàn):缺乏可擴(kuò)展的端到端AppSec解決方案
新思科技為一家財(cái)富500強(qiáng)的金融公司服務(wù)。它也是美國(guó)最大的 10 家銀行之一。該銀行依賴數(shù)字化技術(shù)運(yùn)營(yíng),需要可靠的端到端AppSec解決方案,以部署高效的應(yīng)用安全計(jì)劃。此外,它還需要快速將應(yīng)用安全擴(kuò)展到其數(shù)百個(gè)應(yīng)用程序。要實(shí)現(xiàn)這個(gè)目標(biāo),該銀行面臨諸多挑戰(zhàn):
■自動(dòng)擴(kuò)展AppSec。該銀行有400多名開(kāi)發(fā)人員以及數(shù)名應(yīng)用安全專(zhuān)家,要擴(kuò)展其紅隊(duì)(Red Team, 模仿入侵者的戰(zhàn)術(shù)、技術(shù)和流程)和整個(gè)應(yīng)用安全方案組合是一個(gè)巨大的挑戰(zhàn)。而且,現(xiàn)代銀行應(yīng)用程序有很多API接口,加劇了安全挑戰(zhàn)。
?合規(guī)。該銀行采取了系列措施,以滿足年審所需的關(guān)鍵合規(guī)性。AppSec是支付卡行業(yè)(PCI)合規(guī)性的重點(diǎn)要素。但是,銀行之前的AppSec方案并不能全面滿足合規(guī)要求。
?對(duì)誤報(bào)進(jìn)行分類(lèi)?,F(xiàn)有的自動(dòng)掃描工具產(chǎn)生大量誤報(bào),嚴(yán)重影響了開(kāi)發(fā)流程、AppSec和資源管理。因此,與修復(fù)實(shí)際漏洞相比,安全團(tuán)隊(duì)花費(fèi)了更多時(shí)間來(lái)驗(yàn)證和交叉檢查調(diào)查結(jié)果。
解決方案:動(dòng)態(tài)應(yīng)用安全測(cè)試
經(jīng)過(guò)多維度的評(píng)估,該銀行最終選擇了新思科技的WhiteHat? Dynamic動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)。憑借WhiteHat Dynamic,銀行能以生產(chǎn)安全的方式全天候監(jiān)控和掃描數(shù)百個(gè)應(yīng)用程序。并且,WhiteHat Dynamic提供豐富的業(yè)務(wù)邏輯評(píng)估。銀行必須獲取這些評(píng)估結(jié)果,才能有足夠把握正式地向用戶發(fā)布應(yīng)用。
鑒于該項(xiàng)目的規(guī)模和復(fù)雜性,新思科技為銀行策劃了一個(gè)全面的 AppSec 產(chǎn)品組合方案,隨后又添加了 WhiteHat Auto API。得益于此,該銀行的應(yīng)用安全團(tuán)隊(duì)僅使用一套新思科技的解決方案便擴(kuò)展了其計(jì)劃。
WhiteHat Dynamic動(dòng)態(tài)應(yīng)用安全測(cè)試。提供連續(xù)掃描功能,誤報(bào)率低,允許安全專(zhuān)家的訪問(wèn)權(quán)限以及導(dǎo)出報(bào)告指標(biāo)。這些指標(biāo)按關(guān)鍵程度排序,詳細(xì)說(shuō)明掃描發(fā)現(xiàn)和修復(fù)的安全漏洞,并且性能隨時(shí)間推移不斷提升。
業(yè)務(wù)邏輯評(píng)估。業(yè)務(wù)邏輯評(píng)估 (BLA) 是由新思科技安全工程師執(zhí)行的手動(dòng)評(píng)估。他們會(huì)審查那些無(wú)法通過(guò)自動(dòng)化解決方案有效測(cè)試的應(yīng)用安全漏洞。
WhiteHat Auto API。為 Web 服務(wù) API 以及面向公共、私有和內(nèi)部的 API 提供高度可擴(kuò)展、準(zhǔn)確且全自動(dòng)的漏洞掃描。
安全測(cè)試服務(wù)。包括指定的項(xiàng)目經(jīng)理和相關(guān)領(lǐng)域?qū)<业闹С?。他們與銀行內(nèi)部團(tuán)隊(duì)合作,以擴(kuò)展其應(yīng)用安全項(xiàng)目。
該銀行應(yīng)用安全經(jīng)理贊賞道:“WhiteHat Dynamic提供生產(chǎn)安全的方式,無(wú)需單獨(dú)的測(cè)試環(huán)境即可安全掃描應(yīng)用。我們可以受益于這個(gè)優(yōu)勢(shì),可以進(jìn)行經(jīng)過(guò)身份認(rèn)證的掃描。最重要的是這些掃描結(jié)果都經(jīng)過(guò)驗(yàn)證,接近零誤報(bào)?!?
交付可信產(chǎn)品,安全地踏上數(shù)字化轉(zhuǎn)型之旅
該銀行可以分階段將AppSec解決方案實(shí)施到軟件開(kāi)發(fā)生命周期,監(jiān)控正確的指標(biāo)集,以可持續(xù)且可擴(kuò)展的方式部署應(yīng)用安全。
應(yīng)用安全的變革。DAST 評(píng)估可連續(xù)掃描,準(zhǔn)確了解銀行數(shù)百個(gè)應(yīng)用的真實(shí)風(fēng)險(xiǎn)。WhiteHat 專(zhuān)為生產(chǎn)安全掃描而設(shè)計(jì),安全團(tuán)隊(duì)能夠?qū)⒊掷m(xù)風(fēng)險(xiǎn)評(píng)估擴(kuò)展到數(shù)百個(gè)應(yīng)用,從而節(jié)省時(shí)間和成本,無(wú)需停機(jī)。此外,新思科技安全專(zhuān)家直接反饋修復(fù)意見(jiàn),與開(kāi)發(fā)人員交流,以滿足不斷變化的開(kāi)發(fā)需求。
掃描結(jié)果質(zhì)量提高。該銀行最大的挑戰(zhàn)之一是評(píng)估大量AppSec掃描結(jié)果和制定修復(fù)計(jì)劃。這意味著銀行要對(duì)越來(lái)越多的誤報(bào)進(jìn)行分類(lèi)。隨著互聯(lián)的應(yīng)用逐日增加,銀行的風(fēng)險(xiǎn)面也隨之?dāng)U大。WhiteHat提供了相應(yīng)的解決方案,掃描識(shí)別風(fēng)險(xiǎn),并進(jìn)行分類(lèi)和優(yōu)先排序。得益于此,工作團(tuán)隊(duì)可以制定戰(zhàn)略性的、有針對(duì)性的計(jì)劃,以修復(fù)生產(chǎn)中最脆弱的應(yīng)用。
新思科技安全專(zhuān)家審查掃描配置,以確保掃描能夠準(zhǔn)確反映應(yīng)用或平臺(tái)的架構(gòu)和數(shù)據(jù)邊界。這些經(jīng)過(guò)驗(yàn)證的漏洞幾乎消除了誤報(bào),從而降低了資源成本。最重要的是,更快、更準(zhǔn)確的安全漏洞識(shí)別和修復(fù)提高了整體應(yīng)用安全性和投資回報(bào)率。
100%合規(guī)。該銀行取得了喜人的成果,達(dá)到并保持 100% PCI 合規(guī)性。其團(tuán)隊(duì)能夠維護(hù)應(yīng)用清單,確保按時(shí)掃描和 BLA,并提供顯示目標(biāo)進(jìn)展情況的定期指標(biāo)。
該產(chǎn)品經(jīng)理介紹:“在和新思科技合作半年內(nèi),我們的PCI合規(guī)性從40%提升到了100%。”
AppSec投資回報(bào)率最大化。通過(guò)無(wú)縫擴(kuò)展并將程序管理添加到工作范圍,新思科技安全測(cè)試服務(wù)團(tuán)隊(duì)與銀行的應(yīng)用安全和開(kāi)發(fā)團(tuán)隊(duì)建立了密切的合作關(guān)系。與團(tuán)隊(duì)的定期協(xié)作確??梢愿鶕?jù)銀行安全策略和最佳實(shí)踐修復(fù)漏洞。項(xiàng)目經(jīng)理制定了可衡量的標(biāo)準(zhǔn),跟蹤整個(gè)銀行的進(jìn)展,包括定期會(huì)議、季度項(xiàng)目審查和年度服務(wù)審查會(huì)議。
安全活動(dòng)項(xiàng)目增多。除了動(dòng)態(tài)應(yīng)用安全測(cè)試解決方案,新思科技還幫助該銀行實(shí)施更多安全活動(dòng),例如新用戶數(shù)據(jù)數(shù)字化、集成系統(tǒng)以將AppSec團(tuán)隊(duì)的手動(dòng)流程自動(dòng)化、漏洞嚴(yán)重程度情景化、安全政策變更咨詢,以及為應(yīng)用安全團(tuán)隊(duì)提供安全培訓(xùn)。
新思科技已經(jīng)幫助和推動(dòng)該銀行成功創(chuàng)建和采用應(yīng)用安全計(jì)劃,為客戶提供適合其要求的高性能、可測(cè)量、可擴(kuò)展和可重復(fù)的 AppSec 計(jì)劃。新思科技安全專(zhuān)家的支持可確??蛻臬@得高度準(zhǔn)確的結(jié)果和及時(shí)的修復(fù)建議。
新思科技致力于幫助客戶安全地踏上數(shù)字化轉(zhuǎn)型之旅。作為合作伙伴,新思科技幫助企業(yè)了解和評(píng)估其應(yīng)用的風(fēng)險(xiǎn)狀況,為安全團(tuán)隊(duì)賦能和提升附加值。憑借新思科技可靠的產(chǎn)品和服務(wù),安全團(tuán)隊(duì)高效地交付可信產(chǎn)品,并專(zhuān)注于未來(lái)創(chuàng)新。