為什麼應用安全應該成為金融服務提供商的重點關注問題?

金融服務提供商正在利用網際網路和聯網移動裝置的廣泛使用進行數字化。這無疑給每個人帶來了方便，但也產生了新的安全問題。

對於以數字方式和通過Web開展業務的公司而言，最重要的安全問題之一是應用程式的使用，包括裝置上的本機應用程式和Web應用程式。隨著金融服務提供商通過應用程式與其客戶互動，新的威脅和漏洞出現了。

據CSO報導，目前應用程式安全狀況看起來不容樂觀。許多企業機構即使並不確定釋出的應用程式的安全性，還是會繼續編寫他們的程式碼。此外，只有48%的組織投資於安全控制以解決其應用程式開源元件中的漏洞，這些元件佔50%的企業整體程式碼庫的一半。

應用程式成為安全風險

鑑於目前網路攻擊的數量和複雜程度不斷增加，應用程式安全值得充分關注。

據Statista稱，金融業是網路威脅的首要目標之一。銀行和其他金融服務提供商不能僅僅滿足於基本的安全控制，尤其是當涉及到他們讓客戶使用的應用程式時。建議金融行業在軟體開發期間更多關注程式碼安全以提高應用程式自身安全性。

在理想情況下，開發人員在建立新的應用程式時應當就開始考慮安全問題。但在現實中並非如此，許多應用程式最終都存在缺陷，使得它們面臨各種威脅，包括點選劫持、HTTP 響應拆分和方法篡改、格式錯誤的內容、路徑遍歷、命令注入、跨站點指令碼、請求偽造，以及CSS和HTML注入。安全可信的靜態程式碼檢測工具可以幫助開發人員發現部分缺陷，避免被利用後形成重大安全漏洞。

去年的一項研究報告顯示，銀行的應用程式廣泛存在安全問題。大約一半的手機銀行應用程式存在問題，可能被網路犯罪分子利用來獲取敏感資訊，並從事欺詐活動。約43%的應用程式在沒有加密或其他形式保護的情況下儲存敏感資料。此外，發現的漏洞中有76%被證明是可以利用的，而不需要對目標裝置進行物理訪問，超過三分之一的漏洞是可以利用的，而不需要管理員許可權。

需要指出的是，網路犯罪分子還可以利用應用程式來竊取各種資訊。僅使用ATM或非線上金融服務的銀行客戶，如果他們的裝置上有可用於進行網路釣魚、誘餌、藉口、尾隨、水坑、勒索軟體和其他攻擊的資訊，也可能成為網路犯罪分子的犧牲品。

銀行和金融服務提供商面臨的威脅

由於應用程式安全問題，銀行和金融服務提供商將遭受經濟損失。NIST 的一份報告稱，美國每年的網路犯罪損失達數千億美元，約佔GDP的1%到4%。其中大部分損失由金融機構和服務提供商承擔。

銀行保證在客戶發生盜竊或其他可追溯到他們問題時，向其客戶提供賠償，當遭遇異議或訴訟時，這種損失甚至可能成倍增加。

另外，銀行和金融相關企業很可能因其應用程式安全性差而遭受聲譽損失。例如，2014年針對摩根大通和其他銀行的安全漏洞導致銀行股價下跌0.4%至0.9%。

在一些情況下，應用程式存在安全漏洞的訊息會導致客戶數量減少。當客戶意識到金融機構的網路安全意識較差時，很可能會避開他們。

對客戶的威脅

美國聯邦調查局(FBI)就手機銀行應用程式帶來的風險釋出了一份建議，尤其是在銀行木馬興起的情況下。這些針對銀行客戶的木馬是惡意軟體的傳播點。網路犯罪分子利用它們竊取資料，不僅限於登入憑證，還包括聯絡人列表、簡訊、個人資訊和其他可用於社會工程攻擊的資訊。

根據Javelin Strategy and Research的一項研究，在美國，僅身份盜竊就已經造成了560 億美元的巨大問題。在過去的一年裡，它影響了大約4900萬美國人。通過移動應用程式傳播惡意軟體和直接竊取資料，是網路犯罪分子成功接管帳戶並將被盜資訊用於欺詐目的的方法之一。

金融服務提供商對安全的把控

金融服務提供商有責任對其應用程式的安全性負責，首先他們需要確定其程式碼是安全的，而這需要通過嚴格的安全測試來實現，如靜態程式碼檢測，在確保程式碼安全上起到重要的作用。同時第三方開源庫的安全性同樣要小心，SCA是現有常用的檢測工具。此外他們應該採用所有適當的加密以及高階身份驗證和適當的會話處理。同樣重要的是使用安全和授權的API。

客戶在確保其使用金融服務應用程式的安全性上也發揮著重要作用，最基本的是要確保應用程式的下載來源是安全可靠的。

確保對銀行及其消費者的保護

對應用安全的關注應該是金融服務提供商應該注意的事，只為交付和上線的應用程式存在的安全問題，很可能會使金融服務公司及其客戶面臨網路盜竊或安全漏洞，從而導致巨大的聲譽損失。

參讀連結：

https://gbhackers.com/why-app-security-should-be-a-major-concern-for-financial-service-providers/