為什麼應用安全應該成為金融服務提供商的重點關注問題?
金融服務提供商正在利用網際網路和聯網移動裝置的廣泛使用進行數字化。這無疑給每個人帶來了方便,但也產生了新的安全問題。
對於以數字方式和通過Web開展業務的公司而言,最重要的安全問題之一是應用程式的使用,包括裝置上的本機應用程式和Web應用程式。隨著金融服務提供商通過應用程式與其客戶互動,新的威脅和漏洞出現了。
據CSO報導,目前應用程式安全狀況看起來不容樂觀。許多企業機構即使並不確定釋出的應用程式的安全性,還是會繼續編寫他們的程式碼。此外,只有48%的組織投資於安全控制以解決其應用程式開源元件中的漏洞,這些元件佔50%的企業整體程式碼庫的一半。
應用程式成為安全風險
鑑於目前網路攻擊的數量和複雜程度不斷增加,應用程式安全值得充分關注。
據Statista稱,金融業是網路威脅的首要目標之一。銀行和其他金融服務提供商不能僅僅滿足於基本的安全控制,尤其是當涉及到他們讓客戶使用的應用程式時。建議金融行業在軟體開發期間更多關注程式碼安全以提高應用程式自身安全性。
在理想情況下,開發人員在建立新的應用程式時應當就開始考慮安全問題。但在現實中並非如此,許多應用程式最終都存在缺陷,使得它們面臨各種威脅,包括點選劫持、HTTP 響應拆分和方法篡改、格式錯誤的內容、路徑遍歷、命令注入、跨站點指令碼、請求偽造,以及CSS和HTML注入。安全可信的靜態程式碼檢測工具可以幫助開發人員發現部分缺陷,避免被利用後形成重大安全漏洞。
去年的一項研究報告顯示,銀行的應用程式廣泛存在安全問題。大約一半的手機銀行應用程式存在問題,可能被網路犯罪分子利用來獲取敏感資訊,並從事欺詐活動。約43%的應用程式在沒有加密或其他形式保護的情況下儲存敏感資料。此外,發現的漏洞中有76%被證明是可以利用的,而不需要對目標裝置進行物理訪問,超過三分之一的漏洞是可以利用的,而不需要管理員許可權。
需要指出的是,網路犯罪分子還可以利用應用程式來竊取各種資訊。僅使用ATM或非線上金融服務的銀行客戶,如果他們的裝置上有可用於進行網路釣魚、誘餌、藉口、尾隨、水坑、勒索軟體和其他攻擊的資訊,也可能成為網路犯罪分子的犧牲品。
銀行和金融服務提供商面臨的威脅
由於應用程式安全問題,銀行和金融服務提供商將遭受經濟損失。NIST 的一份報告稱,美國每年的網路犯罪損失達數千億美元,約佔GDP的1%到4%。其中大部分損失由金融機構和服務提供商承擔。
銀行保證在客戶發生盜竊或其他可追溯到他們問題時,向其客戶提供賠償,當遭遇異議或訴訟時,這種損失甚至可能成倍增加。
另外,銀行和金融相關企業很可能因其應用程式安全性差而遭受聲譽損失。例如,2014年針對摩根大通和其他銀行的安全漏洞導致銀行股價下跌0.4%至0.9%。
在一些情況下,應用程式存在安全漏洞的訊息會導致客戶數量減少。當客戶意識到金融機構的網路安全意識較差時,很可能會避開他們。
對客戶的威脅
美國聯邦調查局(FBI)就手機銀行應用程式帶來的風險釋出了一份建議,尤其是在銀行木馬興起的情況下。這些針對銀行客戶的木馬是惡意軟體的傳播點。網路犯罪分子利用它們竊取資料,不僅限於登入憑證,還包括聯絡人列表、簡訊、個人資訊和其他可用於社會工程攻擊的資訊。
根據Javelin Strategy and Research的一項研究,在美國,僅身份盜竊就已經造成了560 億美元的巨大問題。在過去的一年裡,它影響了大約4900萬美國人。通過移動應用程式傳播惡意軟體和直接竊取資料,是網路犯罪分子成功接管帳戶並將被盜資訊用於欺詐目的的方法之一。
金融服務提供商對安全的把控
金融服務提供商有責任對其應用程式的安全性負責,首先他們需要確定其程式碼是安全的,而這需要通過嚴格的安全測試來實現,如靜態程式碼檢測,在確保程式碼安全上起到重要的作用。同時第三方開源庫的安全性同樣要小心,SCA是現有常用的檢測工具。此外他們應該採用所有適當的加密以及高階身份驗證和適當的會話處理。同樣重要的是使用安全和授權的API。
客戶在確保其使用金融服務應用程式的安全性上也發揮著重要作用,最基本的是要確保應用程式的下載來源是安全可靠的。
確保對銀行及其消費者的保護
對應用安全的關注應該是金融服務提供商應該注意的事,只為交付和上線的應用程式存在的安全問題,很可能會使金融服務公司及其客戶面臨網路盜竊或安全漏洞,從而導致巨大的聲譽損失。
參讀連結:
https://gbhackers.com/why-app-security-should-be-a-major-concern-for-financial-service-providers/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2795282/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 手遊安全真正應該關注什麼?
- 你為什麼不應該過度關注go語言的逃逸分析Go
- 五個關鍵問答,解讀金融App應用安全熱點話題APP
- 想要成為大牛應該做到以下幾點
- 為什麼程式猿都應該學點linux命令?Linux
- 為什麼你應該成為六西格瑪黑帶大師
- 認為值得重點關注的技術
- Linux有什麼特點?為何受關注?Linux
- Microsoft 365應用將取代Office應用,成為體驗微軟服務的新中心ROS微軟
- web前端應用應該關注哪些效能指標?Web前端指標
- 為什麼我們要關注醫療衛生服務面臨的網路安全威脅
- 合理解釋:為什麼安全不再是OpenAI關注焦點?OpenAI
- 為什麼企業要更加關注網路安全
- 解決軟體供應鏈安全問題需要關注哪些問題
- 為有效保護老年人養老問題,我們應該做些什麼?
- 為什麼你應該嘗試@reach/router
- 有關顧問為誰服務的一點思考
- 關鍵應用的可觀測效能力設計應該引起關注
- 為什麼需要應急響應?網路安全應急響應需要做什麼?
- 如何成為安全工程師?Web應用程式有哪些優點?工程師Web
- 4.2.1.10 為您的應用程式計劃服務
- 為什麼看不見AHAS應用?
- 成為雲大使以後應該怎麼推廣
- YouGov:32%的女性認為媒體應該更關注性侵犯事件Go事件
- 經緯低調:為什麼現在VC都關注供應鏈了?
- 為什麼你應該停止閱讀新聞?
- 為什麼Python停止執行?該如何應對?Python
- 為什麼 AI 時代更應該 Learn in PublicAI
- 為什麼開發者應該摒棄敏捷?敏捷
- [譯] 為什麼你應該開始使用 KotlinKotlin
- 為什麼應該切換到實時渲染
- Grafana 系列文章(十):為什麼應該使用 LokiGrafanaLoki
- 2022 SDC 議題 | 從應用場景看金融安全 — 邏輯為王
- 【網路安全】組織為什麼需要應急響應?應急響應需要做什麼?
- 什麼樣的問題應該使用動態規劃動態規劃
- 程式設計師與產品之間應該如何配合,什麼時候技術為重,什麼時候產品為重?程式設計師
- 模切企業管理者重點關注哪些應用和功能
- 為什麼開發人員痴迷於“關注點分離”?