近日,悬镜安全成功签约中国银行,悬镜旗下风险发现类产品灵脉IAST灰盒安全测试平台将在不增加传统功能测试工作量的基础上,帮助中国银行软件中心完成产品上线前的安全测试和漏洞修复工作,提升业务安全能力,助力科技安全发展,让安全测试与SDLC无缝结合,轻松实践DevSecOps。
中国银行股份有限公司(简称”中国银行”)是中国唯一一家持续经营超过百年的银行,也是中国全球化和综合化程度最高的银行,在中国内地及61个国家和地区为客户提供全面的金融服务。涵盖投资银行、直接投资、证券、保险、基金、飞机租赁、资产管理、金融科技等多个领域的综合服务平台。
信息安全2.0时代,金融机构现状及挑战随着移动互联网、云计算等技术的发展,金融机构的业务环境愈加复杂,内部系统与外部空间的边界也愈加模糊。与此同时,网络攻击者的攻击手段却越来越丰富,攻击数量越来越多。金融机构的安全状况面临严峻挑战。根据权威机构NIST(美国国家,标准与技术研究院)的报告,超过92%的黑客安全事故都发生在软件应用本身,Verizon公司发布的《2019年数据泄露调查报告》显示,网络应用程序攻击和其他错误导致数据泄露占比高达72%,金融获益是网络攻击最常见的动机。另一份来自卡巴斯基公司对全球26个国家的调查结果表明每一个应用漏洞会让企业增加3.8万美元~55.1万美元的直接成本。
(金融信息安全面临的风险)
一方面,《等级保护2.0》、《网络安全法》等国家政策发布,自上而下推动金融信息安全发展,对金融机构的安全防护提出更高要求;另一方面,云计算、大数据、人工智能等新技术既带来了新的安全场景,又赋予信息安全更多工具和能力。等保2.0标准对新型安全攻击检测能力、网络安全分析能力、用户行为分析能力等提出了更高的要求。这也同时呼应了金融信息安全对抗高级威胁,内部威胁,升级安全体系从被动防护到主动防御、动态防御的实际需求。
(企业信息安全成熟度模型)
将安全能力左移前置,防患于未然
严峻的漏洞形式让企业不得不开始重视自身业务安全。而来自Whitehat Security的报告显示,虽然绝大多数安全人员都已认识到应用安全的重要性,但75%的开发人员对自己研发的产品安全性感到担忧。传统网络安全主要以边界防御为核心,利用防火墙、WAF、IDS等网络设备或软件对关键性基础设施进行防护。但是,传统网络安全一般只能依靠预先设定的防御规则来检测已知攻击,进行事后防护,对于现阶段层出不穷的新型攻击模式和技术,很难做到事前预警。这就要求安全分析软件要采用大数据以及人工智能技术,使其具备预测能力,从而达到预先防护的目的。然而传统的漏洞检测方法主要包括漏洞扫描产品和安全专家人工渗透测试两类。漏洞扫描产品的检测能力基于规则实现,因此只能发现常规的组件漏洞、注入漏洞,对无法提取特征的逻辑漏洞无能为力。而安全专家人工测试成本较高、水平层次不齐,检出率和漏洞覆盖率也取决于安全专家的经验。
基于人工智能的IAST,助力企业安全发展
因此需要基于人工智能技术帮助金融行业大数据平台实现全局态势感知,完成防护、检测、响应、预测的闭环。不断优化升级,由原先的依靠人工经验调整规则,变成由机器辅助决策。
悬镜灵脉IAST作为业内独家能够支持主动爬取和被动采集等多种流量方式获取的风险发现平台,以深度学习AI技术为基础,结合安全漏洞扫描产品和安全专家渗透测试经验、融合领先的IAST产品架构,使安全能力左移前置,防患于未然。可应用于项目的研发阶段,帮助开发和测试部门在SDLC早期检测和修复漏洞,从而降低企业的成本和风险。将精准化的应用安全测试高效无感地应用于从开发到测试的DevSecOps全流程之中。
*文中部分数据引用爱分析《中国金融业信息安全调研报告》,著作权为原著作者所有。
来源:freebuf.com 2020-07-09 18:13:16 by: 悬镜安全实验室
请登录后发表评论
注册