新思科技動(dòng)態(tài)應(yīng)用安全測(cè)試解決方案助力金融服務(wù)機(jī)構(gòu)交付可信產(chǎn)品

數(shù)字技術(shù)在很大程度上已經(jīng)改變了傳統(tǒng)金融服務(wù)行業(yè)的運(yùn)行方式。但是，數(shù)字化轉(zhuǎn)型在提升運(yùn)行效率的同時(shí)，也使金融業(yè)態(tài)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)加劇。一旦疏于防范，安全風(fēng)險(xiǎn)將呈現(xiàn)更快的傳播速度、更廣的影響范圍、更大的經(jīng)濟(jì)損失。這對(duì)金融業(yè)界安全是一個(gè)重大的挑戰(zhàn)。新思科技強(qiáng)調(diào)，軟件風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn)，尤其在金融行業(yè)。一旦安全計(jì)劃有薄弱環(huán)節(jié)，造成的損失可能不可估量，更談不上推進(jìn)數(shù)字化轉(zhuǎn)型。

因此，伴隨金融科技的不斷發(fā)展，應(yīng)用安全(AppSec)已經(jīng)成為金融服務(wù)機(jī)構(gòu)不可或缺的一部分。憑借可信的安全測(cè)試工具，新思科技已經(jīng)為全球許多客戶(hù)的應(yīng)用安全計(jì)劃保駕護(hù)航，其中不乏財(cái)富500強(qiáng)金融公司。

業(yè)務(wù)挑戰(zhàn)：缺乏可擴(kuò)展的端到端AppSec解決方案

新思科技為一家財(cái)富500強(qiáng)的金融公司服務(wù)。它也是美國(guó)最大的 10 家銀行之一。該銀行依賴(lài)數(shù)字化技術(shù)運(yùn)營(yíng)，需要可靠的端到端AppSec解決方案，以部署高效的應(yīng)用安全計(jì)劃。此外，它還需要快速將應(yīng)用安全擴(kuò)展到其數(shù)百個(gè)應(yīng)用程序。要實(shí)現(xiàn)這個(gè)目標(biāo)，該銀行面臨諸多挑戰(zhàn)：

• 自動(dòng)擴(kuò)展AppSec。該銀行有400多名開(kāi)發(fā)人員以及數(shù)名應(yīng)用安全專(zhuān)家，要擴(kuò)展其紅隊(duì)（Red Team, 模仿入侵者的戰(zhàn)術(shù)、技術(shù)和流程）和整個(gè)應(yīng)用安全方案組合是一個(gè)巨大的挑戰(zhàn)。而且，現(xiàn)代銀行應(yīng)用程序有很多API接口，加劇了安全挑戰(zhàn)。
• 合規(guī)。該銀行采取了系列措施，以滿(mǎn)足年審所需的關(guān)鍵合規(guī)性。AppSec是支付卡行業(yè)(PCI)合規(guī)性的重點(diǎn)要素。但是，銀行之前的AppSec方案并不能全面滿(mǎn)足合規(guī)要求。
• 對(duì)誤報(bào)進(jìn)行分類(lèi)。現(xiàn)有的自動(dòng)掃描工具產(chǎn)生大量誤報(bào)，嚴(yán)重影響了開(kāi)發(fā)流程、AppSec和資源管理。因此，與修復(fù)實(shí)際漏洞相比，安全團(tuán)隊(duì)花費(fèi)了更多時(shí)間來(lái)驗(yàn)證和交叉檢查調(diào)查結(jié)果。

解決方案：動(dòng)態(tài)應(yīng)用安全測(cè)試

經(jīng)過(guò)多維度的評(píng)估，該銀行最終選擇了新思科技的WhiteHat? Dynamic動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)。憑借WhiteHat Dynamic，銀行能以生產(chǎn)安全的方式全天候監(jiān)控和掃描數(shù)百個(gè)應(yīng)用程序。并且，WhiteHat Dynamic提供豐富的業(yè)務(wù)邏輯評(píng)??估。銀行必須獲取這些評(píng)估結(jié)果，才能有足夠把握正式地向用戶(hù)發(fā)布應(yīng)用。

鑒于該項(xiàng)目的規(guī)模和復(fù)雜性，新思科技為銀行策劃了一個(gè)全面的 AppSec 產(chǎn)品組合方案，隨后又添加了 WhiteHat Auto API。得益于此，該銀行的應(yīng)用安全團(tuán)隊(duì)僅使用一套新思科技的解決方案便擴(kuò)展了其計(jì)劃。

• WhiteHat Dynamic動(dòng)態(tài)應(yīng)用安全測(cè)試。提供連續(xù)掃描功能，誤報(bào)率低，允許安全專(zhuān)家的訪問(wèn)權(quán)限以及導(dǎo)出報(bào)告指標(biāo)。這些指標(biāo)按關(guān)鍵程度排序，詳細(xì)說(shuō)明掃描發(fā)現(xiàn)和修復(fù)的安全漏洞，并且性能隨時(shí)間推移不斷提升。
• 業(yè)務(wù)邏輯評(píng)??估。業(yè)務(wù)邏輯評(píng)??估 (BLA) 是由 新思科技安全工程師執(zhí)行的手動(dòng)評(píng)估。他們會(huì)審查那些無(wú)法通過(guò)自動(dòng)化解決方案有效測(cè)試的應(yīng)用安全漏洞。
• WhiteHat Auto API。為 Web 服務(wù) API 以及面向公共、私有和內(nèi)部的 API 提供高度可擴(kuò)展、準(zhǔn)確且全自動(dòng)的漏洞掃描。
• 安全測(cè)試服務(wù)。包括指定的項(xiàng)目經(jīng)理和相關(guān)領(lǐng)域?qū)＜业闹С帧Ｋ麄兣c銀行內(nèi)部團(tuán)隊(duì)合作，以擴(kuò)展其應(yīng)用安全項(xiàng)目。

該銀行應(yīng)用安全經(jīng)理贊賞道：“WhiteHat Dynamic提供生產(chǎn)安全的方式，無(wú)需單獨(dú)的測(cè)試環(huán)境即可安全掃描應(yīng)用。我們可以受益于這個(gè)優(yōu)勢(shì)，可以進(jìn)行經(jīng)過(guò)身份認(rèn)證的掃描。最重要的是這些掃描結(jié)果都經(jīng)過(guò)驗(yàn)證，接近零誤報(bào)。”

交付可信產(chǎn)品，安全地踏上數(shù)字化轉(zhuǎn)型之旅

該銀行可以分階段將AppSec解決方案實(shí)施到軟件開(kāi)發(fā)生命周期，監(jiān)控正確的指標(biāo)集，以可持續(xù)且可擴(kuò)展的方式部署應(yīng)用安全。

• 應(yīng)用安全的變革。DAST 評(píng)估可連續(xù)掃描，準(zhǔn)確了解銀行數(shù)百個(gè)應(yīng)用的真實(shí)風(fēng)險(xiǎn)。WhiteHat 專(zhuān)為生產(chǎn)安全掃描而設(shè)計(jì)，安全團(tuán)隊(duì)能夠?qū)⒊掷m(xù)風(fēng)險(xiǎn)評(píng)估擴(kuò)展到數(shù)百個(gè)應(yīng)用，從而節(jié)省時(shí)間和成本，無(wú)需停機(jī)。此外，新思科技安全專(zhuān)家直接反饋修復(fù)意見(jiàn)，與開(kāi)發(fā)人員交流，以滿(mǎn)足不斷變化的開(kāi)發(fā)需求。
• 掃描結(jié)果質(zhì)量提高。該銀行最大的挑戰(zhàn)之一是評(píng)估大量AppSec掃描結(jié)果和制定修復(fù)計(jì)劃。這意味著銀行要對(duì)越來(lái)越多的誤報(bào)進(jìn)行分類(lèi)。隨著互聯(lián)的應(yīng)用逐日增加，銀行的風(fēng)險(xiǎn)面也隨之?dāng)U大。WhiteHat提供了相應(yīng)的解決方案，掃描識(shí)別風(fēng)險(xiǎn)，并進(jìn)行分類(lèi)和優(yōu)先排序。得益于此，工作團(tuán)隊(duì)可以制定戰(zhàn)略性的、有針對(duì)性的計(jì)劃，以修復(fù)生產(chǎn)中最脆弱的應(yīng)用。

新思科技安全專(zhuān)家審查掃描配置，以確保掃描能夠準(zhǔn)確反映應(yīng)用或平臺(tái)的架構(gòu)和數(shù)據(jù)邊界。這些經(jīng)過(guò)驗(yàn)證的漏洞幾乎消除了誤報(bào)，從而降低了資源成本。最重要的是，更快、更準(zhǔn)確的安全漏洞識(shí)別和修復(fù)提高了整體應(yīng)用安全性和投資回報(bào)率。

• 100%合規(guī)。該銀行取得了喜人的成果，達(dá)到并保持 100% PCI 合規(guī)性。其團(tuán)隊(duì)能夠維護(hù)應(yīng)用清單，確保按時(shí)掃描和 BLA，并提供顯示目標(biāo)進(jìn)展情況的定期指標(biāo)。

該產(chǎn)品經(jīng)理介紹：“在和新思科技合作半年內(nèi)，我們的PCI合規(guī)性從40%提升到了100%?！?/p>

• AppSec投資回報(bào)率最大化。通過(guò)無(wú)縫擴(kuò)展并將程序管理添加到工作范圍，新思科技安全測(cè)試服務(wù)團(tuán)隊(duì)與銀行的應(yīng)用安全和開(kāi)發(fā)團(tuán)隊(duì)建立了密切的合作關(guān)系。與團(tuán)隊(duì)的定期協(xié)作確?？梢愿鶕?jù)銀行安全策略和最佳實(shí)踐修復(fù)漏洞。項(xiàng)目經(jīng)理制定了可衡量的標(biāo)準(zhǔn)，跟蹤整個(gè)銀行的進(jìn)展，包括定期會(huì)議、季度項(xiàng)目審查和年度服務(wù)審查會(huì)議。
• 安全活動(dòng)項(xiàng)目增多。除了動(dòng)態(tài)應(yīng)用安全測(cè)試解決方案，新思科技還幫助該銀行實(shí)施更多安全活動(dòng)，例如新用戶(hù)數(shù)據(jù)數(shù)字化、集成系統(tǒng)以將AppSec團(tuán)隊(duì)的手動(dòng)流程自動(dòng)化、漏洞嚴(yán)重程度情景化、安全政策變更咨詢(xún)，以及為應(yīng)用安全團(tuán)隊(duì)提供安全培訓(xùn)。

新思科技已經(jīng)幫助和推動(dòng)該銀行成功創(chuàng)建和采用應(yīng)用安全計(jì)劃，為客戶(hù)提供適合其要求的高性能、可測(cè)量、可擴(kuò)展和可重復(fù)的 AppSec 計(jì)劃。新思科技安全專(zhuān)家的支持可確保客戶(hù)獲得高度準(zhǔn)確的結(jié)果和及時(shí)的修復(fù)建議。

新思科技致力于幫助客戶(hù)安全地踏上數(shù)字化轉(zhuǎn)型之旅。作為合作伙伴，新思科技幫助企業(yè)了解和評(píng)估其應(yīng)用的風(fēng)險(xiǎn)狀況，為安全團(tuán)隊(duì)賦能和提升附加值。憑借新思科技可靠的產(chǎn)品和服務(wù)，安全團(tuán)隊(duì)高效地交付可信產(chǎn)品，并專(zhuān)注于未來(lái)創(chuàng)新。