金融行业正在全面铺开数字化业务,并不断丰富场景生态和完善数字化管理。新思科技强调,软件风险等同于业务风险,尤其在金融行业。一旦安全计划有薄弱环节,造成的损失可能不可估量,更谈不上推进数字化转型。因此,伴随金融科技的不断发展,应用安全(AppSec)已经成为金融服务机构不可或缺的一部分。凭借可信的安全测试工具,新思科技已经为全球许多客户的应用安全计划保驾护航,其中不乏财富500强金融公司。
业务挑战:缺乏可扩展的端到端AppSec解决方案
新思科技为一家财富500强的金融公司服务。它也是美国最大的 10 家银行之一。该银行依赖数字化技术运营,需要可靠的端到端AppSec解决方案,以部署高效的应用安全计划。此外,它还需要快速将应用安全扩展到其数百个应用程序。要实现这个目标,该银行面临诸多挑战:
自动扩展AppSec。该银行有400多名开发人员以及数名应用安全专家,要扩展其红队(Red Team, 模仿入侵者的战术、技术和流程)和整个应用安全方案组合是一个巨大的挑战。而且,现代银行应用程序有很多API接口,加剧了安全挑战。
合规。该银行采取了系列措施,以满足年审所需的关键合规性。AppSec是支付卡行业(PCI)合规性的重点要素。但是,银行之前的AppSec方案并不能全面满足合规要求。
对误报进行分类。现有的自动扫描工具产生大量误报,严重影响了开发流程、AppSec和资源管理。因此,与修复实际漏洞相比,安全团队花费了更多时间来验证和交叉检查调查结果。
解决方案:动态应用安全测试
经过多维度的评估,该银行最终选择了新思科技的WhiteHat™ Dynamic动态应用安全测试(DAST)。凭借WhiteHat Dynamic,银行能以生产安全的方式全天候监控和扫描数百个应用程序。并且,WhiteHat Dynamic提供丰富的业务逻辑评估。银行必须获取这些评估结果,才能有足够把握正式地向用户发布应用。
鉴于该项目的规模和复杂性,新思科技为银行策划了一个全面的 AppSec 产品组合方案,随后又添加了 WhiteHat Auto API。得益于此,该银行的应用安全团队仅使用一套新思科技的解决方案便扩展了其计划。
WhiteHat Dynamic动态应用安全测试。提供连续扫描功能,误报率低,允许安全专家的访问权限以及导出报告指标。这些指标按关键程度排序,详细说明扫描发现和修复的安全漏洞,并且性能随时间推移不断提升。
业务逻辑评估。业务逻辑评估 (BLA) 是由 新思科技安全工程师执行的手动评估。他们会审查那些无法通过自动化解决方案有效测试的应用安全漏洞。
WhiteHat Auto API。为 Web 服务 API 以及面向公共、私有和内部的 API 提供高度可扩展、准确且全自动的漏洞扫描。
安全测试服务。包括指定的项目经理和相关领域专家的支持。他们与银行内部团队合作,以扩展其应用安全项目。
该银行应用安全经理赞赏道:“WhiteHat Dynamic提供生产安全的方式,无需单独的测试环境即可安全扫描应用。我们可以受益于这个优势,可以进行经过身份认证的扫描。最重要的是这些扫描结果都经过验证,接近零误报。”
交付可信产品,安全地踏上数字化转型之旅
该银行可以分阶段将AppSec解决方案实施到软件开发生命周期,监控正确的指标集,以可持续且可扩展的方式部署应用安全。
应用安全的变革。DAST 评估可连续扫描,准确了解银行数百个应用的真实风险。WhiteHat 专为生产安全扫描而设计,安全团队能够将持续风险评估扩展到数百个应用,从而节省时间和成本,无需停机。此外,新思科技安全专家直接反馈修复意见,与开发人员交流,以满足不断变化的开发需求。
扫描结果质量提高。该银行最大的挑战之一是评估大量AppSec扫描结果和制定修复计划。这意味着银行要对越来越多的误报进行分类。随着互联的应用逐日增加,银行的风险面也随之扩大。WhiteHat提供了相应的解决方案,扫描识别风险,并进行分类和优先排序。得益于此,工作团队可以制定战略性的、有针对性的计划,以修复生产中最脆弱的应用。
新思科技安全专家审查扫描配置,以确保扫描能够准确反映应用或平台的架构和数据边界。这些经过验证的漏洞几乎消除了误报,从而降低了资源成本。最重要的是,更快、更准确的安全漏洞识别和修复提高了整体应用安全性和投资回报率。
100%合规。该银行取得了喜人的成果,达到并保持 100% PCI 合规性。其团队能够维护应用清单,确保按时扫描和 BLA,并提供显示目标进展情况的定期指标。
该产品经理介绍:“在和新思科技合作半年内,我们的PCI合规性从40%提升到了100%。”
AppSec投资回报率最大化。通过无缝扩展并将程序管理添加到工作范围,新思科技安全测试服务团队与银行的应用安全和开发团队建立了密切的合作关系。与团队的定期协作确保可以根据银行安全策略和最佳实践修复漏洞。项目经理制定了可衡量的标准,跟踪整个银行的进展,包括定期会议、季度项目审查和年度服务审查会议。
安全活动项目增多。除了动态应用安全测试解决方案,新思科技还帮助该银行实施更多安全活动,例如新用户数据数字化、集成系统以将AppSec团队的手动流程自动化、漏洞严重程度情景化、安全政策变更咨询,以及为应用安全团队提供安全培训。
新思科技已经帮助和推动该银行成功创建和采用应用安全计划,为客户提供适合其要求的高性能、可测量、可扩展和可重复的 AppSec 计划。新思科技安全专家的支持可确保客户获得高度准确的结果和及时的修复建议。
新思科技致力于帮助客户安全地踏上数字化转型之旅。作为合作伙伴,新思科技帮助企业了解和评估其应用的风险状况,为安全团队赋能和提升附加值。凭借新思科技可靠的产品和服务,安全团队高效地交付可信产品,并专注于未来创新。