安全为什么是种很玄的东西都是认识误区惹的祸

发布时间：2021-11-10 13:13 所属栏目：53 来源：互联网

导读：不管你承认不承认，信息安全都是一种很玄的东西。原因在于拥有它时，你体会不到它的价值；而只有失去它时，你才知道它究竟有多贵。新思科技（Synopsys）新发布的《金融服务业的应用安全：误区与现实》报告表明，你失去这很玄东西的原因，往往在于你头脑中存在

不管你承认不承认，信息安全都是一种很玄的东西。原因在于拥有它时，你体会不到它的价值；而只有失去它时，你才知道它究竟有多贵。新思科技（Synopsys）新发布的《金融服务业的应用安全：误区与现实》报告表明，你失去这很玄东西的原因，往往在于你头脑中存在太多认识误区。

对于估值高达22万亿美元的全球金融市场来说，高价值让它成为了网络攻击者的首选，因头脑误区而造成的误失，显然是很多人不能承受之痛。但尽管如此，一个严重的数据泄露问题，还是会导致百万美元级别的损失。2019年因数据泄露造成的损失就高达586万美元。接下来开始的疫情，使得金融行业将更多业务转到线上，但这同时也加剧了针对金融行业的攻击行为。

于是，为了避开这些误区，新思科技软件质量与安全部门高级安全架构师杨国梁为我们一一进行了解析。

误区一：金融服务公司是安全的，因为他们必须安全。

很多人认为金融服务公司的高价值，所以它们的系统一定是安全的。然而，杨国梁介绍说：“新思科技的调查结果表明，50%的金融服务公司由于不安全的软件而遭遇数据盗窃，76%的公司表示很难在上市前检测出金融软件系统中的安全漏洞。而只有34%的金融类软件经过了安全漏洞测试，只有45%的金融服务公司认为他们有预算来应对安全风险。”

于是，在金融服务公司没有足够的能力、预算、技术来提供保障时，我们还能想当然地认为金融服务的系统一定是安全的吗？

误区二：金融软件不同于其他软件（因此无法改变）

很多人认为金融软件不同于其他软件，但目前的金融服务机构的开发模式早已不是传统的瀑布式，10个月甚至一年的开发周期，软件要经历充分的测试才会上线，而现在已经逐步地转向DevOps甚至是DevSecOps模式，可能是一天至两天就会出现一个迭代的版本。在这样的开发进度下，安全往往是无暇顾及的。

杨国梁认为：“金融软件到了今天，和其他种类的软件越来越趋同，大家都会向着DevOps，进而DevSecOps方向演进。因此，从这个角度来看，所有行业面临的安全问题实际上都是一样的。”

误区三：小型金融公司和大型金融服务公司在应用安全上面可能会有差别

这是一个非常常见的误区，大家都认为黑客在攻击时会盯着名头大、钱多的大银行来攻击，而小型的金融机构相对安全。但杨国梁介绍说：“从技术角度来主，黑客在探索漏洞生成攻击时，多数都是通过自动化的攻击脚本去挖掘潜在的漏洞，自动化地攻击方式去找到有弱点的系统。在这个过程中，黑客们不会管这是一家大银行，还是一家小银行。”

（编辑：ASP站长网）

安全为什么是种很玄的东西 都是认识误区惹的祸

安全为什么是种很玄的东西都是认识误区惹的祸