近日,金融监管总局下发《关于加强第三方合作中网络和数据安全管理的通知》,通知中提到:近期发生多起银行保险外包供应商安全⻛险事件,对银行保险机构的网络系统安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在的突出问题。要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改。
《通知》提到的5起科技外包风险事件中,其中3起是由于外包服务商提供的系统、第三方工具存在安全漏洞,而遭受黑客攻击造成的。例如:2022年8月份,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。金融机构正在面临严峻的供应链安全管理挑战。
01/ 金融机构供应链安全管理挑战
1、对第三方科技供应商依赖度大,断供与信息安全风险激增
随着数字化转型的持续深入,银行、保险等金融机构对外部信息技术的需求不断增加。信息科技外包供应商,作为弥补传统金融机构信息技术短板的专业力量,在金融机构数字化转型道路上承担着越来越重要的角色。
大多数中小型商业银行,更是将信息技术基础设施全部托管于外部机构,这将导致:攻击者可能会以供应商为跳板,攻击企业,导致数据泄露或业务受到影响,甚至违反监管要求,收到相关处罚。
2、金融机构逐渐成为网络犯罪分子眼中的“香饽饽”
金融行业作为国家关键信息基础设施之一,金融科技系统的安全性将关系到用户、社会乃至整个国家的稳定。随着金融机构信息化程度的增加,信息互联带来高效的同时,也让机构面临巨大的安全威胁。
据国家互联网金融风险分析技术平台数据:截至2021年10月底,共发现针对互联网金融网站攻击次数达7476.8万次。针对金融机构的APT攻击、精准式网络攻击日益激增。通过互联网攻击手段实施金融犯罪活动,已经成为金融犯罪的重要手段,金融机构也成为网络犯罪分子的首选攻击目标。
3、 第三方供应商水平参差不齐,安全隐患大
供应商对产品安全性的重视程度不足、开发人员安全开发能力有限等,导致第三方供应商产品安全质量参差不齐。因为研发系统存在安全漏洞,被不法分子攻破;外包服务人员安全管控不足等,导致银行客户数据信息泄露的事件屡见不鲜。
4、 软件来源复杂,全方位安全审查难度大
随着金融机构软件采购、外包开发以及调用第三方资源需求增加,软件供应链被拉长、实施参与方增多,引入的安全风险环节随之变多。同时,不同分支机构在软件采购、验收、运维时各自为战,软件安全准入标准不一,金融机构整体软件安全管理难度随之变大。
02/ 金融机构供应链安全治理的“2字”思路
第一个字:全
软件供应链攻击之所以成为如今黑客攻击的重要方式,很大一部分原因就在于其系统性、联通性强。上中下游环环相扣,通过“击破”软件供应链中的某个薄弱环节,就能对终端企业软件系统运转造成影响。如此四两拨千斤的攻击效果,让网络犯罪者们“前仆后继”。
所以,在考虑对金融机构供应链安全治理上,我们的首要思路就是“全”——
“全”,是指面向内外部所有软件系统(包含外包、外采、自研等),无一例外,在软件供应链的关键节点进行严格的安全审查;也是从源代码、组件、应用功能、运行环境、端口、二进制文件等等,针对软件系统内部做全而细的安全检测。
“网安云软件安全在线检测服务”,曾为诸多大型甲方公司,个性化定制软件供应商安全准入检测标准,提供专业标准化的安全检测服务,一站式满足中小型金融机构对软件供应链安全检测的需求。还有金牌安全专家团队坐镇,辅助进行漏洞验证,并提供整改后免费复测,帮助客户实现安全闭环。
第二个字:明
如今软件安全攻击技术手段不断升级,尤其是针对软件供应链的安全攻击,具有高隐秘性、追溯难的特点,对金融业业务安全威胁极大。同时,金融机构软件内部组件来源、依赖关系、开源许可等信息不透明、不清晰,也会导致安全隐患更加难发现、难溯源、难清除,安全可控性弱,为系统安全风险应急工作增加难度。所以,软件供应链安全治理第二个思路就是“明”。
“明”指的是打开软件资产这个“黑匣子”,对软件版本、供应商等基本信息与内部成分信息,及其关联关系进行梳理与可视化呈现,大大降低软件资产的“模糊性”,帮助金融机构快速摸清家底,掌握系统安全自主可控权。
网安云软件物料清单管理平台,以软件/组件来源、版本等基本信息与软件内部组成成分信息为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。运用强大的数据分析处理及挖掘技术、多维数据可视化能力,让软件资产安全态势清晰明了,软件安全问题无所遁形。
软件供应链上每一个环节的安全问题,都有可能成为黑客攻击的切入口。千里之堤毁于蚁穴,把住软件供应链每个关卡,莫让小小漏洞成为洪水猛兽。
版权归原作者 网 安 云 所有, 如有侵权,请联系我们删除。