Den største cybersikkerhetsrisikoen i finanssektoren

Den største nettbaserte sikkerhetsrisikoen i finansnæringsbransjen Ransomware, SQL-injeksjonsangrep og scripting på tvers av nettsteder er også alvorlig cybersikkerhetsrisiko for banker og meglerfirmaer, ifølge en ny studie.

En ny studie avslører noen viktige funn for selskaper i finansservicebransjen når det gjelder cybersikkerhet.
TechRepublics Karen Roby snakket med Drew Kilbourne fra Synopsys, om resultatene av undersøkelsen. Følgende er et redigert utskrift av intervjuet deres.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Drew: Vi har jobbet i banknæringen i omtrent 15 år. Og vi ønsket virkelig å gå ut på det bredere spekteret av selskaper i FSI-ene og virkelig forstå om det vi så i bransjen med de større bankene og meglerhusene stemte over hele spekteret. Det beviste funnene våre gjennom årene.

Karen: Snakk litt om noen av høydepunktene, noen av tingene som dere oppdaget når det gjelder teknologiene som utgjorde den største programvaresikkerhetsrisikoen for selskaper i denne typen organisasjoner.

Drew: Vel, det eneste som var mest interessant var i hele befolkningen at vi intervjuet at over halvparten av dem fortsatt ser betydelige cyberattacks eller datatyveri. Det er interessant fordi vi har jobbet med de større bankene i mange år. Vi samarbeider med 16 av de 20 beste bankene i verden og føler at programmene deres er ganske topp og at de har gjort en god jobb med å bygge helhetlige programmer for å sikre programvaren deres.

Men likevel ser fortsatt halvparten av befolkningen problemer. Når du graver deg inn i rapporten, ser du at en av de store hullene i både store banker og små vesker er tredjepartsprogramvare. Så folk ikke takler tredjeparts programvarerisikoen godt. De gjør mye av tredjepartsvurdering, men det inkluderer vanligvis å evaluere om du har låser på døren eller om brannmurene dine er oppe, hvis du gjør bakgrunnssjekker på ansatte, sånt.

Men generelt er det ikke disse tredjepartsprogrammene som graver programvarekvalitet i programvaresikkerhet. Når du bryter det fra hverandre og sier det som en bransje som helhet, og undersøkelsen beviste det, at en veldig liten prosentandel faktisk håndterte tredjepartsrisiko, selv om de følte at det var et stort problem.

Dette påvirker mellomnivået og mindre økonomi mye mer. De kjøper mye programvare mer enn å bygge programvare. Så nå kan du se hvorfor du får et nummer som over halvparten fortsatt opplever angrep. Det var mange selskaper der ute som kjøper programvare, og de evaluerer det ikke godt. Det var et interessant funn der.

Karen: Holder de med på skiftende teknologier som blockchain med hensyn til myndighetskrav?

Drew: Vi skulle ønske at det var et sett med krav du kan teste mot i finansnæringen. At den gode nyheten er at det er den mest regulerte industrien, føler jeg. Og det har skapt en bedre sikkerhetsstilling i det finansielle meglermarkedet. Men når det er sagt, måten forskriftene er skrevet på og hvordan regelverket blir evaluert er veldig, veldig forskjellig. De er ikke bare et klart snitt; du må gjøre X, Y, Z.

Så det du ender opp med er en regulator som sitter i banken din, og de bestemmer på en måte om du styrer risiko på riktig måte. Slik bankene gjør det er veldig forskjellig fra bank til bank. Noen kan stole mye på penetrasjonstesting. Andre kan stole sterkt på designgjennomgang. Helt forskjellige metoder, men de føderale regulatorene vil si: "Vi velsigner deg og du styrer risikoen din godt." Jeg synes det er greit når jeg ser på de bankene og hva de har gjort.

Så regulering er vanskelig å henge hatten på. Det som jeg antar, et visst nivå av tenner er PCI. Problemet med PCI er at det er en grunne stolpe som er bevist av det faktum at de største hakkene i bransjen, Equifax, Home Depot, Anthem, Target, alle var selskaper som passerte sine PCI-revisjoner. Så PCI prøver å sette flere tenner i neste regelverk. Og en av tingene jeg liker, det de gjør er at de kommer til å spesifisere at du må ha et programvaresikkerhetsprogram.

Og programmet går utover bare testing. Programmet handler om politikk. Det handler om styring, om bruk av verktøy i SDLC. Så jeg tenker gjennom at vi får en bedre regulering der. Selv om jeg fremdeles føler baren vil være ganske lav, og at selskaper fortsatt vil måtte trappe opp og styre denne risikoen på egen hånd.

Karen: Hvilke typer trusler og faktiske brudd opplever selskaper?

Drew: Vi gikk ikke inn på virkningen av bruddene. Vi gravde inn noen data rundt om det var PII-tyveri, eller var det ransomware? Overraskende nok, tror jeg over 30%, omtrent 38% var angrep fra ransomware. Det blir noe som er nytt og nytt i bransjen. Jeg var ikke klar over at det var så stort at folk tar kontroll over folks miljøer og krever kontanter eller et visst betalingsnivå.

Men vi gikk ikke nærmere inn på hvordan angrepene ble gjort, eller er det vanlige feil mennesker gjør? Vi ser fortsatt vanlige feil i testene våre med de store bankene og i midten av laget vi jobber med, de fleste av våre kunder som driver med utvikling av nettprogramvare. Fortsatt har du OS X, ganske utbredt der ute i programvare. Så mye oppfølgingsinjeksjon, scripting på tvers av sider, som er enkle, enkle angrep for folk å spille på og komme inn i systemene og deretter angripe programvaren.

Så det for meg er fremdeles ganske plagsomt ute i bransjen. Og rapporten beviste dette at selskapene fremdeles ikke gjør nok utviklere aktivering, opplæring og hva ikke, slik at utviklere vil slutte å gjøre de samme feilene om og om igjen. Vi er veldig flinke til å finne. Vi er ikke flinke til å fikse og forhindre så godt som jeg vil se.

Karen: Hva anbefaler du selskaper å gjøre for å være så trygge som mulig?

Drew: Noe av det som kom ut i rapporten, spesielt og snakket med tredjeparts programvareproblemet som jeg snakket med tidligere, er en åpen kildekode. Så åpen kildekode er veldig utbredt gjennom all programvare. Folk bruker den i den gamle programvaren de utvikler, men også den er sterkt brukt i programvaren de kjøper. Vi fant ut at ikke mange mennesker, og jeg tror det var i de lave 40-årene, til og med hadde å gjøre med open source fra et perspektiv om å oppfinne det og forstå hva de fikk i pakkene de kjøpte eller programvaren de bygde.

Dessuten var det veldig få, jeg tror det var omtrent 15 til 20%, som brukte verktøy for å forstå hva som foregår i åpen kildekode og kunne klare det. Så hvis du sammenkobler det med det faktum at vi har en revisjonsgruppe som gjør massevis av åpen kildekontroll over hele verden hvert år, er det vi fant i revisjonene at 60% av alle open source har sikkerhetsproblemer, og da er over 40% har kritiske sikkerhetsproblemer.

Så vi vet at open source i markedet har feil. Folk tar opp den programvaren i bedriften, men de ser ikke på den. De evaluerer ikke det, og de forstår det ikke. Ikke sant? Så derfor har du et veldig stort problem fra den inntaksmetoden. Så vi tror folk må få armene rundt åpen kildekode. Det er flott du kan sette et verktøy på plass, og det er en løsning. Du må bygge et program rundt det for hva du gjør når du finner de sårbarhetene i programvare som ikke er planlagt utgivet i år.

Hvordan fikser du det? Fikser du programvaren og slipper den ut igjen på markedet? Venter du på at markedet slipper det tilbake til deg? Hvordan får du all den andre programvaren fra hylla og fikset og slipper den ut igjen? For meg er det et stort problem næringen har å gjøre med. Og det følger med dette tredjepartsproblemet som jeg tror ikke hjelper næringen.

Karen: Når det gjelder prosentandelen av organisasjoner som ser ut til å være bekymret for at en ondsinnet aktør kan si noe om programvaren deres. Hvor mange ser ut til å være bekymret for det?

Drew: Jeg tror de alle er bekymret for det. De prøver alle å sette vegger opp der de kan. Det er mye nettverkssikkerhet som skjer for å forsøke å blokkere folk ute. Men realitetene, til slutt åpner du deg for å la folk komme inn og gjøre forretninger med deg, og så er du inne i programvaren. Så jeg har ingen kunder som fremdeles ikke er bekymret for brudd på data og brudd på programvaren deres og prøver å beskytte den.

Karen: Var du overrasket over funnene i rapporten, eller forventet du disse resultatene?

Drew: Det som var litt overraskende for meg var at folk fortsatt er avhengige av penetrasjonstesting helt på slutten av syklusen for å gjøre det meste av arbeidet og finne mangler. Selv om vi i de større FI-ene vi jobber med har sett dem begynne å verktøyet i SDLC, bruke statiske analyseverktøy og dynamiske analyseverktøy og interaktive analyseverktøy, er alle slags verktøy i SDLC. Og det er gunstig. Og jeg tror det blir drevet av overgangen til DevOps i bransjen.

Likevel sier studien at en veldig liten del av FSI-er bruker verktøy i SDLC. Så det er fremdeles de viktigste metodene for å finne feil som venter helt til slutt, og prøv deretter å teste. Problemet med penetrasjonstesting er at det er faste timebokstester. Du kan umulig få nok dekning. Virkelig, du må bruke din penn-testing gjennom virksomheten din uhørbar 00:10:32 -testing, slik at du ikke finner og leter etter SQL-injeksjon, scripting på tvers av nettsteder og disse tingene.

De kan bli fjernet tidligere på syklusveien igjen av verktøy. Så jeg fant ut at det var litt interessant fordi jeg personlig har distribuert mange verktøy på de store FI-ene, og det fungerte bra. Men jeg ble overrasket i en undersøkelse på 400; fremdeles en veldig liten befolkning, har omfavnet verktøy i SDLC.

Karen: Hvordan får du selskaper til å føle at de gjør alt de kan for å beskytte seg selv?

Drew: Det interessante er at fordi jeg er i en konsulentorganisasjon, ser jeg en gjeng med kunder. Jeg kan se gevinster, og jeg kan se tap. Så jeg har flere kunder som er veldig store, store banker som fullstendig har redusert cybersvindelen til nummer tre eller fire på listen over svindel, noe som for meg er enormt fordi andre svindelområder vil være som minibanksvindel og sjekkvask og annet Slike ting som overrasker meg, fortsetter fortsatt.

Så de var i stand til det. De har klart å fikse programvaren sin. De har vært i stand til å skyve hakkene ut. Det blir meg spent. Jeg har også en kunde som så på dette problemet på en annen måte. De så ikke på risikoen. De så på det på kostnadsbesparelser og utvikling.

Så jeg synes det er veldig interessant fordi det meste av pushbacken mot å håndtere sikkerhet i programvare vil ta oss lengre tid og koster oss mer penger. Denne mannen kartla programmet etter tre år i et stort helseforsikringsselskap. Det de fant ut var at de sparer rundt 21 millioner dollar i året i programvareutviklingskostnader, noe som betyr at de kunne gjøre mer for kundene sine, gi mer verdi for kundene. Og som en sekundær fordel reduserte han risikoen i bedriften.

Så jeg liker at han alltid selger programmene sine på sparte dollar, noe jeg synes er interessant. Han får administrerende direktører for å støtte ham og for å sette i gang distribusjon av verktøy og teknikker og utvikleraktivering i bedriften fordi de ser de direkte kostnadene. Jeg blir spent på å se om det er noen gode gevinster der ute. Og jeg blir deprimert hvis det fortsatt er noen store banker der ute som ikke klarer seg like bra som deres jevnaldrende sett. De har fremdeles ikke kommet inn i sentrale programmer, og de gjør fortsatt ting stykkevis.

Det er en interessant bransje som er ganske variert fra det perspektivet. Men jeg tror fra brede slag, å få armene rundt tredjepartsprogramvare, enten du er stor eller liten, jeg tror vil ha enorm innvirkning og open source-programvare vil ha enorm innvirkning på bransjen som helhet og sikre programvaren i en bedre måte.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com