根据Veracode的数据,金融服务部门76%的组织存在安全债务,其中50%的组织承担着关键的安全债务,本报告定义为一年以上未修复的缺陷。
金融部门应用程序积累了更多的证券债务
金融业数据泄露的平均成本估计为608万美元,这项研究是在复杂威胁者瞄准率最高的行业之一的关键时刻进行的。根据美国的说法财政部在2024年3月的报告显示,威胁者使用基于人工智能的工具来发现和利用软件漏洞。与此同时,行业竞争的加剧和客户对便利的期望要求组织加快创新。
“如果不迅速解决,金融部门的高安全债务率将对组织及其客户构成重大风险。Veracode首席安全传教士Chris Wysopal说:“随着人工智能驱动的网络攻击的强度和数量持续增长,以及由于现有安全债务,组织难以跟上不断变化的法规,目前的环境允许威胁者以惊人的速度利用漏洞。”
“我们最新的软件状态研究强调了金融机构现在解决第一方和第三方代码漏洞的迫切需要。Wysopal补充说:“让缺陷得不到补救超过一年的组织将面临长期和危险的威胁。”
Veracode的研究人员发现,金融部门40%的申请都有担保债务,略高于42%的跨行业平均水平。此外,只有5.5%的金融部门应用程序是无瑕疵的,而其他行业只有5.9%。虽然拥有安全债务的金融部门应用程序略少,但它们积累了更多。
第一方和第三方代码中的担保债务需要关注
该报告还强调了金融服务组织需要以第一方和第三方代码解决担保债务。84%的担保债务影响第一方代码,但78.6%的关键担保债务来自第三方依赖关系。这加强了网络安全和基础设施安全局努力通过其开源软件安全路线图和安全设计承诺来帮助保护开源生态系统的重要性。
该分析进一步探讨了金融服务部门的补救时间表。研究人员发现,金融机构在前九个月内修复了一半的第一方缺陷,而第三方缺陷则在13个月内修复。其中,52%的第三方缺陷变成了担保债务,而44%的第一方缺陷变成了担保债务。
针对金融服务行业的供应链攻击的激增,带来了越来越多的网络安全法规,更加关注软件安全。例如,ISO 20022、支付卡行业数据安全标准(PCI DSS)、NIS2和数字运营弹性法(DORA)等监管框架要求组织防止漏洞在应用程序中部署。
由于现有的安全债务和过时的补救策略,这使组织面临不合规的风险。研究表明,组织可以通过优先考虑构成重大安全债务的3.3%的缺陷来解决这一风险。首先纠正最危险的缺陷意味着金融实体可以着手解决其他关键缺陷或非关键缺陷。
“对于金融服务行业来说,领先于不断变化的网络安全威胁从未如此重要,特别是日益复杂的人工智能驱动的攻击威胁到其资产安全。我敦促金融机构通过采用人工智能驱动的补救和ASPM工具来优先考虑及时减少安全债务,这些工具可以在几秒钟内检测、确定优先排序和修复漏洞,”Wysopal总结道。
暂无评论内容