金融行业的软件供应链安全

admin 2023年5月15日08:30:50评论51 views字数 3000阅读10分0秒阅读模式


最近二十年,IT行业一直在变化,软件供应链安全的重要性一直未变,特别是数字化转型加速的当下,数字安全成为各个行业的首要任务,在企业应用软件组件多元化、多样化之下,软件供应链也越来越成熟、越来越复杂,同样也隐藏着多样的软件供应链风险。。

面对此类风险,国家也在不断增强对软件供应链安全的治理力度,先后出台了多项监管要求,以上可以看出,无论是合规驱动还是事件驱动,软件供应链安全的建设都无法忽视。

金融行业的软件供应链安全

一、供应链安全的共识

行业内对软件供应链及供应链安全具有基本共识:

1、在软件生命周期中各个阶段(开发、运行等)以任何形式、方式发挥作用的任何事物。

2、组件(component)、函式库、工具和流程,包含组件(例如基础架构、硬件、操作系统(OS)、云服务等)、软件编写人员,以及软件的来源(商业化、自研、开源二开),比如注册表、GitHub 存储库、代码库或其他开源项目。包括会对软件安全性造成负面影响的任何漏洞。

3、软件供应链安全防护将风险管理与网络安全最佳实践相结合,从而帮助保护软件供应链,抵御潜在漏洞。

4、软件供应链应该涵盖从应用开发到 CI/CD 管道和部署的整个过程,涉及软件开发生命周期(SDLC)中与代码接触的所有对象(包括人)。

5、软件材料表(software bill of materialSBOM)和软件成分分析(Software Composition AnalysisSCA,)是做供应链安全管理的根基。

6、软件供应链安全是保护软件创建和部署中所涉及的组件、活动和实践的行为。其包括第三方和私有代码、部署方法和基础设施、接口和协议以及开发人员实践和开发工具。

二、金融行业如何开展供应链风险自查

金融行业的软件供应链安全

金融行业的应用程序,不再是单一的功能集,而是自有代码、商业代码、开源代码、apiUI、工作流和程序动作的复杂组合,而复杂的业务模式更让供应链风险变得多样,而这也是我们构建供应链安全的关注点,金融行业在开始构建整个软件供应链的时候,先进行一次自查,应包含如下几个问题:

1、当前企业应用软件的SBOM是否明确清晰是否可快速构建呈现完整的SBOM(软件物料清单)?

2、企业应用软件是否使用开源组件,是否安全?

3、安全、质量、合规的编码规范是否在企业内推广?

4、软件依赖关系是否清晰,是否有应急预案?

5、是否使用了安全的网络通讯协议和API

6、是否前置数据泄露风险管理,跟踪并管理所有交互中的敏感数据流?

7、是否可通过工具对以上内容进行管理?

金融行业的软件供应链安全

三、供应链安全在金融行业的痛点

纵观金融行业的银行、证券和基金等金融公司,我国金融行业的信息化发展最早可追溯到50年代,中国人民银行引入第一台苏联计算机开始。但真正的发展还是从70年代开始。经历起步、建设、升级优化和当下的互联网时代,在经历几十年的锤炼,金融行业的的特性也逐渐展露,也就导致金融行业在进行一些变革所需考虑的问题相比传统行业更多、更复杂,下面我们简单描述兼容行业系统特性:

1、复杂性现状:金融行业是最早引进信息化能力的行业,经过几十年的沉淀,金融系统从支付系统、清算系统、法人系统、对账系统、用户管理系统、关联分析系统、借贷相关系统、融资融券类系统、风控系统、新型小额贷系统以及其他衍生品业务系统等交织在一起,在这个背景之下,系统的安全能力参差不齐。在很多银行、券商甚至能看到三十年前的服务器跑了一堆服务,不敢关机,不敢更新。

2、稳定性要求:在金融行业,稳定大于一切,金融行业的应用系统承载的是真金白银、生命财产,在各大监管机构来说,稳定是首位的,再者才需要考虑安全需求,例如保密性、监管等。

3、时效性:时间就是金钱,在金融行业,时效性是通识原则,证券行业有开市时间,而银行属于24*365的服务机构,承载的可能是交易、可能是生命、可能是行情,一分钟的延迟可能导致无法承担的后果。

4、标准不统一:金融行业技术标准不统一是一直存在的问题,系统、硬件、数据库、接口类型、接口和数据标准由于时间、投入、供应商等原因导致差距较大,行业间借鉴参考是基础,落地实践是难题。

5、互联互通问题:银行间因为信息化、数字化趋势,实现了深度互联互通,实现业务互通、账户互通等,而在执行过程中,也就导致互相关联和依赖关系的影响。

6、系统体量和数据量大:系统体量(量大、构成复杂)、数据量大也就意味着管理困难,维护成本高,运营难度大。

金融行业的软件供应链安全

根据以上问题,执行金融行业的软件供应链安全建设面临的问题也就水落石出:

1、系统复杂,依赖关系不清。

2、更新难度大或无法更新。

3、更新成本高(时间久、系统多、影响大)

4、最重要的一点:人员问题,金融行业普遍驻场技术人员多,企业管理人员多,也就导致本身内部就存在矛盾点,也就是所谓的虽然统一,但是对立的局面。

当前金融业行业快速发展、业务也呈现数字化需求,在应用和软件形态上呈现的就是多供应商、多来源、多维的形态,在金融业务制之下软件瑞处可见,成为业务的基础保障,成为智能化的根本,成为增值类服务的工具和手段,也就导致软件供应链越来越复杂多元化,而供应链攻击一旦得逞,给金融行业会带来严重危害。在当下快速迭代的时代,金融业几乎所有软件几乎都不会完全从0100,而会整合包含了各种开源能力、第三方能力的产品,再组合业务需求和定制化场景。但是,最容易存在漏洞的也是它们,而且人员流动、时间推移、供应商原因等问题会导致风险更难以得到控制,甚至无法获取源代码,无法了解逻辑,无法对其进行更改。

四、供应链威胁及攻击途径

2020年,SolarWinds遭到入侵入侵者通过SolarWinds使用的OrionIT监控和管理软件发布恶意代码(代码投毒),影响了很多大型企业和政府机构,入侵者此举不仅入侵了SolarWinds也影响了相关联客户包括Log4j等案例,都说明了软件供应链安全防护的重要性。在软件供应链中,任何构成部分的风险都会成为整体风险,也就让攻击者(利益、政治等)可以通过恶意植入(后门、木马、病毒、监控、信息窃取等)危害整个链条。

下图图表图例包含了两组威胁,而这些威胁不只是发生在组织内部也包含外部风险和关联事件(如上问的SolarwindsLog4j),而在这些威胁之下会导致数据泄露、身份凭据泄露、数据完整性风险、恶意软件、DOS,当然,对金融业来说,客户、资金和时间都会受到影响,甚至面临长久性的品牌危机。

 

金融行业的软件供应链安全

1:供应链风险图示

字母 A H 表示软件供应链中受软件工件供应链 (SLSA) 框架中描述为威胁威胁的攻击途径。

数字 1 4 表示 SLSA 框架未直接描述的其他攻击途径。

五、结语

金融行业企业想完成软件供应链风险管控,应结合技术架构、行业、业务、市场分布等,综合评估供应链节点,例如软件、硬件,商业、开源、自研等构成的分布,针对不同的类型、不同的构成建立管理计划,同时针对业务风险建立资产优先级和业务优先级台账,采用高优的策略解决核心业务的核心资产的核心风险。另外,智能化和数字化的管理方式结合前沿的威胁情报尤为重要,包括我们一直在说的零信任架构,主体、客体、资源、操作的不信任,实际都可以延伸出软件供应链安全的诉求,对每个软件供应链的持续验证、持续确认和非完全信任的态度。综上,期望每一个企业都能通过未雨绸缪的布局而面对供应链风险游刃有余,让安全属性为数字化时代的基本属性。


原文始发于微信公众号(KK安全说):金融行业的软件供应链安全

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月15日08:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   金融行业的软件供应链安全http://cn-sec.com/archives/1708525.html

发表评论

匿名网友 填写信息