Veracode 的数据显示,安全债务在本报告中被定义为一年以上未修复的缺陷,金融服务行业中有 76% 的组织存在安全债务,其中 50% 的组织背负着严重的安全债务。
金融部门应用程序积累了更多的安全债务
金融行业数据泄露的平均成本估计为 608 万美元,这项研究正值金融行业最容易受到复杂威胁行为者攻击的关键时刻。
根据美国财政部 2024 年 3 月的一份报告,威胁行为者使用基于人工智能的工具来查找和利用软件漏洞。
与此同时,日益激烈的行业竞争和客户对便利性的期望要求组织加快创新。
如果不迅速解决,金融行业的高安全债务率将给组织及其客户带来重大风险。
随着人工智能驱动的网络攻击的强度和数量不断增长,以及组织因现有的安全债务而难以跟上不断变化的法规,当前的形势允许威胁行为者以惊人的速度利用漏洞。
最新的软件状况研究强调,金融机构迫切需要立即解决第一方和第三方代码漏洞。如果漏洞一年以上未得到解决,组织将面临长期且危险的威胁。
Veracode 的研究人员发现,金融行业所有应用中有 40% 存在安全债务,略高于 42% 的跨行业平均值。此外,只有 5.5% 的金融行业应用没有缺陷,而其他行业则为 5.9%。尽管金融行业应用中存在安全债务的人数略少,但累积的安全债务却更多。
第一方和第三方代码中的安全债务需要引起注意
该报告还强调,金融服务机构需要解决第一方和第三方代码中的安全债务问题。
84% 的安全债务影响第一方代码,但 78.6% 的关键安全债务来自第三方依赖项。
这强调了网络安全和基础设施安全局通过其开源软件安全路线图和安全设计承诺帮助保护开源生态系统的重要性。
该分析进一步探讨了金融服务行业的补救时间表。研究人员发现,金融机构在前 9 个月内修复了一半的第一方缺陷,而第三方缺陷则需要 13 个月。其中,52% 的第三方缺陷转化为安全债务,而 44% 的第一方缺陷转化为安全债务。
针对金融服务行业的供应链攻击激增,催生了越来越多的网络安全法规,这些法规更加侧重于软件安全。
例如,ISO 20022、支付卡行业数据安全标准 ( PCI DSS )、NIS2和数字运营弹性法案 ( DORA ) 等监管框架要求组织防止漏洞被部署到应用程序中。
由于现有的安全债务和过时的补救策略,组织面临不合规的风险。研究表明,组织可以通过优先处理构成关键安全债务的 3.3% 的缺陷来应对这一风险。首先修复最危险的缺陷意味着金融实体可以继续解决其他关键缺陷或非关键缺陷。
金融服务行业在应对不断演变的网络安全威胁方面保持领先地位从未像现在这样重要,尤其是当日益复杂的人工智能驱动攻击威胁到其资产安全时。
敦促金融机构优先考虑及时减少安全债务,采用人工智能驱动的补救措施和 ASPM 工具,这些工具可以在几秒钟内检测、确定优先级并修复漏洞。