新思科技助力金融服務機構擴充應用安全計劃及加速數字化轉型

”

金融行業正在全面鋪開數字化業務，并不斷豐富場景生态和完善數字化管理。新思科技強調，軟體風險等同于業務風險，尤其在金融行業。一旦安全計劃有薄弱環節，造成的損失可能不可估量，更談不上推進數字化轉型。是以，伴随金融科技的不斷發展，應用安全(AppSec)已經成為金融服務機構不可或缺的一部分。憑借可信的安全測試工具，新思科技已經為全球許多客戶的應用安全計劃保駕護航，其中不乏财富500強金融公司。

業務挑戰：缺乏可擴充的端到端AppSec解決方案

新思科技為一家财富500強的金融公司服務。它也是美國最大的 10 家銀行之一。該銀行依賴數字化技術營運，需要可靠的端到端AppSec解決方案，以部署高效的應用安全計劃。此外，它還需要快速将應用安全擴充到其數百個應用程式。要實作這個目标，該銀行面臨諸多挑戰：

自動擴充AppSec。該銀行有400多名開發人員以及數名應用安全專家，要擴充其紅隊（Red Team, 模仿入侵者的戰術、技術和流程）和整個應用安全方案組合是一個巨大的挑戰。而且，現代銀行應用程式有很多API接口，加劇了安全挑戰。

合規。該銀行采取了系列措施，以滿足年審所需的關鍵合規性。AppSec是支付卡行業(PCI)合規性的重點要素。但是，銀行之前的AppSec方案并不能全面滿足合規要求。

對誤報進行分類。現有的自動掃描工具産生大量誤報，嚴重影響了開發流程、AppSec和資源管理。是以，與修複實際漏洞相比，安全團隊花費了更多時間來驗證和交叉檢查調查結果。

解決方案：動态應用安全測試

經過多元度的評估，該銀行最終選擇了新思科技的WhiteHat™ Dynamic動态應用安全測試(DAST)。憑借WhiteHat Dynamic，銀行能以生産安全的方式全天候監控和掃描數百個應用程式。并且，WhiteHat Dynamic提供豐富的業務邏輯評估。銀行必須擷取這些評估結果，才能有足夠把握正式地向使用者釋出應用。

鑒于該項目的規模和複雜性，新思科技為銀行策劃了一個全面的 AppSec 産品組合方案，随後又添加了 WhiteHat Auto API。得益于此，該銀行的應用安全團隊僅使用一套新思科技的解決方案便擴充了其計劃。

WhiteHat Dynamic動态應用安全測試。提供連續掃描功能，誤報率低，允許安全專家的通路權限以及導出報告名額。這些名額按關鍵程度排序，詳細說明掃描發現和修複的安全漏洞，并且性能随時間推移不斷提升。

業務邏輯評估。業務邏輯評估 (BLA) 是由 新思科技安全工程師執行的手動評估。他們會審查那些無法通過自動化解決方案有效測試的應用安全漏洞。

WhiteHat Auto API。為 Web 服務 API 以及面向公共、私有和内部的 API 提供高度可擴充、準确且全自動的漏洞掃描。

安全測試服務。包括指定的項目經理和相關領域專家的支援。他們與銀行内部團隊合作，以擴充其應用安全項目。

該銀行應用安全經理贊賞道：“WhiteHat Dynamic提供生産安全的方式，無需單獨的測試環境即可安全掃描應用。我們可以受益于這個優勢，可以進行經過身份認證的掃描。最重要的是這些掃描結果都經過驗證，接近零誤報。”

傳遞可信産品，安全地踏上數字化轉型之旅

該銀行可以分階段将AppSec解決方案實施到軟體開發生命周期，監控正确的名額集，以可持續且可擴充的方式部署應用安全。

應用安全的變革。DAST 評估可連續掃描，準确了解銀行數百個應用的真實風險。WhiteHat 專為生産安全掃描而設計，安全團隊能夠将持續風險評估擴充到數百個應用，進而節省時間和成本，無需停機。此外，新思科技安全專家直接回報修複意見，與開發人員交流，以滿足不斷變化的開發需求。

掃描結果品質提高。該銀行最大的挑戰之一是評估大量AppSec掃描結果和制定修複計劃。這意味着銀行要對越來越多的誤報進行分類。随着互聯的應用逐日增加，銀行的風險面也随之擴大。WhiteHat提供了相應的解決方案，掃描識别風險，并進行分類和優先排序。得益于此，工作團隊可以制定戰略性的、有針對性的計劃，以修複生産中最脆弱的應用。

新思科技安全專家審查掃描配置，以確定掃描能夠準确反映應用或平台的架構和資料邊界。這些經過驗證的漏洞幾乎消除了誤報，進而降低了資源成本。最重要的是，更快、更準确的安全漏洞識别和修複提高了整體應用安全性和投資回報率。

• 100%合規。該銀行取得了喜人的成果，達到并保持 100% PCI 合規性。其團隊能夠維護應用清單，確定按時掃描和 BLA，并提供顯示目标進展情況的定期名額。

該産品經理介紹：“在和新思科技合作半年内，我們的PCI合規性從40%提升到了100%。”

• AppSec投資回報率最大化。通過無縫擴充并将程式管理添加到工作範圍，新思科技安全測試服務團隊與銀行的應用安全和開發團隊建立了密切的合作關系。與團隊的定期協作確定可以根據銀行安全政策和最佳實踐修複漏洞。項目經理制定了可衡量的标準，跟蹤整個銀行的進展，包括定期會議、季度項目審查和年度服務審查會議。

• 安全活動項目增多。除了動态應用安全測試解決方案，新思科技還幫助該銀行實施更多安全活動，例如新使用者資料數字化、內建系統以将AppSec團隊的手動流程自動化、漏洞嚴重程度情景化、安全政策變更咨詢，以及為應用安全團隊提供安全教育訓練。

新思科技已經幫助和推動該銀行成功建立和采用應用安全計劃，為客戶提供适合其要求的高性能、可測量、可擴充和可重複的 AppSec 計劃。新思科技安全專家的支援可確定客戶獲得高度準确的結果和及時的修複建議。

新思科技緻力于幫助客戶安全地踏上數字化轉型之旅。作為合作夥伴，新思科技幫助企業了解和評估其應用的風險狀況，為安全團隊賦能和提升附加值。憑借新思科技可靠的産品和服務，安全團隊高效地傳遞可信産品，并專注于未來創新。