在当今数字化时代，金融行业面临着前所未有的网络安全挑战。Veracode 最近发布的一份报告显示，50% 的金融机构在其应用中存在高严重性的安全漏洞，这一数字令人震惊。这些漏洞不仅威胁到金融机构的安全，还可能对客户的数据和资产造成严重损害。

安全债务，即在一年或更长时间内未修复的漏洞，存在于 76% 的金融机构中，其中 50% 的机构面临的是关键性的安全债务。随着数据泄露的平均成本在金融行业中高达 608 万美元，这一研究结果对一个受到高度针对性攻击的行业来说，无疑是一个警钟。

根据美国财政部 2024 年 3 月的报告，威胁行为者正在使用基于人工智能的工具来发现和利用软件漏洞。与此同时，行业竞争的加剧和客户对便利性的期望不断提高，迫使组织加快创新步伐。

Chris Wysopal，Veracode 的首席安全传道者，指出：“金融行业中高比例的安全债务如果不迅速解决，将对组织及其客户构成重大风险。随着 AI 驱动的网络攻击不断增强和增多，组织由于现有的安全债务而难以跟上不断变化的法规，当前的环境使得威胁行为者能够以惊人的速度利用漏洞。”

Veracode 的研究还发现，40% 的金融行业应用存在安全债务，略低于跨行业的平均水平 42%。此外，仅有 5.5% 的金融行业应用是完全无漏洞的，相比之下，其他行业的这一比例为 5.9%。尽管金融行业应用的安全债务略少，但它们积累的债务更多。

报告还强调了金融机构需要关注第一方和第三方代码中的安全债务。84% 的安全债务影响第一方代码，但 78.6% 的关键安全债务来自第三方依赖。这突显了网络安全和基础设施安全局（CISA）通过其开源软件安全路线图和“设计安全”承诺来帮助保护开源生态系统的重要性。

研究进一步探讨了金融行业中的修复时间线。研究人员发现，金融机构在九个月内修复了一半的第一方漏洞，而第三方漏洞的修复时间则为 13 个月。其中，52% 的第三方漏洞转化为安全债务，而第一方漏洞的这一比例为 44%。

供应链攻击的增加导致金融行业面临越来越多的网络安全法规，这些法规更加关注软件安全。例如，ISO 20022、支付卡行业数据安全标准（PCI DSS）、NIS2 和数字运营弹性法案（DORA）等监管框架要求组织防止漏洞在应用中部署。

这使得组织面临因现有安全债务和过时修复策略导致的合规风险。Veracode 的研究表明，组织可以通过优先处理构成关键安全债务的 3.3% 的漏洞来应对这一风险。首先修复最危险的漏洞意味着金融机构可以随后根据其风险承受能力和能力处理其他关键或非关键漏洞。

Wysopal 总结道：“对于金融行业来说，保持领先于不断演变的网络安全威胁从未如此重要，特别是随着日益复杂的 AI 驱动攻击威胁到其资产的安全。我敦促金融机构通过采用 AI 驱动的修复和应用安全态势管理（ASPM）工具来优先考虑及时的安全债务减少，这些工具可以在几秒钟内检测、优先处理和修复漏洞。”

Veracode 的报告揭示了金融行业在软件安全方面的严峻现状，强调了及时修复漏洞和采用先进安全工具的紧迫性。随着网络攻击手段的不断升级，金融机构必须采取积极措施，以保护其资产和客户数据的安全。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！