金融机构如何规避DevOps安全风险?权威报告给了几组数据
Venafi发布了一项报告关于金融机构实践DevOps加密安全问题。在DevOps环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践DevOps的金融机构的来说,是特有的问题。研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在DevOps模式中,如此重要的措施却无法执行。此外,金融机构一旦使用DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。
“在当今高度竞争的市场,金融机构使用DevOps模式提供了新功能且改善了用户体验。”Venafi首席安全策略师Kevin Bocek说,“然而,DevOps在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器ID。尽管DevOps团队表明他们已经意识到TLS/SSL密钥和证书用普通方法建立ID会产生风险,但这种认识并没有被转换成实际意义上的保护。”
调研数据
[*]一直以安全为第一要务的金融机构正在与DevOps模式进行互搏。近三分之一(30%)的金融机构在实践DevOps时,所执行的密码安全策略不一致。此外,7%的受访者不确定这些举措是否能横跨DevOps和生产环境。
[*]绝大多数(80%)的金融机构的DevOps团队意识到密钥和证书遭受网络攻击的次数及程度的重要性,而这其中三分之二(67%)的团队都认为网络攻击需要控制和预防。
[*]只有一半(51%)的金融机构全线替换了DevOps证书。当证书没有改变时,没有办法区分哪些是未经测试的机器,哪些又是可以投入运行的安全机器。
[*]从积极的一面来看,金融机构通常有强大的密码安全性实践,有75%的金融机构要求高规格的密钥(2048位甚至更多),60%机构的开发和生产环境需要不同的证书,令人备感欣慰的是,只有2%的受访者表示,他们机构不需要密钥和证书的政策。
[*]随着DevOps的高速发展,特别是在金融机构的发展中对加密机器需求呈爆发式增长。如果没有强大的安全措施和实践,DevOps密钥和证书仍然允许攻击者隐藏在加密流量中逃避检测从而进行攻击。根据A10网络最近的一份报告显示:41%的网络攻击都是来自加密流量而逃避检测产生的。
Venafi的情报分析师Tim Bedard说“正如我们所看到的快速攻击(SWIFT attacks),金融机构对网络罪犯而言是一个很有吸引力的目标,如果DevOps团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用SSL/TLS加密密钥和证书创建自己的加密通道。或者攻击者可以盗用SSH密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。”
原文作者:Christian Hargrave、Assignment Editor
页:
[1]