50%的金融组织的应用程序存在严重安全漏洞

根据 Veracode 的报告，76% 的金融服务机构存在安全债务（本报告将其定义为超过一年仍未修复的缺陷），其中 50% 的机构存在严重的安全债务。

金融行业应用程序积累了更多的安全债务

据估计，金融业数据泄露的平均成本为 608 万美元，对于这个最容易成为复杂威胁行为者攻击目标的行业来说，这项研究恰逢其时。根据美国财政部 2024 年 3 月的一份报告，威胁者使用基于人工智能的工具来查找和利用软件漏洞。与此同时，日益激烈的行业竞争和客户对便利性的期望要求企业加快创新。

“如果不尽快解决，金融行业的高安全欠账率将给组织及其客户带来巨大风险。随着人工智能驱动的网络攻击在强度和数量上的不断增长，以及企业因现有的安全债务而难以跟上不断变化的法规，当前的形势使得威胁行为者能够以惊人的速度利用漏洞，”Veracode 首席安全布道师 Chris Wysopal 说。

“我们最新的软件现状研究强调了金融机构现在解决第一方和第三方代码漏洞的迫切需要。”Wysopal补充说：”超过一年仍未修复漏洞的机构将面临长期而危险的威胁。”

Veracode 研究人员发现，在金融行业的所有应用程序中，有 40% 存在安全漏洞，略高于 42% 的跨行业平均水平。此外，仅有 5.5% 的金融行业应用程序没有漏洞，而其他行业的这一比例为 5.9%。虽然金融行业应用程序的安全漏洞略少，但积累的安全漏洞却更多。

第一方和第三方代码中的安全债务需要关注

报告还强调，金融服务机构需要解决第一方和第三方代码中的安全债务问题。84% 的安全债务影响到第一方代码，但 78.6% 的关键安全债务来自第三方依赖。这就加强了网络安全和基础设施安全局通过其开源软件安全路线图和 “设计安全承诺 ”来帮助确保开源生态系统安全的重要性。

分析进一步探讨了金融服务业的修复时间表。研究人员发现，金融组织在前九个月内修复了一半的第一方漏洞，而第三方漏洞的修复时间为 13 个月。其中，52% 的第三方缺陷会变成安全债务，而 44% 的第一方缺陷会变成安全债务。

针对金融服务业的供应链攻击激增，导致越来越多的网络安全法规更加关注软件安全。例如，ISO 20022、支付卡行业数据安全标准（PCI DSS）、NIS2 和数字运营复原力法案（DORA）等监管框架都要求企业防止在应用程序中部署漏洞。

由于现有的安全债务和过时的补救策略，这使企业面临不合规的风险。研究表明，企业可以通过优先处理构成关键安全债务的 3.3% 缺陷来应对这一风险。首先修复最危险的缺陷意味着金融实体可以继续处理其他关键缺陷或非关键缺陷。

“对于金融服务部门来说，保持领先于不断变化的网络安全威胁，尤其是面对日益复杂的人工智能攻击对其资产安全的威胁，从未像现在这样重要。我敦促金融机构通过采用人工智能驱动的修复和 ASPM 工具，优先考虑及时减少安全债务，这些工具可以在几秒钟内检测、优先处理和修复漏洞，”Wysopal 总结道。