即使是FINTECH启动争夺迎接网络安全挑战
研究揭示了,仍然有大约98%的世界第100个金融技术(Fintech)初创公司的初创公司易受攻击的攻击性。
此外,根据Web Security Company,ImmuniWeb的非侵入式检查,100%具有与被遗弃或忘记的Web应用程序,应用程序接口(API)和子域有关的安全性,隐私和合规性问题。
安全公司在银行之间揭示了类似水平的漏洞,前提是一个早期的研究表明,100个最大银行中有97个容易受到网络和移动攻击的影响,使黑客能够窃取敏感数据。
下载为PDF.
无论何时何地访问本文。
对金融气的研究表明,与银行业的七个相比,八个主要网站和64个子域至少有一个公开披露和可利用的安全脆弱性漏洞,与银行业的七个相比。
尽管所有这些都在OWASP前10个应用程序漏洞中具有众所周知,并且具有良好的缓解方法,但最常见的网站漏洞是跨站点脚本(XSS),敏感的SATA曝光和安全性错误配置。
所有测试的移动应用程序都包含至少一个中等风险的安全漏洞,而97%具有至少两个中等或高风险漏洞。
该测试表明,56%的移动应用程序后代具有严重的错误配置或与SSL / TLS配置和Web服务器安全硬化不足的隐私问题。
该报告显示,52%的Fintechs主要网站失败卡行业数据安全标准(PCI DSS)合规性测试。合规性失败的主要原因是过时的开源和商业软件及其组件
与此同时,64%的Fintechs的主要网站同样失败的一般数据保护规则(GDPR)合规性.Vulnerable Web软件是最大的合规性问题,其次是缺少Cookie免责声明或在Cookie上传输跟踪,个人识别的Cookie上的安全标志信息(PII)或其他敏感信息,以及缺失或无法访问的隐私政策。
Ilia Kolochenko,CEO和ImmuniWeb的创始人表示,该研究强调了动态Fintech公司和成熟的金融机构所面临的“螺旋网络安全挑战”。
“乍一看,金融气业正在做得比较效果更好。但是,如果我们将管理IT系统的数量和复杂性与每个组织相关联,则结论可能在银行的青睐方面可能毫不含糊地不同。
“尽管如此,研究中的数字积极强调网络安全的体面水平,在金融气公司中,证明承诺和关怀,”他说。
Kolochenko说,研究同样凸显了缺乏可见性的是“最普遍的,有些普遍的,有害的,有时几乎不可逾越的障碍”。
“鉴于云和集装箱技术的安装扩散,外包业务关键流程和与众多第三方的数据共享,不完整的可见性可能仍然是信息安全的阿基里斯脚跟,”他说。
ImmuniWeb建议组织:
维护位于其外部攻击表面的资产的全面和最新库存,识别其中使用的所有软件和组件,并在其上运行可操作的安全评分,以实现威胁感知和基于风险的修复。实现其外部攻击表面的连续安全监控,测试新的代码,并在部署到生产后,并开始实现DevSecops方法以应用安全性。考虑使用机器学习和人工智能能力来处理耗时和日常流程以释放安全团队以获取更重要的任务。