En la era del rápido desarrollo de la economía digital, la industria bancaria de mi país ha estado a la vanguardia de la transformación digital. Como pilar importante de la economía nacional, un gran banco comercial de propiedad estatal ha invertido más de 10 mil millones de yuanes en tecnología digital durante muchos años para construir su propia marca de banco digital y mejorar aún más la experiencia del usuario, la eficiencia comercial y el valor comercial con alta calidad. .
Doble presión de eficiencia y calidad
El sistema de I+D crea nuevos problemas de seguridad
En el proceso de actualización continua de la digitalización, han surgido algunas contradicciones en el sistema de I+D del banco comercial estatal: "Cómo garantizar la seguridad y estabilidad del software mientras se busca I+D eficiente y servicios de alta calidad". En la práctica de ingeniería de transformación de sistemas de información inteligente del banco, los requisitos de control de procesos para una investigación y desarrollo eficientes han provocado que las contradicciones anteriores estimulen nuevos problemas de seguridad:
1. La cobertura de la prueba es baja y se pasan por alto una gran cantidad de riesgos de seguridad. En la fase de prueba, los métodos de prueba de seguridad basados en DAST y pruebas de penetración tienen una cobertura de prueba baja y se han pasado por alto una gran cantidad de riesgos de seguridad en las aplicaciones probadas.
2. La detección de códigos ineficiente afecta gravemente la velocidad de entrega. Los productos de prueba de seguridad tradicionales se basan principalmente en herramientas de prueba de seguridad estáticas, que tienen una alta eficiencia de detección y una tasa de falsas alarmas, lo que hace que el código enviado se estanque en el proceso de prueba de seguridad durante mucho tiempo, lo que resulta en una desaceleración en la entrega de la demanda y no cumple con los requisitos. requisitos necesarios para lograr un sistema de I+D eficiente.
3. No se puede ver el comportamiento de los datos y no se pueden localizar los puntos de riesgo. Durante la fase de prueba, es imposible monitorear completamente el comportamiento de los datos internos de la aplicación y es imposible localizar rápidamente el segmento de código problemático cuando ocurre una excepción, lo que hace que las lagunas del código no se reparen a tiempo, lo que aumenta el riesgo de que los datos fugas y causar problemas de cumplimiento de la privacidad de los datos.
Seguridad de red de código abierto Vulhunter incluido en CI/CD
Protección precisa y a largo plazo de la seguridad del proceso de investigación y desarrollo.
El banco comercial estatal construyó un sistema de seguridad de "tubería dorada" de libre montaje en el sistema de I+D, incorporó la plataforma de pruebas de seguridad de caja gris de seguridad de red de código abierto Vulhunter en CI/CD, adaptado a los requisitos de construcción rápida y entrega y capacidades mejoradas de prueba de seguridad. Vulhunter, una plataforma de pruebas de seguridad de caja gris de ciberseguridad de código abierto, ayudó al banco a lograr:
1. Pruebas de seguridad más completas y duraderas. Vulhunter puede realizar continuamente pruebas de seguridad en el negocio digital del banco, integrarse en el entorno de prueba en forma de servicios proxy, monitorear de manera continua e integral información como llamadas a funciones y flujos de control dentro de la aplicación, y profundizar en los riesgos de seguridad.
2. Análisis de código más eficiente y preciso. Vulhunter puede analizar automáticamente los códigos de aplicaciones y API. A través de la tecnología de seguimiento de contaminación, puede localizar de forma rápida y precisa el segmento de código donde se encuentran posibles vulnerabilidades de seguridad, resolver los riesgos de seguridad del código desde la fuente, mejorar en gran medida la eficiencia de la detección de códigos y simplificar el proceso de detección de seguridad. sin obstáculos.
3. Pruebas de cumplimiento más estrictas y detalladas. Vulhunter puede monitorear y analizar continuamente el comportamiento de los datos de la aplicación bajo prueba en tiempo real, descubrir rápidamente comportamientos anormales, localizar el segmento de código que causó la excepción y resolver el posible riesgo de fuga de datos.
La plataforma de prueba de seguridad de caja gris de seguridad de red de código abierto proporciona al gran banco comercial estatal capacidades de detección de seguridad de aplicaciones en profundidad y capacidades de monitoreo de seguridad en tiempo real, ayudándolo a descubrir y resolver problemas de seguridad de I+D por adelantado, reduciendo en gran medida los riesgos causados. por las vulnerabilidades de las aplicaciones y logrando El objetivo de "desplazar la seguridad hacia la izquierda" garantiza la continuidad y seguridad de los servicios financieros digitales, mejora la confianza de los clientes en el banco y fortalece aún más su posición competitiva en el mercado.
En el futuro, Kaiyuan Network Security continuará mejorando las soluciones de seguridad de I+D en la digitalización de la industria financiera, mejorará las capacidades de seguridad del sistema de I+D, ayudará a los clientes de la industria financiera a continuar desarrollando innovación tecnológica y brindará a los usuarios servicios más seguros y convenientes. servicios digitales financieros.
