【提升競爭力】金管局C-RAF 2.0安全標準加辣 Micro Focus助金融業打通安全開發流程

    香港金融管理局 (HKMA) 於去年 11 月推出的加強版網路防衛評估架構「C-RAF 2.0」,特別在產品開發周期上提升了合規要求。全球第七大軟件公司 Micro Focus 夥拍香港系統整合商 Resolve Technology,推出 Fortify 解決方案,可確保金融業將安全性在開發流程中的位置「左移」(shift left),貫通整個流程,金融業就可放心推出新服務,提升競爭力。

    新服務成金融業致勝關鍵

    作為亞洲金融中心,香港的金融業均積極引入各種金融科技,同時致力縮短產品開發周期回應市場的需求。不過,企業安全產品代理商 B & Data 總經理 Billy Luk 指出:「如企業只是單純引入快速的 DevOps 開發流程而未有兼顧安全性,反有可能拖慢開發步伐,甚至因安全漏洞導致商譽破產。」他說現時金融業面對的其中一大痛點 (pain point),便是無可避免地需在開發周期中利用各種開源 (open source) 工具及程式碼,以最短時間達成開發目標。眾所周知,如開發員不慎使用了有問題的開源工具或編碼,相當於一併將漏洞引入,如果能在交付前發現還好,最多只是白費了開發時間,否則便有可能引來黑客入侵,造成難以估計的損失。

    【提升競爭力】金管局C-RAF 2.0安全標準加辣 Micro Focus助金融業打通安全開發流程
    B & Data 總經理 Billy 說開源工具及程式碼的確可加快開發進度,但同時亦會為企業帶來安全隱憂。

    另一方面,Billy 又提到金融業為了擴大自家服務的觸及率,均爭相開放應用程式介面 (Open API),讓第三方供應商及客戶可更容易讀取其服務內容,「由於這些 API 對外開放,設定不善便會導致數據外洩,但問題是開發流程緊湊,開發人員未必有足夠時間去考慮各種設定問題,成為不少數據外洩事故的導火線。」

    加強版C-RAF確保開發流程安全性

    為了提升金融業整體的安全性,香港金融管理局 (HKMA) 於去年 11 月推出加強版網路防衛評估架構「C-RAF 2.0」(Cyber Resilience Assessment Framework),提升了軟件開發周期 (Software Development Life Cycle )方面的合規要求。Micro Focus 企業安全銷售經理 Samuel Tang 解釋,「C-RAF 2.0 要求金融業必須通過審核現有的安全措施,包括監管、偵測機制、保護工具、危機管理及應對政策,以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求,銀行就要按照金管局建議的改善措施提升安全成熟度,例如實行網絡攻擊模擬測試 iCAST (Intelligence-led Cyber Attack Simulation Testing),直至合符相應的要求。」換言之,網絡安全性必須貫穿整個開發流程,否則便無法達到合規要求。

    【提升競爭力】金管局C-RAF 2.0安全標準加辣 Micro Focus助金融業打通安全開發流程
    金管局現正推行的 C-RAF 2.0 提升了系統開發周期方面的合規要求,Micro Focus 企業安全銷售經理 Samuel 認為對金融業來說絕對是利多於弊。
    解決方案應付不同開發階段需要

    在網絡安全大前提下,金管局提升合規要求實在無可厚非,但結果不一定會拖慢金融業的發展步伐。Micro Focus 合作夥伴 Resolve Technology 銷售總監 Keith Pang,便以公司正協助本港其中一間虛擬銀行引入 DevSecOps 開發流程的經驗,說明 Micro Focus 的 Fortify 安全服務解決方案如何有助金融業增加信心。「Fortify 可分別於每個開發階段提供協助,例如 Software Composition Analysis (SCA) 本身收藏超過 6,500 萬個元件的特徵 (fingerprints),可自動掃描包括開源資料庫的程式碼有否漏洞存在,從一開始便減少漏洞出現的風險。」

    【提升競爭力】金管局C-RAF 2.0安全標準加辣 Micro Focus助金融業打通安全開發流程
    加快開發流程已是大勢所趨,Resolve Technology銷售總監Keith認為引入自動化安全工具掃描漏洞,既可減輕人手壓力,亦可減少人為犯錯風險。

    Samuel 亦指出企業在持續交付服務的流程中,實時找出漏洞的重要性。「Static Code Analyzer (SAST) 支援 27 種程式語言,同時將網絡威脅分為 781 類,可持續通過靜態程式碼分析技術,快速檢查有否已知的漏洞存在而不影響開發進度;而 WebInspect 則可模擬應用服務在實際執行時有可能出現的問題,兩者均可避免去到開發最後階段,才發現要推倒重來的風險。而在應用服務真正交付後,Fortify Application Defender 便會負責把守安全大關,阻止一切非法入侵及內部攻擊,讓 Micro Focus 可以由始至終地守護整個開發流程,協助金融業達到 C-RAF 2.0 的合規要求。

    網上工作坊體驗Fortify

    為方便企業進一步了解 Fortify 應用程式安全解決方案的各項功能,Micro Focus 將於 4 月 21 日舉辦網絡工作坊,由專家示範方案如何協助企業客戶達成 DevSecOps 開發流程,贏在起跑線。成功報名出席,企業客戶將有機會免費試用服務,名額有限,請即報名。

    主題:SDLC 安全框架網絡研討會
    日期:2021 年 4 月 21 日
    時間:02:30 PM
    網上工作坊報名連結:https://us02web.zoom.us/webinar/register/WN_o2FxTxgDR8y3lkvCX6wRDw

    查詢:Micro Focus代理商B & Data Technology CO., Ltd
    電話:2114 1100
    網址:www.bdata.com.hk

    查詢:Resolve Technology Limited
    電話:3618 9970
    網址:www.reslv.io

    (Article sponsored by Micro Focus)

    #B&Data #CFI #codescanning #Compliance #CRAF20 #DAST #DevOps #DevSecOps

    相關文章