概述
报告介绍
2017年6月,第三方网络安全评价服务平台“安全值”整理了网络安全关注度较高的10个行业,共10,000家行业标杆机构。其中,金融行业是我国网络安全重点行业之一,金融机构已经成为网络犯罪的主要目标。安全值利用外部大数据的方法,从互联网的角度重点分析了金融行业的网络安全状况。报告参考了金融行业批准的“金融牌照”和较流行的金融业务模式,将金融行业分为10个细分领域,每个领域100家机构,包括银行、证券、基金、保险、第三方支付、小贷P2P、众筹&投融资、企业征信、互联网保险理财、综合金融服务。分析了各领域所发生的安全问题的特点。
同时,报告还分析了金融行业暴漏在互联网的资产情况,包括注册的域名、线上的主机、IP网络,甚至还有公有云迁移的情况。云技术的应用在优化了IT资源的同时,也使网络威胁发生变化,上云的系统成为了一个新的风险要素。
报告完成了对6种典型的互联网威胁事件进行分析,评估带来的安全风险,例如:系统中存在比较危险的安全漏洞,或者遭受到的网络攻击。并对本次分析的10个领域1,000家金融机构进行综合评分,这种评分被称为“安全值”。评分是基于这些客观、明确的外部安全数据,建立多维度评价指标,经过加权计算而形成,主要用于相同测量标准下的安全状况和趋势差异对比。
主要发现
- 从外部角度看,银行机构、第三方支付和小贷P2P公司面临的威胁相对最严重,互联网风险不容忽视;
- 行业中 26% 金融机构使用公有云主机,主要以阿里云和AWS为主;
- 行业发现374个CVE安全漏洞,19%机构受到影响,包括著名的 “OpenSSL Heartbleed 心脏滴血” 等漏洞;
- 36%机构遭受到总计87,972次DDOS拒绝服务攻击,其中第三方支付成为了黑客或者竞争对手的主要目标。
金融行业和其它行业的对比
本报告针对国内网络安全问题关注度比较高的10个行业,共10,000家机构作为分析范围(每行业1,000个机构),基于2017年上半年外部大数据进行安全分析和总和评价,综合来看金融行业安全值 870 分(风险由高到低 0-1000)。近年来互联网+金融取得了一定成绩,同时也面临着巨大的互联网威胁,金融行业在本次报告比较的10个行业中排名第八名。
金融10大领域网络安全评价
从外部角度看,银行机构、第三方支付和小贷P2P公司面临的威胁最严重。
报告参考了金融行业批准的“金融牌照”和较流行的金融业务模式,将金融行业分为10个细分领域,每个领域100家机构,包括银行、证券、基金、保险、第三方支付、小贷P2P、众筹&投融资、企业征信、互联网保险理财、综合金融服务。银行机构、第三方支付和小贷P2P安全值均低于850,是10个领域中得分较低的,说明面对的互联网威胁较高。
安全值评分是针对互联网发现的各类安全事件数据,结合其频率、影响、时间、数量等关键要素进行加权计算,从外部视角简洁明了的量化了金融领域的安全威胁状况,可以成为组织安全能力水平评估体系中的一项客观依据。
评估组织整体安全水平应通过内、外结合的评价方法,综合评估安全发现识别和响应处置的效率。
下图是金融10大领域的安全值评分。
金融10大领域网络安全评价
金融10大领域外部安全风险分布
各类安全风险影响机构数量占比
- 安全漏洞:操作系统或组件存在严重的安全缺陷,一旦遭受病毒或者黑客利用,可能导致信息泄露等风险。
- 网络攻击:遭受到大流量的DDOS拒绝服务攻击,一旦资源被耗尽,可能中断服务无法被正常用户访问。
- 垃圾邮件:被列为垃圾邮件发送域,一旦被反垃圾邮件设备拦截,将导致用户可能无法正常收到邮件。
- 僵尸网络:网络服务器对外部发起扫描或者攻击行为,服务器主机可能被入侵,存在后门被远程控制。
- 恶意代码:来自国内外安全厂商的恶意代码检测结果,系统可能已经被植入后门、病毒或者恶意脚本。
- 黑名单:域名或者IP地址被第三方列入黑名单,用户的正常网页访问可能被浏览器拦截或者IP网络通讯被防火墙阻断。
互联网资产分析
1. 小贷P2P公司拥有相对较多的线上业务系统
行业中1,000个组织共发现互联网资产87,677个,包括组织注册的域名1,096个,面向互联网可访问的主机地址58,744个,以及公网开放的服务器IP地址27,837个,为了分析每个领域的互联网业务开展情况,在每个领域中100个组织的互联网资产进行了平均,下面表格数据统计了各领域平均资产数量,其中小贷P2P公司平均每个机构有183个互联网资产,是最多的领域;企业征信领域中平均每个机构仅有22个互联网资产。
互联网资产数量统计
互联网资产包括以下类型:
- “域名” 组织经过ICP备案的域名
- “主机”(子域名)面向互联网开放的主机服务地址(例如:Web网站、Email服务、接口服务、业务系统等)
- “IP网络” 在线系统所使用的IP网络地址(包括本地服务器、IDC托管、云主机等)
26% 金融机构使用公有云服务
云计算在国内各行业中应用越来越多,虽然行业中大多数完成云迁移的还是非核心系统,但我们还是发现了26%的机构已经使用了公有云服务。
其中,众筹&投融资和小贷P2P的互联网金融领域是主要的云客户,迁移的比例分别是51%和44%。传统的银行、券商、基金、保险云迁移的比例分别是14%、29%、8%和29%。
云计算技术优化了IT资源,并可以提供按需的、弹性的服务帮助企业更快速的开展新业务创新,同时网络安全风险也发生了变化。尤其是云计算带来的数据境内管理问题和敏感信息保护问题成为网络安全领域新的挑战。
下图是各领域使用公有云主机服务的机构比例。
金融10大领域公有云主机迁移机构比例
2. 云服务商主要以阿里云和AWS为主
报告中统计的云服务主要是云主机 IaaS服务,完成迁移的机构中,阿里云用户占比43%、AWS用户占比34%,Tencent Cloud用户仅有3%。
安全漏洞分析
1. 19% 存在安全漏洞隐患
2017年上半年,金融行业评估的1,000家机构中,共发现374个CVE (Common Vulnerabilities and Exposures)漏洞,19%的机构存在比较严重的安全漏洞,漏洞类型Top5为 314个 CVE-2015-0204(OpenSSL FREAK Attack漏洞),40个CVE-2014-0160(OpenSSL Heartbleed 心脏滴血),10个 CVE-2016-9244(Ticketbleed),8个CVE-2017-7269(IIS 6 远程代码执行漏洞),2个 CVE-2015-2080 (Jetty web server远程共享缓冲区泄漏漏洞)。这些漏洞一旦被利用,可能会造成严重的信息泄露或者系统中断,组织可以通过安装补丁消除安全漏洞隐患,并遵循服务最小化原则。
报告发现31%的证券公司存在安全漏洞,CVE安全漏洞是比较普遍,并且危害程度较高的安全问题,从信息系统生命周期来看,从设计、编码到部署上线各环节中都可能造成漏洞,组织应建立完善的漏洞管理体系,加强流程、技术到人员全面能力来控制安全漏洞带来的影响。
互联网业务模式对信息系统迭代的频率要求比较高,往往为了满足业务追求效率,会损失一部分安全,这种模式下上线安全测试将成为上线前的最后一道防线,组织应明确系统上线的基本要全需求,并提高监测发现和响应效率,来弥补开发过程中的控制缺失。
安全漏洞分布
安全威胁分析
1. 36% 遭受到DDOS网络攻击,第三方支付成为重灾区。
2017年上半年,评估的1,000家金融行业机构中,共遭受到DDOS网络攻击87,972次,攻击每天都会发生。拒绝服务攻击DDOS已经是当前互联网安全比较常见的威胁,可以消耗系统和网络资源,使其无法为正常用户提供服务。尤其是对与连续性要求比较高的行业,面临着黑客或者竞争对手的威胁,例如:第三方支付是非常典型的领域,一旦支付接口无法服务,将造成的是直接经济损失和客户流失。
金融行业有36%的机构受到DDOS攻击的威胁,其中第三方支付公司最为严重,67%都遭受到不同程度上的DDOS网络攻击,第三方支付公司使用公有云资源的仅占17%,大多数还是使用本地服务器主机资源,所以第三方支付公司面临着针对性比较强的网络攻击。
其次是,55%的小贷P2P公司遭受到DDOS网络攻击,他们接近半数(44%)的公司使用了公有云资源,受到对云资源池的范围性攻击的影响的可能性相对较高。
网络攻击分布
2. Top 10 威胁金融行业的恶意地址
分析发现,金融行业中经常受到DDOS网络攻击的端口为 80、4444、443、53,这种威胁主要基于流量的攻击,常用的攻击类型为TCP_SYN,组织通过优化服务器组件对异常连接进行快速处理,加上采用流量清洗服务方式可以实现不同程度的防护。下表是 “Top 10 威胁金融行业的恶意地址”,组织可以重点关注以下地址,适当采取阻断措施。
Top 10 威胁金融行业的恶意地址
风险综合分析
根据标准风险评估方法论,从外部数据中分析风险三要素,资产(A)、脆弱性(V)、威胁(T),并提取频率、时间、数量、影响程度等关键指标,逐个对行业内每个企业或机构进行安全风险(R)进行定量评估 R = F(A,V,T),最终金融行业内10个领域的平均安全值为870(1000分制),需重点解决安全漏洞、网络攻击问题,考虑不同的领域或者组织应结合业务特点采取不同的防护措施。
安全值从外部视角完成了对行业/企业的安全评价,作为客观的评价结果,重要的意思在于在相同测量标准下比较行业之间或者企业之间的差距,快速定位安全风险较高的组织,并采取进一步的风险处置策略,优化安全风险管理流程和资源,提高效率。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】