FreeBuf安全研究院期望和合作伙伴一起,借由金融行业应用安全态势报告来反映该行业在应用安全等方面的现状和趋势。在经过大量的数据统计、外加问卷和走访,以及合作伙伴的支持下,FreeBuf安全研究院领衔的《2017金融行业应用安全态势年度报告》正式发布了。
用于支撑本次报告的研究方法和信息来源包括:
FreeBuf安全研究院通过采集23898项数据,配合合作伙伴的数据支持,经过技术专家和专业安全团队组成的评定小组所做的数据分析,最终从银行、保险、证券、互联网金融四个金融行业大分类,针对应用安全问题及安全漏洞态势进行综合分析和评定。
为进一步探究金融行业应用安全问题背后的成因,FreeBuf安全研究院在过去一年中走访了198家企业,与合作伙伴一起下发超过200张问卷,针对金融机构安全管理、业务风险做深入调查。
包括思科、国家信息技术安全研究中心在内的合作伙伴为本次调研报告提供了大量数据支持。
因此,本次调研报告能够更到位地体现2016年全年金融行业应用安全态势,并期望对金融行业的持续健康发展发挥参考价值。
而从这份报告中,我们的主要研究结果和报告的关键包括有:
• 越来越多的金融机构开始意识到,信息安全在业务发展中的作用不再只是“降低风险”,而是促成业务发展的“核心竞争力”。
• 金融机构几乎一致认为,专业安全人才的匮乏是安全问题难以解决的最大原因,而安全技术和产品从来都不是制约其安全问题解决的根源。安全人才的短缺,正是企业安全专业人员担心安全工具和解决方案无法充分发挥作用的原因。
• 更多金融机构会持续加大信息安全预算投入;来的安全人才也会越来越多,但由于安全市场对专业性要求越来越高,攻击复杂程度也越来越高,金融机构的安全人才匮乏会成为常态。
• 由于安全预算和人才的匮乏可能会是常态,借助第三方安全服务、安全众测帮助机构缓解安全问题已经成为许多金融机构的选择。
• 建立威胁情报共享制度已经成为金融机构的共识。大数据和移动技术2016年正在极速推进金融行业的迈进,甚至改变国人生活方式;在如此急速的发展中,攻击面正在持续扩展,金融机构的安全问题因此变得更加突出,建立威胁情报共享机制、共同抵御外部攻击或成为趋势。
• 所有金融机构最关注的安全问题是“信息泄露”,全年信息泄露问题不仅很大,而且没有遭遇信息泄露的金融机构普遍也在担心这一问题。《中华人民共和国网络安全法》的部分条款为保护企业组织的信息安全提供了法律依据,该法案的颁布和即将实施也表明这一问题的迫切性。
• 金融机构对于安全漏洞的响应速度快于企业市场平均水平,但仍旧不够快。
• 互联网金融的移动App已经成为应用安全中的大问题,广泛存在的问题包括App仿冒、通信数据明文发送、敏感信息泄露等。
• 由于许多金融机构很多情况下依赖扫描器,而扫描器对逻辑业务安全漏洞检出率低,如批量重置密码、越权操作等,使逻辑业务安全漏洞增长趋势远高于通用漏洞;
• 传统金融机构在漏洞数量上远多于互联网金融,其中保险行业已经成为该领域安全问题的重灾区,其漏洞数量、漏洞危害程度和利用难易度在整个金融行业都显得非常不乐观。
• 互联网的发展让企业组织可遭遇的攻击面越来越大。绝大部分金融机构都已经意识到,要担心的问题并不是攻击是否会发生,而是何时会发生——构建完美的防护是不现实的,但是可以通过限制攻击者的行动空间,来抑制其对资产的危害,从而最大限度降低风险和威胁的影响。作为一种可行的措施,金融机构可以将所有安全工具简化为一套互联的集成安全架构,可简化检测和缓解威胁的过程。相较以往主体专注于预防的投入,金融机构普遍开始在安全方面加大对检测和响应的投入。
此外,延续过往金融行业应用安全态势报告的传统,《2017金融行业应用安全态势年度报告》也将国内的金融行业划分为互联网金融、银行、保险、证券和四个分类,并对这些分类中不同金融机构在安全漏洞态势和企业综合实力两个方面进行了考察,以安全态势象限的方式来呈现这些企业机构在这两个维度上的综合表现,分别如下:
点击图片可放大
点击图片可放大
点击图片可放大
点击图片可放大
报告还对2017年国内金融行业应用层面面对的主要安全漏洞进行了详细分析,并针对安全漏洞现状提出相应的建议和可行的解决方案。最终我们借由报告呈现的数据和研究结果,对2017年金融行业应用安全的趋势发展做了相应预测,以更全面的视角来观察和预见中国金融行业应用安全的未来,这些趋势预测包括:
• 金融机构在安全方面的投入已经从纯粹的防护,将注意力更多转移到了检测和响应;
• 鉴于攻击面的持续扩展,以及攻防不对称的现状,新的一年会看到越来越多的金融机构共建威胁情报机制,以期共同抵御外部攻击;
• 更多金融机构会持续加大信息安全预算投入;那些在预算方面有限,安全人才匮乏的中小型金融机构会愈发依赖第三方安全服务;
• 对金融机构以及国内的更多行业而言,虽然国家正在着力培养安全人才,未来的安全人才也会越来越多,但由于安全市场对专业性要求越来越高,攻击复杂程度也越来越高,金融机构的安全人才匮乏会成为常态;
• 随安全众测模式在过去一年中的发展,也将有越来越多的金融机构接受这种模式,采用安全众测的金融机构数量会在2017年持续增多;
• 绝大部分金融机构对于金融云的安全问题格外关注,这表明越来越多的金融机构已经上云或者准备上云,所以云安全很快就会成为金融行业的关注重点。
完整报告下载
更多内容参见完整版《2017金融行业应用安全态势年度报告》:
链接: https://pan.baidu.com/s/1jIt6Lpk 密码: yiep
* FreeBuf安全研究院荣誉出品,
SQL注入和命令执行始终在最前面