【行研】FreeBuf發布2016年上半年金融行業應用安全態勢報告
*FreeBuf研究院榮譽出品,轉載請聯繫mkt@freebuf.com
隨著互聯網+已席捲中國熱潮,互聯網與金融行業結合越發緊密,一方面為金融機構的競爭與發展拓展了新的空間,公眾的資金和投資管理也變得十分便利,但同時更多的數據泄露和業務中斷使得金融行業網路安全的風險也隨之增加。
FreeBuf半年間走訪數十家企業,通過企業IT安全團隊問卷調查,合作夥伴漏洞盒子、中國國家信息安全漏洞庫(CNNVD)、七牛雲提供的數據支持,採集了14663項數據,並經過技術專家及專業安全團隊組成的評定小組通過對數據進行分析,最終從傳統金融(銀行、保險、證券),互聯網金融(P2P、分期、眾籌、第三方支付、大數據金融)8個金融行業細分領域,針對應用安全脆弱性及安全漏洞態勢進行綜合分析和評定。
本次調研報告的目的是從一定程度上呈現2016年上半年金融行業整體安全狀態,使企業安全人員與管理者更加了解金融企業潛在的安全風險與脆弱面,以及洞察未來金融行業信息安全發展走向。
報告關鍵
1. 隨著移動端技術使用率、佔比增大,移動金融應用中存在的漏洞相比去年同期增37%;
2. 2016上半年雲廠商的防護措施,如雲WAF,雲端抗DDoS提升了漏洞利用難度,使得漏洞增長率放緩;
3. 金融廠商對邏輯層業務安全漏洞的忽視,如批量重置密碼、越權操作等,使其增長趨勢遠高於通用漏洞;
4. 傳統金融在漏洞數量上明顯多於互聯網金融,高危漏洞佔比高達78.48%;
5. 從漏洞利用程度上分析,互聯網金融更加「脆弱」——「非常容易利用」的漏洞佔比高達57.5%;
6. 互聯網金融行業最容易出現問題的業務場景有:用戶註冊及登錄場景,密碼重置場景,支付場景,消息通知場景,登錄場景,支付場景和介面調用。
7. NoSQL,Apache Spark,Hadoop三種技術在2016上半年在金融風控領域的應用發展迅猛,但半數公司對大數據分析結果的關聯定性、準確性存在疑問。
最易出現安全風險的業務場景
1.t用戶註冊及登錄場景
註冊場景出現較多的是任意賬號批量註冊漏洞。任意賬號註冊給羊毛黨薅羊毛提供了極大便利,是互聯網金融較為突出的問題。
登陸場景中,撞庫與邏輯缺陷導致任意賬號登陸問題最為普遍。可導致用戶信息被批量盜取,甚至資金安全。
2.t密碼重置場景
密碼重置過程中,如簡單的簡訊驗證碼被暴力破解、抓包查看服務端返回的驗證碼、缺乏功能級的限制可跳到修改密碼步驟等等方式,攻擊者很容易實現重置任意用戶的密碼。
3.t業務功能操作場景
服務端程序多存在不安全的對象直接引用,直接危害體現就是可越權編輯,查看,取消,刪除其他用戶信息。
4.t支付場景
互聯網金融行業涉及到的支付場景集中在充值,購買,提現,轉賬等。
5.t消息通知場景
重複調用簡訊介面,發送簡訊通知,對其進行簡訊轟炸。部分介面在給用戶發送數據時,信息內容甚至可以被控制。
金融公司應用安全態勢象限(2016年上半年)
根據「安全漏洞態勢」和「企業綜合實力」兩項指數進行科學有效的計算,繪製了金融公司應用安全態勢象限,可看出金融細分行業中有代表性地企業在兩個維度上的位置。
註:圖片可點擊放大
註:圖片可點擊放大
註:圖片可點擊放大
註:圖片可點擊放大
漏洞統計TOP10
互聯網金融
傳統金融
金融企業地域分布
技術應用及展望
隨著信息技術的高速發展,面向企業的雲服務幾乎無所不在。企業為了降低運營成本、便捷辦公以及提高隨時隨地進行連接的可訪問性,眾多金融行業義務反顧的選擇了基於雲服務和虛擬化協作方式。這些技術場景不僅應用在銀行、保險、證券等傳統金融機構,而且包括P2P、小貸、眾籌、消費金融等互聯網金融機構,都普遍的使用著SaaS、PaaS、IaaS等服務。具體的例如彈性計算、雲資料庫、CDN服務、負載均衡、虛擬化技術、雲存儲/備份、安全管理等服務。
縱觀過去半年的金融信息安全,很多企業在安全防禦上投入增加,比如購置了WAF、IDS/IPS、SIEM等設備,有效的防禦力基於規則能檢測的漏洞,使得漏洞利用成本提高。但安全形勢依然嚴峻,在應用安全領域,金融企業仍然面臨多種的安全威脅,常見的OWASP TOP-10脆弱性依然活躍在各大金融企業應用中。很多攻擊者更傾向於利用業務邏輯層的安全問題,這類問題可造成了企業的資產損失和名譽受損,傳統的安全防禦設備和措施收效甚微。針對業務邏輯層的安全問題,將人工滲透測試融入SDL安全開發流程中,可以有效的降低企業業務面臨的安全風險,而安全眾測的模式在過去一年也得到了長足的發展,越來越多的金融企業已經逐漸接受這種模式。另外基於大數據風控、威脅情報和金融反欺詐等技術也漸漸趨向成熟,金融企業IT部門已經開始嘗試使用。
2016年上半年金融行業應用安全態勢報告完整版下載:https://pan.baidu.com/s/1nv4dEwp(提取密碼: cenc)
*FreeBuf研究院榮譽出品,轉載請聯繫mkt@freebuf.com
推薦閱讀: