【轉載】SecurityScorecard發布2016年上半年美國金融行業網路安全情況報告

來源：安全客 作者：ResoLutiOn

據PwC（普華永道國際會計事務所，全球頂級會計公司）發布的《關於全球金融犯罪活動的調查報告》顯示：在金融犯罪活動中，利用互聯網實施金融犯罪活動，已經成為了全球各大新聞媒體爭相報道的熱點事件。如今，它已經成為了犯罪分子實施金融犯罪時，所採用的第二大手段，出現的頻率越來越高；同時，一些金融組織機構也成為了網路犯罪分子在實施金融犯罪活動時的首選目標。近年來，網路犯罪分子不斷找到了一些新的攻擊方式，例如：網路釣魚攻擊、針對某個特定目標的魚叉式釣魚攻擊、以及融合了社會工程學技術的攻擊等。隨著IT技術不斷向前發展，這些網路攻擊手段也變得更為複雜，給金融行業的網路安全造成了嚴重的威脅。因而，這就要求一些金融機構要及時地評估，修復網路中存在的安全漏洞；同時，對其提供第三方網路服務的運營商也要拿出相應的應對方案，共同維護金融行業的網路安全。

2016年春，專業從事安全基準評估的初創企業SecurityScorecard對全球範圍內的7111家，涉及金融行業的公司和企業進行了網路安全調查評估。這7111家金融企業在SecurityScorecard公司的安全平台均有登記。這些公司和企業主要包括全球範圍內的投資銀行、企業資產管理公司以及大型的商業銀行等。SecurityScorecard公司進行此次調查的目的是為了找出在這些金融公司的網路中存在的安全漏洞。基於相應的安全標準，以及他們與其他金融企業參照的安全響應時間，對這些公司和企業的網路安全等級做出評估。

綜述

SecurityScorecard公司所採用的評級標準是一個涉及網路安全等級或網路安全狀態等的全面性指標。在SecurityScorecard公司的安全研究人員看來，僅有的一個微小的漏洞，也會給公司帶來不可估量的損失。我們採用了一個多維度的評級辦法。在每一個類別中，我們會對成千上萬組數據進行評估分析，以確定一個整體的評估等級。之後，再依據這些類別，對每一家企業進行安全評估，最終得出這家企業的網路安全評估等級。

相關重點行業的調查結果

1. 在美國10大從事金融服務的機構組織中，美國商業銀行（The U.S Commercial Bank）的網路安全評級最低；

2. 在這10家金融機構組織中，僅有美洲銀行（Bank of America）的安全評級為「A」；

3. 在全美20大商業銀行中，超過75%的銀行的網路系統遭到了惡意軟體的感染。在這些惡意軟體中就包括Ponyloader和Vertexnet。

4. 同時，在這20大商業銀行中，超過95%的銀行的網路安全評級在「C」以下；

5. 在每5家金融公司中，就有1家公司的電郵系統存在嚴重的安全漏洞；

6. 在網路安全維護領域做的比較出色的幾家投資銀行是：Goldman Sachs Exchange Bank（高盛投資銀行）、BNP Paribas Forits（富通銀行法國巴黎分行）以及Banco Popolare（義大利大眾銀行）。

金融服務業與其他主要行業的安全性比較

我們發現，在全美18個主要經濟行業的安全性比較中，金融行業的安全性評級排在該榜單的第4位。

雖然金融行業總體的安全評級還排在榜單的前列，但具體來看，該行業的Cubit網路質量得分、DHS安全得分、IP地址信用值、以及網路安全得分等諸多數據，都要遠遠落後於18個行業的總體平均值，形勢不容樂觀。基於之前所做的調查，我們發現，那些IP信用度較低的企業，發生數據泄漏的概率要比具有較高IP信用度的企業高出3倍以上。

一些針對金融行業的網路犯罪記錄

從2015年6月到2016年4月間，SecurityScorecard公司對361家發生過數據泄漏的國際企業進行了調查分析。結果發現：其中有10%的公司屬於金融企業。

持續影響金融行業的幾大主要安全漏洞

SecurityScorecard公司調查發現：在7111家金融企業中，有1356家企業的網路中至少存在一個CVE漏洞，並且仍未得到修復。而其餘企業至少受到兩個CVE漏洞的影響。這其中，有72%的企業主要是受到CVE 2014-3566（POODLE）的影響；另有38%的企業是受到CVE 2016-0800（DROWN）的影響，23%的企業是受到CVE 2015-0204（FREAK）的影響。這些常見的CVE漏洞都有一個共同點，即：都是利用了SSL配置錯誤的問題。

SecurityScorecard公司給出了全美20大商業銀行的安全評級

下圖給出了全美20大商業銀行在各個安全評級指標方面的得分。該結果表明，如果一家銀行的網路安全狀況較差，那麼它極有可能是全美10大商業銀行之一。

在這20家商業銀行中，有19家銀行的網路安全評級為「C」甚至更低。具體看來：

1. 有18家銀行仍在使用一個或多個不安全的TLS協議加密組件；

2. 有15家銀行的網路系統未更新已經過期的SSL證書；

3. 黑客可以很輕鬆地找到其中9家銀行的FTP埠；

4. 黑客可以很輕鬆地找到其中5家銀行的SMB埠；

另外，在這20家商業銀行中，有17家的網路IP地址信用度評級為「B」甚至更低。具體來看：

1. 15家銀行的系統中存在惡意軟體Generic；

2. 14家銀行的系統中存在惡意軟體Ponyloader；

3. 9家銀行的系統中存在惡意軟體Vertexnet；

4. 8家銀行的系統中存在惡意軟體Keybase；

我們對20家銀行在過去一年內所發生的惡意軟體攻擊事件進行了分析，結果發現：有一家銀行在過去一年中竟發生了422起惡意軟體攻擊事件；而在過去一年中，20家銀行遭到惡意軟體攻擊的次數為788次。

此外，我們還應看到：所有20家銀行在Cubit網路質量方面的評級都為「A」，這是讓我們感到比較滿意的一點。

全美在安全維護方面表現出色的幾家投資銀行和資產管理公司

從表中我們可以看出：排名前幾位的資產管理公司拿到的評級較為散亂，A，B，D均有。在之前的調查結果中我們曾提到，在全美20大商業銀行中，一些安全評分較低的銀行存在的問題往往是網路埠任意開放、採用了不安全的SSL協議、身份認證存在漏洞、登錄密碼容易遭到破解等等。而這些問題也導致銀行的網路系統，容易遭到黑客發動的MITM攻擊（網路中間人攻擊）或brute-force攻擊（暴力攻擊）。

儘管一些表現出色的投資銀行在「Patching Cadence」一項中的得分較低，但還是有一半的銀行拿到了「A」，3家拿到了「D」，這就表明很多銀行在修復CVE漏洞方面，還存在著不足。正如Verizon公司（美國威瑞森電信公司）在一份調查報告中所指出的那樣「現在，網路黑客們不僅仍舊利用以前的CVE漏洞，並不斷探索著新的CVE漏洞。任何一個未被修復的漏洞都會造成安全威脅。因此，我們希望這些漏洞能夠儘快得到修復。」

一些排名較低的公司和企業遇到的CVE漏洞

SecurityScorecard公司的安全人員在399家銀行和企業的網路系統中，找到了4個最常見的CVE漏洞。它們分別是：

1. CVE-2014-3566：SSL v3協議中的CBC（密碼分組鏈接）漏洞，即： POODLE（Padding Oracle on Downloaded Legacy Exports）漏洞。有52%的企業正受到此漏洞的影響。

2. CVE-2016-0204：支持降級攻擊。即：FREAK漏洞（Factoring RSA Export Keys）。有29%的企業正受到此漏洞影響。

3. CVE-2016-0800：支持SSL V2版本協議，黑客可採用過期的SSL協議發動攻擊。即：DROWN漏洞（Decrypting RSA Using Obsolete Weakened Encryption）。有27%的銀行和企業受到該漏洞影響。

4.End-of-Life：調查發現，有57%的企業一直在使用著End-of-Life產品，這也是導致發生數據泄漏的原因之一。

負責安全維護的網路防火牆以及其他安全軟體，由於未進行登記，因而至今仍未被修復。這也就導致類似的安全軟體無法發揮應有的作用。同時使得相關軟體的更新周期由原先的36個月降為了18個月。儘管相關的PC硬體生產商已經生產出了更為安全的網路伺服器和其他PC硬體，相關企業也被要求替換之前的舊設備，以降低安全風險。但是，由於生產商頻繁地發布硬體的更新組件，使得操作人員無法及時適應新版本，因而增加了操作出錯的可能性；同時，也給IT人員管理設備加大了難度。

金融行業的安全級別達不到SIG、SIG Light、PCI以及ISO安全標準

2016年5月，SecurityScorecard公司安全研究人員對7111家銀行和企業採用的安全標準進行了檢查，檢查項目包括：

1. ISO 27000 安全系列標準；

2. SIG（信息採集標準，Standard Information Gathering Questionnaire）;

3. SIG Lite（Standard Information Gathering Questionnaire subset）;

4. PCI DSS（Payment Card Industry Data Security Standard）;

與SIG 1和SIG Lite 1相關的問題會影響企業對網路埠的檢測，這就會導致企業對埠的維護不夠充分，給黑客留下了攻擊機會。同時這些問題也體現出了DNS和SPF配置不當，也會讓網路系統處於危險之中。

由PCI 1標準產生的問題較為普遍。我們將其與電郵及網域配置問題聯繫在了一起，如：SPF、DNS、以及DKIM的配置問題。電郵以及網域配置文件的丟失或不當配置，會降低其系統的安全性。黑客可利用這一點，通過發送大量垃圾郵件的方式，實施網路釣魚攻擊。

黑客可利用第三方軟體對金融機構網路實施攻擊

SecurityScorecard公司安全研究人員還對7111家銀行和企業採用的第三方軟體進行了檢查，得出了它們的安全評級以及存在於其中的主要安全漏洞。

1. 18%的企業都在使用一種時下流行的第三方電郵服務，同時他們在「修復性能」、「網路安全」、以及「IP信用度」等指標上拿到了評級為「F」，在「Hacker Chatter」和「社會工程學應用」等指標上的評級為「D」。

2. 16%的企業使用了一種由第三方提供的雲存儲服務。這種服務在「修復性能」方面的評級為「F」，在「網路安全」和「IP信用度」上的評級為「D」。

3. 14%的企業使用了一種叫做域名註冊和網路主頁託管的第三方服務。這種服務在「修復性能」方面的評級為「F」，而在「應用程序安全性」、「密碼安全」以及「Cubit質量」方面的評級為「D」。

在過去一年中，有22家金融機構發生了重大的數據泄漏事件

結論

從我們得出的調查數據來看，首先，金融機構還是需要通過採取一些措施，來提高自己的安全維護水平，例如：及時地更新自己系統軟硬體的安全補丁和SSL協議證書、提高網路系統以及應用程序的安全性。而在採取這些安全維護措施的同時，如果沒有遵守相關網路安全標準的要求，那麼這些措施對於維護網路安全也就於事無補，同樣會給黑客留下許多攻擊機會，網路系統仍舊處於危險之中。

然而，在維護金融行業網路安全方面，也有一個利好消息傳來，即：SWIFT（環球同業銀行金融電訊協會）已經首先在提高銀行網路安全性方面作出了努力，同時也教授各大銀行如何建立一個安全的銀行網路。美國貨幣監理署（OCC）也加強了對於第三方軟體安全標準的監管。與此同時，今年5月，美國證券交易委員會主席Mary Jo White在世界金融監管峰會召開期間，接受來自《路透社》記者採訪時說到：「現在，金融領域內的網路犯罪活動，已經對全球金融系統的穩定構成了嚴重的威脅。隨著輿論大眾對於網路犯罪以及信息安全的關注度不斷上升，我相信，這也會敦促各大金融機構重新審視自己網路的安全狀況以及第三方服務的安全性；同時也會促進相關機構在第三方風險管理和網路安全評估方面，取得新的突破。」

本文由 安全客 翻譯，轉載請註明「轉自安全客」，並附上鏈接。

原文鏈接：ttps://cdn2.hubspot.net/hubfs/533449/SecurityScorecard_2016_Financial_Report.pdf

原報告下載地址：https://yunpan.cn/c6hIAi9Dmahz2 （提取碼：bbb2）

推薦閱讀：