安全路透社
当前位置:安全路透社 > 网络转载 > 正文

【行研】FreeBuf发布2016年上半年金融行业应用安全态势报告

*FreeBuf研究院荣誉出品,请联系mkt@freebuf.com

随着互联网+已席卷中国热潮,互联网与金融行业结合越发紧密,一方面为金融机构的竞争与发展拓展了新的空间,公众的资金和投资管理也变得十分便利,但同时更多的数据泄露和业务中断使得金融行业网络安全的风险也随之增加。

金融报告(final).jpg

FreeBuf半年间走访数十家企业,通过企业IT安全团队问卷调查,合作伙伴漏洞盒子、中国国家信息安全漏洞库(CNNVD)、七牛云、点融网提供的数据支持,采集了14663项数据,并经过技术专家及专业安全团队组成的评定小组通过对数据进行分析,最终从传统金融(银行、保险、证券),互联网金融(P2P、分期、众筹、第三方支付、大数据金融)8个金融行业细分领域,针对应用安全脆弱性及安全漏洞态势进行综合分析和评定。

本次调研报告的目的是从一定程度上呈现2016年上半年金融行业整体安全状态,使企业安全人员与管理者更加了解金融企业潜在的安全风险与脆弱面,以及洞察未来金融行业信息安全发展走向。

报告关键

1.  随着移动端技术使用率、占比增大,移动金融应用中存在的漏洞相比去年同期增37%;

2.  2016上半年云厂商的防护措施,如云WAF,云端抗DDoS提升了漏洞利用难度,使得漏洞增长率放缓;

3. 金融厂商对逻辑层业务安全漏洞的忽视,如批量重置密码、越权操作等,使其增长趋势远高于通用漏洞;

4. 传统金融在漏洞数量上明显多于互联网金融,高危漏洞占比高达78.48%;

5. 从漏洞利用程度上分析,互联网金融更加“脆弱”——“非常容易利用”的漏洞占比高达57.5%;

6. 互联网金融行业最容易出现问题的业务场景有:用户注册及登录场景,密码重置场景,支付场景,消息通知场景,登录场景,支付场景和接口调用。

7. NoSQL,Apache Spark,Hadoop三种技术在2016上半年在金融风控领域的应用发展迅猛,但半数公司对大数据分析结果的关联定性、准确性存在疑问。

最易出现安全风险的业务场景

金融报告pr稿_02.png

1. 用户注册及登录场景

注册场景出现较多的是任意账号批量注册漏洞。任意账号注册给羊毛党薅羊毛提供了极大便利,是互联网金融较为突出的问题。

登陆场景中,撞库与逻辑缺陷导致任意账号登陆问题最为普遍。可导致用户信息被批量盗取,甚至资金安全。

2. 密码重置场景

密码重置过程中,如简单的短信验证码被暴力破解、抓包查看服务端返回的验证码、缺乏功能级的限制可跳到修改密码步骤等等方式,攻击者很容易实现重置任意用户的密码。

3. 业务功能操作场景

服务端程序多存在不安全的对象直接引用,直接危害体现就是可越权编辑,查看,取消,删除其他用户信息。

4. 支付场景

互联网金融行业涉及到的支付场景集中在充值,购买,提现,转账等。

5. 消息通知场景

重复调用短信接口,发送短信通知,对其进行短信轰炸。部分接口在给用户发送数据时,信息内容甚至可以被控制。

金融公司应用安全态势象限(2016年上半年)

根据“安全漏洞态势”和“企业综合实力”两项指数进行科学有效的计算,绘制了金融公司应用安全态势象限,可看出金融细分行业中有代表性地企业在两个维度上的位置。

4C2EA272-D791-4225-A06A-81BF559ED12D.png 

090989871662.jpg 

注:图片可点击放大

 未标题-4_04.png

注:图片可点击放大

3908098098972.jpg

注:图片可点击放大

未标题-4_07.png

注:图片可点击放大

漏洞统计TOP10

互联网金融

6E19E7BE-A8F2-48BC-A9B4-D8BF464BAC50.png 

传统金融

4i09098098921.jpg

金融企业地域分布

4reading.png

技术应用及展望 

随着信息技术的高速发展,面向企业的云服务几乎无所不在。企业为了降低运营成本、便捷办公以及提高随时随地进行连接的可访问性,众多金融行业义务反顾的选择了基于云服务和虚拟化协作方式。这些技术场景不仅应用在银行、保险、证券等传统金融机构,而且包括P2P、小贷、众筹、消费金融等互联网金融机构,都普遍的使用着SaaS、PaaS、IaaS等服务。具体的例如弹性计算、云数据库、CDN服务、负载均衡、虚拟化技术、云存储/备份、安全管理等服务。

纵观过去半年的金融信息安全,很多企业在安全防御上投入增加,比如购置了WAF、IDS/IPS、SIEM等设备,有效的防御力基于规则能检测的漏洞,使得漏洞利用成本提高。但安全形势依然严峻,在应用安全领域,金融企业仍然面临多种的安全威胁,常见的OWASP TOP-10脆弱性依然活跃在各大金融企业应用中。很多攻击者更倾向于利用业务逻辑层的安全问题,这类问题可造成了企业的资产损失和名誉受损,传统的安全防御设备和措施收效甚微。针对业务逻辑层的安全问题,将人工渗透测试融入SDL安全开发流程中,可以有效的降低企业业务面临的安全风险,而安全众测的模式在过去一年也得到了长足的发展,越来越多的金融企业已经逐渐接受这种模式。另外基于大数据风控、威胁情报和金融反欺诈等技术也渐渐趋向成熟,金融企业IT部门已经开始尝试使用。

C5FC75BE-C399-423E-A17F-6E46EB5C11CB.png

9D53A9E9-4358-473F-ABAB-FA02C6B32550.png

2016年上半年金融行业应用安全态势报告完整版下载:链接: https://pan.baidu.com/s/1pK9pmMB  密码: 7zrk

*FreeBuf研究院荣誉出品,请联系mkt@freebuf.com

未经允许不得转载:安全路透社 » 【行研】FreeBuf发布2016年上半年金融行业应用安全态势报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册