FreeBuf发布2016年上半年金融行业应用安全态势报告
2016-08-02 17:44
691 查看
*FreeBuf研究院荣誉出品,转载须注明来自FreeBuf.COM,请联系mkt@freebuf.com
随着互联网+已席卷中国热潮,互联网与金融行业结合越发紧密,一方面为金融机构的竞争与发展拓展了新的空间,公众的资金和投资管理也变得十分便利,但同时更多的数据泄露和业务中断使得金融行业网络安全的风险也随之增加。
FreeBuf半年间走访数十家企业,通过企业IT安全团队问卷调查,[b]合作伙伴漏洞盒子、中国国家信息安全漏洞库(CNNVD)、七牛云提供的数据支持,采集了14663项数据,并经过技术专家及专业安全团队组成的评定小组通过对数据进行分析,最终从传统金融(银行、保险、证券),互联网金融(P2P、分期、众筹、第三方支付、大数据金融)8个金融行业细分领域,针对应用安全脆弱性及安全漏洞态势进行综合分析和评定。[/b]
本次调研报告的目的是从一定程度上呈现2016年上半年金融行业整体安全状态,使企业安全人员与管理者更加了解金融企业潜在的安全风险与脆弱面,以及洞察未来金融行业信息安全发展走向。
2. 2016上半年云厂商的防护措施,如云WAF,云端抗DDoS提升了漏洞利用难度,使得漏洞增长率放缓;
3. 金融厂商对逻辑层业务安全漏洞的忽视,如批量重置密码、越权操作等,使其增长趋势远高于通用漏洞;
4. 传统金融在漏洞数量上明显多于互联网金融,高危漏洞占比高达78.48%;
5. 从漏洞利用程度上分析,互联网金融更加“脆弱”——“非常容易利用”的漏洞占比高达57.5%;
6. 互联网金融行业最容易出现问题的业务场景有:用户注册及登录场景,密码重置场景,支付场景,消息通知场景,登录场景,支付场景和接口调用。
7. NoSQL,Apache Spark,Hadoop三种技术在2016上半年在金融风控领域的应用发展迅猛,但半数公司对大数据分析结果的关联定性、准确性存在疑问。
1. 用户注册及登录场景
注册场景出现较多的是任意账号批量注册漏洞。任意账号注册给羊毛党薅羊毛提供了极大便利,是互联网金融较为突出的问题。
登陆场景中,撞库与逻辑缺陷导致任意账号登陆问题最为普遍。可导致用户信息被批量盗取,甚至资金安全。
2. 密码重置场景
密码重置过程中,如简单的短信验证码被暴力破解、抓包查看服务端返回的验证码、缺乏功能级的限制可跳到修改密码步骤等等方式,攻击者很容易实现重置任意用户的密码。
3. 业务功能操作场景
服务端程序多存在不安全的对象直接引用,直接危害体现就是可越权编辑,查看,取消,删除其他用户信息。
4. 支付场景
互联网金融行业涉及到的支付场景集中在充值,购买,提现,转账等。
5. 消息通知场景
重复调用短信接口,发送短信通知,对其进行短信轰炸。部分接口在给用户发送数据时,信息内容甚至可以被控制。
注:图片可点击放大
注:图片可点击放大
注:图片可点击放大
注:图片可点击放大
传统金融
纵观过去半年的金融信息安全,很多企业在安全防御上投入增加,比如购置了WAF、IDS/IPS、SIEM等设备,有效的防御力基于规则能检测的漏洞,使得漏洞利用成本提高。但安全形势依然严峻,在应用安全领域,金融企业仍然面临多种的安全威胁,常见的OWASP TOP-10脆弱性依然活跃在各大金融企业应用中。很多攻击者更倾向于利用业务逻辑层的安全问题,这类问题可造成了企业的资产损失和名誉受损,传统的安全防御设备和措施收效甚微。针对业务逻辑层的安全问题,将人工渗透测试融入SDL安全开发流程中,可以有效的降低企业业务面临的安全风险,而安全众测的模式在过去一年也得到了长足的发展,越来越多的金融企业已经逐渐接受这种模式。另外基于大数据风控、威胁情报和金融反欺诈等技术也渐渐趋向成熟,金融企业IT部门已经开始尝试使用。
随着互联网+已席卷中国热潮,互联网与金融行业结合越发紧密,一方面为金融机构的竞争与发展拓展了新的空间,公众的资金和投资管理也变得十分便利,但同时更多的数据泄露和业务中断使得金融行业网络安全的风险也随之增加。
FreeBuf半年间走访数十家企业,通过企业IT安全团队问卷调查,[b]合作伙伴漏洞盒子、中国国家信息安全漏洞库(CNNVD)、七牛云提供的数据支持,采集了14663项数据,并经过技术专家及专业安全团队组成的评定小组通过对数据进行分析,最终从传统金融(银行、保险、证券),互联网金融(P2P、分期、众筹、第三方支付、大数据金融)8个金融行业细分领域,针对应用安全脆弱性及安全漏洞态势进行综合分析和评定。[/b]
本次调研报告的目的是从一定程度上呈现2016年上半年金融行业整体安全状态,使企业安全人员与管理者更加了解金融企业潜在的安全风险与脆弱面,以及洞察未来金融行业信息安全发展走向。
报告关键
1. 随着移动端技术使用率、占比增大,移动金融应用中存在的漏洞相比去年同期增37%;2. 2016上半年云厂商的防护措施,如云WAF,云端抗DDoS提升了漏洞利用难度,使得漏洞增长率放缓;
3. 金融厂商对逻辑层业务安全漏洞的忽视,如批量重置密码、越权操作等,使其增长趋势远高于通用漏洞;
4. 传统金融在漏洞数量上明显多于互联网金融,高危漏洞占比高达78.48%;
5. 从漏洞利用程度上分析,互联网金融更加“脆弱”——“非常容易利用”的漏洞占比高达57.5%;
6. 互联网金融行业最容易出现问题的业务场景有:用户注册及登录场景,密码重置场景,支付场景,消息通知场景,登录场景,支付场景和接口调用。
7. NoSQL,Apache Spark,Hadoop三种技术在2016上半年在金融风控领域的应用发展迅猛,但半数公司对大数据分析结果的关联定性、准确性存在疑问。
最易出现安全风险的业务场景
1. 用户注册及登录场景
注册场景出现较多的是任意账号批量注册漏洞。任意账号注册给羊毛党薅羊毛提供了极大便利,是互联网金融较为突出的问题。
登陆场景中,撞库与逻辑缺陷导致任意账号登陆问题最为普遍。可导致用户信息被批量盗取,甚至资金安全。
2. 密码重置场景
密码重置过程中,如简单的短信验证码被暴力破解、抓包查看服务端返回的验证码、缺乏功能级的限制可跳到修改密码步骤等等方式,攻击者很容易实现重置任意用户的密码。
3. 业务功能操作场景
服务端程序多存在不安全的对象直接引用,直接危害体现就是可越权编辑,查看,取消,删除其他用户信息。
4. 支付场景
互联网金融行业涉及到的支付场景集中在充值,购买,提现,转账等。
5. 消息通知场景
重复调用短信接口,发送短信通知,对其进行短信轰炸。部分接口在给用户发送数据时,信息内容甚至可以被控制。
金融公司应用安全态势象限(2016年上半年)
根据“安全漏洞态势”和“企业综合实力”两项指数进行科学有效的计算,绘制了金融公司应用安全态势象限,可看出金融细分行业中有代表性地企业在两个维度上的位置。
注:图片可点击放大
注:图片可点击放大
注:图片可点击放大
注:图片可点击放大
漏洞统计TOP10
互联网金融
传统金融
金融企业地域分布
技术应用及展望
随着信息技术的高速发展,面向企业的云服务几乎无所不在。企业为了降低运营成本、便捷办公以及提高随时随地进行连接的可访问性,众多金融行业义务反顾的选择了基于云服务和虚拟化协作方式。这些技术场景不仅应用在银行、保险、证券等传统金融机构,而且包括P2P、小贷、众筹、消费金融等互联网金融机构,都普遍的使用着SaaS、PaaS、IaaS等服务。具体的例如弹性计算、云数据库、CDN服务、负载均衡、虚拟化技术、云存储/备份、安全管理等服务。纵观过去半年的金融信息安全,很多企业在安全防御上投入增加,比如购置了WAF、IDS/IPS、SIEM等设备,有效的防御力基于规则能检测的漏洞,使得漏洞利用成本提高。但安全形势依然严峻,在应用安全领域,金融企业仍然面临多种的安全威胁,常见的OWASP TOP-10脆弱性依然活跃在各大金融企业应用中。很多攻击者更倾向于利用业务逻辑层的安全问题,这类问题可造成了企业的资产损失和名誉受损,传统的安全防御设备和措施收效甚微。针对业务逻辑层的安全问题,将人工渗透测试融入SDL安全开发流程中,可以有效的降低企业业务面临的安全风险,而安全众测的模式在过去一年也得到了长足的发展,越来越多的金融企业已经逐渐接受这种模式。另外基于大数据风控、威胁情报和金融反欺诈等技术也渐渐趋向成熟,金融企业IT部门已经开始尝试使用。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 【下载】绿盟科技发布金融行业安全月刊-201708
- 浅谈企业安全平台金融行业应用
- 金融行业安全漏洞分析报告
- 金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少
- Gartner魔力象限应用安全测试报告发布 新思科技再次位居“领导者”
- Linux金融行业应用案例
- DO-178C的发布将促进任务关键应用的安全关键软件
- 微软技术在金融行业的应用
- 微软技术在金融行业的应用
- 微软技术在金融行业的应用
- 友盟发布2012年Q1移动应用及开发者现状报告
- 以平台为技术,以开源为手段,成果共享开发建筑行业应用——IDC发布《软件商成长路线图》白皮书的感想!
- 微软技术在金融行业的应用
- GroovyHelp 3.2.7 GA发布 - 行业应用 - ITeye资讯
- 瑞星发布2010企业安全报告 九成国内企业曾被入侵
- 金山发布3月安全报告 肉鸡网银挂马成安全成焦点
- IDC行业与安全接入审计结合应用方案
- 微软技术在金融行业的应用
- 微软技术在金融行业的应用
- 面向金融行业的电子商务应用框架模型