2020年伊始,一場突如其來的疫情給各行各業都按下了「慢放」鍵,也是以讓我們有了更充分的時間來總結思考2019年的行業形勢。在平穩邁過疫情這道坎的同時,為2020年接下來的發展積蓄動力。
2019年,金融行業逐漸從爆雷潮的動蕩趨于平穩。面對移動金融、區塊鍊等新趨勢的發展、傳統金融數字化轉型,網絡安全成為維系行業穩定發展的重要保障。
在這樣的背景下,FreeBuf安全研究院聯合深信服,通過大量調研和分析,彙成這份《2019年金融行業網絡安全報告》,盡可能将一個完整的金融安全态勢展現在大家眼前,以此對2020年甚至更長遠的安全工作作出一個适當的規劃。
從這份報告中,我們的主要研究結果和報告的關鍵發現有:
1.金融行業的發展離不開資訊安全系統的平穩運作,進入等保2.0時代,金融機構安全建設需要全方位關注網絡、系統、資料、人員等多個次元,進一步将安全與業務融合,建構一體化的安全架構。
2.自從P2P爆雷風波之後,監管機構對于金融行業的監管明顯有了轉變。從最初的合規為主到現在的合規、技查雙管齊下。
3.作為國家安全的重要組成部分,APT、軟體供應鍊攻擊、系統漏洞、惡意代碼、内部人員作案等是金融安全所面臨的主要風險點。
4.資料是金融機構最核心的資産,在2019年熱門漏洞統計中,涉及敏感資訊洩露的漏洞高居榜首。一方面是資料洩露事件頻發的重要體驗,另一方面也督促金融機構完善資料安全治理工作。
5.金融機構面臨的信用風險與網絡安全風險并重。2019年,金融行業所遭受的業務反欺詐請求書大幅增長,網絡釣魚、暴力破解、薅羊毛等惡意行為依然是行業重災區。一定程度上反映出平台驗證機制不夠完善,同時使用者的安全防範意識還存在不足。
6.據全年監測資料,金融行業所遭受的惡意軟體攻擊中,挖礦類占比超過七成。其中,保險、銀行機構所遭受攻擊的頻次遠高于網際網路金融。而在勒索軟體攻擊中,捕捉到最多的是wannacry家族,占比超過95%。
7.和去年的熱門漏洞相比,今年的前十熱門漏洞有些許變動。敏感資訊洩露上升至最為熱門的漏洞,與注入、弱密碼、指令執行及未授權通路等類型居于前五。
8.在金融行業 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高 危漏洞。平均每款金融行業 App 存在 20.3 個安全漏洞,其中 6.7 個 為高危漏洞。
9.網絡安全人才缺失是金融行業繞不開的話題,尤其是更高職級安全負責人的缺失更為明顯。未來五到十年内,必然會出現重視安全的金融企業設定首席資訊安全官CISO崗位。
2019年,金融行業網絡安全仍然在對抗中加強。不僅有來自攻擊者的挑戰,還有攻防演練活動的考驗。監管機構除了注重企業安全建設合規問題之外,同時也通過技術手段加強督查力度。2020年,攻防演練活動強度以及覆寫範圍或将大幅提升,促使企業把安全建設不斷優化的過程日常化。
除了一直被讨論的零信任安全架構之外,ATT&CK成為新晉年度安全技術熱點,這些都将會在金融行業出現更多的實踐,以此優化企業自身安全架構,迅速響應威脅,提升供給成本。而在人工智能、大資料、區塊鍊等新技術投入應用的同時,其所産生的風險需要借助自身技術做規避,保障新技術應用的效果最大化。
出品方
關于 FreeBuf 咨詢
FreeBuf.COM是鬥象科技旗下國内領先的網際網路安全新媒體,每日釋出專業的安全資訊、技術剖析,分享國内外安全資源與行業洞見,是深受安全從業者與愛好者關注的網絡安全網站與社群。
FreeBuf 咨詢集結安全行業經驗豐富的安全專家和分析師,常年對資訊安全技術、行業動态保持追蹤,洞悉安全行業現狀和趨勢,呈現最專業的研究與咨詢服務。
完整版報告即将上線,敬請期待
*FreeBuf 咨詢榮譽出品,未經許可禁止轉載。