作為世界第二大經濟體的中國經濟,一舉一動總是會成為全球矚目的焦點。2015年中國股市如同乘坐了過山車一般在股民驚悚的叫喊聲中度過了不太平的半年。而中國在上半年還是交出了漲幅16.7%的漂亮成績單,位列cnn盤點的全球熱門股票市場第七名。但是,在如此火爆的金融市場面前,安全始終是一個不可回避的話題。現在,是時候讓我們一起來回顧一下這半年金融行業網際網路安全形勢。
金融行業安全總覽
網際網路上數以萬計的金融業安全漏洞,可以較為客觀的反映一定時間内各金融細分行業的安全狀态與威脅挑戰。漏洞盒子安全研究團隊對2015年上半年全網1248個漏洞和133個安全事件進行仔細的整理和分析。
通過整體分析2015年上半年全網行業安全漏洞,我們做出以下統計結果和趨勢分析:
金融行業(保險、銀行、證券、網際網路金融)漏洞總量較2014年同比增長181.9%
銀行業中,民營銀行安全漏洞明顯高于國有,可能原因為在安全方面的投入差距,導緻整體安全性結果上的差異
網際網路金融業高、中危級别的漏洞數量總和占比高達97.2%。這暴露在業務發展尤其迅猛的網際網路金融業,産品及應用在安全開發實踐方面存在較大欠缺
應用系統權限繞過漏洞(如周遊查詢和操作他人賬戶、訂單等)成為普遍問題,該類問題與金融業務關聯較大,極易造成嚴重威脅
app漏洞總量相比去年同期有明顯上升。尤其是銀行業,高危漏洞開始出現于網銀app應用,這從側面反映了手機網銀app上的業務功能越來越強大
sql注入依然高發,并沒有緩解的趨勢
保險業占金融行業中漏洞數比例最高,其次是興起不久的網際網路金融以微弱的劣勢屈居第二。但研究發現,截至2015年6月全國範圍内有近100家網際網路金融平台被爆出存在漏洞。漏洞數量之大,影響之廣,實屬罕見。
綜合占比最大的漏洞類型仍然是“千古難題”sql注入漏洞,xss漏洞占比則較2014年同期略有下降。
值得一提的是,邏輯漏洞(包括越權)和權限繞過問題成為資料洩露風險的主要誘因。
在漏洞威脅等級方面,高危漏洞占據63.3%,說明金融行業安全漏洞形勢确實不容樂觀。
保險業
漏洞盒子團隊統計2015年上半年保險行業的網際網路漏洞資料,全國約有上百家保險公司存在嚴重安全問題,中國人保、太平洋保險、中國人壽、合衆人壽等諸多知名保險公司赫然在列。
資訊洩露以及權限繞過成為保險行業應用系統的最大“通病”,總計超過1000萬的使用者資訊存洩露風險。全網資料顯示,約有100家保險企業網站存在安全問題,其中53家股份制企業占據半壁江山,政府事業機關有17家。
權限繞過成為保險行業應用系統的最大“通病”:
統計中的過半企業存在越權檢視保單資訊、修改保單資訊等
權限繞過可能導緻周遊使用者資料等嚴重問題,總計超過1000萬的使用者資訊存洩露風險
應用程式邏輯問題占比較高,其中訂單操作方面的邏輯漏洞多次出現
sql注入漏洞依然大面積存在,暴露産品及應用在安全開發實踐方面的欠缺
銀行業
銀行計算機系統遭攻擊或者被黑事件頻繁發生。網絡系統存在漏洞的銀行遍及全國各地,不誇張的說從多個省市的農商銀行到五大國有商業銀行,甚至央媽——中國人民銀行,都紛紛中彈。
漏洞盒子團隊發現,目前銀行業面臨的資訊洩露威脅較大,同時應用及系統中邏輯漏洞占比過高,安全問題已經開始出現于app應用上。而銀行業中高危級别的漏洞占比最高,占到了68.6%。某銀行甚至出現了任意卡号查詢餘額的嚴重漏洞。
全網資料顯示,目前銀行業面臨的權限繞過威脅較大,同時應用及系統中邏輯漏洞占比過高:
權限繞過情況比較嚴重
應用程式邏輯問題占比較高
高危漏洞開始出現于app應用
多個struts2遠端代碼執行漏洞的出現,暴露銀行業在系統網絡安全運維上的短闆
銀行業全部漏洞中,高危級别的漏洞占比高達68.6%
股份制商業銀行安全漏洞明顯高于國有銀行,可能原因為在安全方面的投入差距,導緻整體安全性結果上的差異
證券業
證券行業中系統資訊洩露情況非常嚴重,潛在洩露的使用者資料達數百萬以上,包括個人基本資訊(姓名、身份證号、手機、年齡、位址、照片、合同)以及視訊資訊,對使用者和企業造成的損失難以統計。
而證券行業的安全漏洞較2014年同比增長達到驚人的326.7%。僅在漏洞盒子平台上就有近50家證券企業存在安全風險,華泰證券、長江證券、國金證券、國聯證券等知名證券公司在列。
漏洞不僅僅給造成資訊的洩露、使用者裸奔,在涉及證券這樣的敏感資訊時,黑客可能會更利用這些非法擷取的資訊進行交易或者盜賣。
全網資料顯示,證券業中弱密碼風險表現的尤為突出:
弱密碼情況非常嚴重,占比達到38.9%
各類安全問題導緻的潛在洩露使用者資料達到數百萬以上,對企業造成的損失難以統計
同行業全部漏洞中,高危級别的漏洞占比高達66.7%
sql注入漏洞較多,暴露産品及應用在安全開發實踐方面的欠缺 證券行業的安全漏洞較2014年同比增長達到驚人的326.7%,這很可能與2015年上半年火爆的股市有關。
網際網路金融
作為後起之秀的網際網路金融,其整體平台的安全技術水準跟業務的風險性不相比對,缺乏專業、核心的防範黑客攻擊技術,進而給了黑客乘虛而入的機會。截至2014年底,已有近165家p2p平台由于黑客攻擊造成系統癱瘓、資料被惡意篡改、資金被洗劫一空等。而在這些嚴重威脅的背後,暴露了網際網路金融業在高速發展的同時,産品及應用在安全開發實踐方面存在的較大欠缺。
近兩年風靡一時的p2p金融,比如,金融之家、愛投資、長久貸等均在“上榜”名單之列,而僅發現漏洞的網際網路金融企業就有近100家,而這些平台上潛在洩露的使用者總量在百萬級别以上。
全網資料顯示,網際網路金融應用系統安全基礎較薄弱:
全部漏洞中,高、中危級别的漏洞數量總和占比高達97.2%
邏輯漏洞占比極高,這種現象的出現,與網際網路金融應用業務功能繁多,開發人員安全意識和技術水準參差有極大關聯。和常見的sql注入、惡意上傳漏洞不同,邏輯漏洞不會直接影響伺服器的安全,但對使用者的賬号和資金安全有着直接的影響
sql注入漏洞存在數量巨大,暴露在業務發展尤其迅猛的網際網路金融業,産品及應用在安全開發實踐方面存在較大欠缺
總結
國内金融行業面臨的資訊安全風險是全方位的,除傳統網際網路風險外,還面臨新形勢、新技術、新業态的安全風險挑戰,正在經曆着了來自黑客團體、經濟犯罪、地下産業以及敵對國家等安全威脅。
在本報告中,我們看到無論保險、銀行、證券或是新興的網際網路金融,2015年上半年,網際網路安全漏洞的數量相比去年同期有爆發性增長。
而其中可能導緻資料資訊洩露、越權操作的安全問題在各大金融應用中都有明顯表現。我們發現有些高危漏洞,漏洞發現者或平台方已認證多種管道向相關機關回報,但漏洞長時間仍未被修複,這背後透露出企業管理者對安全問題的漠視或漏洞響應方面的疏漏
另一方面,時至今日sql注入這類“骨灰級漏洞”依然在行業統計資料中占據較大比例且未有下降的趨勢,這暴露出金融産品及應用在安全開發實踐方面存在較大欠缺。
金融行業的網際網路化是大勢所趨。但由于支撐網際網路金融的雲計算、大資料等新技術發展還不完全成熟,安全機制尚不完善;同時,當第三方支付、p2p等網際網路金融新業務飛速發展時,企業安全技術、安全意識以及運維管理水準往往難以跟上,是以許多網際網路金融企業願意花費幾百萬、上千萬元投放廣告,卻不願在安全方面有任何預算,這一切直接導緻大量的p2p網貸、網際網路金融産品成為“黑客光臨”的重災區。
原文釋出時間為:2015-07-29
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号