概述

報(bào)告介紹

2017年6月，第三方網(wǎng)絡(luò)安全評(píng)價(jià)服務(wù)平臺(tái)“安全值”整理了網(wǎng)絡(luò)安全關(guān)注度較高的10個(gè)行業(yè)，共10,000家行業(yè)標(biāo)桿機(jī)構(gòu)。其中，金融行業(yè)是我國(guó)網(wǎng)絡(luò)安全重點(diǎn)行業(yè)之一，金融機(jī)構(gòu)已經(jīng)成為網(wǎng)絡(luò)犯罪的主要目標(biāo)。安全值利用外部大數(shù)據(jù)的方法，從互聯(lián)網(wǎng)的角度重點(diǎn)分析了金融行業(yè)的網(wǎng)絡(luò)安全狀況。報(bào)告參考了金融行業(yè)批準(zhǔn)的“金融牌照”和較流行的金融業(yè)務(wù)模式，將金融行業(yè)分為10個(gè)細(xì)分領(lǐng)域，每個(gè)領(lǐng)域100家機(jī)構(gòu)，包括銀行、證券、基金、保險(xiǎn)、第三方支付、小貸P2P、眾籌&投融資、企業(yè)征信、互聯(lián)網(wǎng)保險(xiǎn)理財(cái)、綜合金融服務(wù)。分析了各領(lǐng)域所發(fā)生的安全問(wèn)題的特點(diǎn)。

同時(shí)，報(bào)告還分析了金融行業(yè)暴漏在互聯(lián)網(wǎng)的資產(chǎn)情況，包括注冊(cè)的域名、線(xiàn)上的主機(jī)、IP網(wǎng)絡(luò)，甚至還有公有云遷移的情況。云技術(shù)的應(yīng)用在優(yōu)化了IT資源的同時(shí)，也使網(wǎng)絡(luò)威脅發(fā)生變化，上云的系統(tǒng)成為了一個(gè)新的風(fēng)險(xiǎn)要素。

報(bào)告完成了對(duì)6種典型的互聯(lián)網(wǎng)威脅事件進(jìn)行分析，評(píng)估帶來(lái)的安全風(fēng)險(xiǎn)，例如：系統(tǒng)中存在比較危險(xiǎn)的安全漏洞，或者遭受到的網(wǎng)絡(luò)攻擊。并對(duì)本次分析的10個(gè)領(lǐng)域1,000家金融機(jī)構(gòu)進(jìn)行綜合評(píng)分，這種評(píng)分被稱(chēng)為“安全值”。評(píng)分是基于這些客觀(guān)、明確的外部安全數(shù)據(jù)，建立多維度評(píng)價(jià)指標(biāo)，經(jīng)過(guò)加權(quán)計(jì)算而形成，主要用于相同測(cè)量標(biāo)準(zhǔn)下的安全狀況和趨勢(shì)差異對(duì)比。

主要發(fā)現(xiàn)

• 從外部角度看，銀行機(jī)構(gòu)、第三方支付和小貸P2P公司面臨的威脅相對(duì)最嚴(yán)重，互聯(lián)網(wǎng)風(fēng)險(xiǎn)不容忽視;
• 行業(yè)中 26% 金融機(jī)構(gòu)使用公有云主機(jī)，主要以阿里云和AWS為主;
• 行業(yè)發(fā)現(xiàn)374個(gè)CVE安全漏洞，19%機(jī)構(gòu)受到影響，包括著名的 “OpenSSL Heartbleed 心臟滴血” 等漏洞;
• 36%機(jī)構(gòu)遭受到總計(jì)87,972次DDOS拒絕服務(wù)攻擊，其中第三方支付成為了黑客或者競(jìng)爭(zhēng)對(duì)手的主要目標(biāo)。

金融行業(yè)和其它行業(yè)的對(duì)比

本報(bào)告針對(duì)國(guó)內(nèi)網(wǎng)絡(luò)安全問(wèn)題關(guān)注度比較高的10個(gè)行業(yè)，共10,000家機(jī)構(gòu)作為分析范圍(每行業(yè)1,000個(gè)機(jī)構(gòu))，基于2017年上半年外部大數(shù)據(jù)進(jìn)行安全分析和總和評(píng)價(jià)，綜合來(lái)看金融行業(yè)安全值 870 分(風(fēng)險(xiǎn)由高到低 0-1000)。近年來(lái)互聯(lián)網(wǎng)+金融取得了一定成績(jī)，同時(shí)也面臨著巨大的互聯(lián)網(wǎng)威脅，金融行業(yè)在本次報(bào)告比較的10個(gè)行業(yè)中排名第八名。

金融10大領(lǐng)域網(wǎng)絡(luò)安全評(píng)價(jià)

從外部角度看，銀行機(jī)構(gòu)、第三方支付和小貸P2P公司面臨的威脅最嚴(yán)重。

報(bào)告參考了金融行業(yè)批準(zhǔn)的“金融牌照”和較流行的金融業(yè)務(wù)模式，將金融行業(yè)分為10個(gè)細(xì)分領(lǐng)域，每個(gè)領(lǐng)域100家機(jī)構(gòu)，包括銀行、證券、基金、保險(xiǎn)、第三方支付、小貸P2P、眾籌&投融資、企業(yè)征信、互聯(lián)網(wǎng)保險(xiǎn)理財(cái)、綜合金融服務(wù)。銀行機(jī)構(gòu)、第三方支付和小貸P2P安全值均低于850，是10個(gè)領(lǐng)域中得分較低的，說(shuō)明面對(duì)的互聯(lián)網(wǎng)威脅較高。

安全值評(píng)分是針對(duì)互聯(lián)網(wǎng)發(fā)現(xiàn)的各類(lèi)安全事件數(shù)據(jù)，結(jié)合其頻率、影響、時(shí)間、數(shù)量等關(guān)鍵要素進(jìn)行加權(quán)計(jì)算，從外部視角簡(jiǎn)潔明了的量化了金融領(lǐng)域的安全威脅狀況，可以成為組織安全能力水平評(píng)估體系中的一項(xiàng)客觀(guān)依據(jù)。

評(píng)估組織整體安全水平應(yīng)通過(guò)內(nèi)、外結(jié)合的評(píng)價(jià)方法，綜合評(píng)估安全發(fā)現(xiàn)識(shí)別和響應(yīng)處置的效率。

下圖是金融10大領(lǐng)域的安全值評(píng)分。

金融10大領(lǐng)域網(wǎng)絡(luò)安全評(píng)價(jià)

金融10大領(lǐng)域外部安全風(fēng)險(xiǎn)分布

各類(lèi)安全風(fēng)險(xiǎn)影響機(jī)構(gòu)數(shù)量占比

• 安全漏洞：操作系統(tǒng)或組件存在嚴(yán)重的安全缺陷，一旦遭受病毒或者黑客利用，可能導(dǎo)致信息泄露等風(fēng)險(xiǎn)。
• 網(wǎng)絡(luò)攻擊：遭受到大流量的DDOS拒絕服務(wù)攻擊，一旦資源被耗盡，可能中斷服務(wù)無(wú)法被正常用戶(hù)訪(fǎng)問(wèn)。
• 垃圾郵件：被列為垃圾郵件發(fā)送域，一旦被反垃圾郵件設(shè)備攔截，將導(dǎo)致用戶(hù)可能無(wú)法正常收到郵件。
• 僵尸網(wǎng)絡(luò)：網(wǎng)絡(luò)服務(wù)器對(duì)外部發(fā)起掃描或者攻擊行為，服務(wù)器主機(jī)可能被入侵，存在后門(mén)被遠(yuǎn)程控制。
• 惡意代碼：來(lái)自國(guó)內(nèi)外安全廠(chǎng)商的惡意代碼檢測(cè)結(jié)果，系統(tǒng)可能已經(jīng)被植入后門(mén)、病毒或者惡意腳本。
• 黑名單：域名或者IP地址被第三方列入黑名單，用戶(hù)的正常網(wǎng)頁(yè)訪(fǎng)問(wèn)可能被瀏覽器攔截或者IP網(wǎng)絡(luò)通訊被防火墻阻斷。

互聯(lián)網(wǎng)資產(chǎn)分析

1. 小貸P2P公司擁有相對(duì)較多的線(xiàn)上業(yè)務(wù)系統(tǒng)

行業(yè)中1,000個(gè)組織共發(fā)現(xiàn)互聯(lián)網(wǎng)資產(chǎn)87,677個(gè)，包括組織注冊(cè)的域名1,096個(gè)，面向互聯(lián)網(wǎng)可訪(fǎng)問(wèn)的主機(jī)地址58,744個(gè)，以及公網(wǎng)開(kāi)放的服務(wù)器IP地址27,837個(gè)，為了分析每個(gè)領(lǐng)域的互聯(lián)網(wǎng)業(yè)務(wù)開(kāi)展情況，在每個(gè)領(lǐng)域中100個(gè)組織的互聯(lián)網(wǎng)資產(chǎn)進(jìn)行了平均，下面表格數(shù)據(jù)統(tǒng)計(jì)了各領(lǐng)域平均資產(chǎn)數(shù)量，其中小貸P2P公司平均每個(gè)機(jī)構(gòu)有183個(gè)互聯(lián)網(wǎng)資產(chǎn)，是最多的領(lǐng)域;企業(yè)征信領(lǐng)域中平均每個(gè)機(jī)構(gòu)僅有22個(gè)互聯(lián)網(wǎng)資產(chǎn)。

互聯(lián)網(wǎng)資產(chǎn)數(shù)量統(tǒng)計(jì)

互聯(lián)網(wǎng)資產(chǎn)包括以下類(lèi)型：

• “域名” 組織經(jīng)過(guò)ICP備案的域名
• “主機(jī)”(子域名)面向互聯(lián)網(wǎng)開(kāi)放的主機(jī)服務(wù)地址(例如：Web網(wǎng)站、Email服務(wù)、接口服務(wù)、業(yè)務(wù)系統(tǒng)等)
• “IP網(wǎng)絡(luò)” 在線(xiàn)系統(tǒng)所使用的IP網(wǎng)絡(luò)地址(包括本地服務(wù)器、IDC托管、云主機(jī)等)

26% 金融機(jī)構(gòu)使用公有云服務(wù)

云計(jì)算在國(guó)內(nèi)各行業(yè)中應(yīng)用越來(lái)越多，雖然行業(yè)中大多數(shù)完成云遷移的還是非核心系統(tǒng)，但我們還是發(fā)現(xiàn)了26%的機(jī)構(gòu)已經(jīng)使用了公有云服務(wù)。

其中，眾籌&投融資和小貸P2P的互聯(lián)網(wǎng)金融領(lǐng)域是主要的云客戶(hù)，遷移的比例分別是51%和44%。傳統(tǒng)的銀行、券商、基金、保險(xiǎn)云遷移的比例分別是14%、29%、8%和29%。

云計(jì)算技術(shù)優(yōu)化了IT資源，并可以提供按需的、彈性的服務(wù)幫助企業(yè)更快速的開(kāi)展新業(yè)務(wù)創(chuàng)新，同時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也發(fā)生了變化。尤其是云計(jì)算帶來(lái)的數(shù)據(jù)境內(nèi)管理問(wèn)題和敏感信息保護(hù)問(wèn)題成為網(wǎng)絡(luò)安全領(lǐng)域新的挑戰(zhàn)。

下圖是各領(lǐng)域使用公有云主機(jī)服務(wù)的機(jī)構(gòu)比例。

金融10大領(lǐng)域公有云主機(jī)遷移機(jī)構(gòu)比例

2. 云服務(wù)商主要以阿里云和AWS為主

報(bào)告中統(tǒng)計(jì)的云服務(wù)主要是云主機(jī) IaaS服務(wù)，完成遷移的機(jī)構(gòu)中，阿里云用戶(hù)占比43%、AWS用戶(hù)占比34%，Tencent Cloud用戶(hù)僅有3%。

安全漏洞分析

1. 19% 存在安全漏洞隱患

2017年上半年，金融行業(yè)評(píng)估的1,000家機(jī)構(gòu)中，共發(fā)現(xiàn)374個(gè)CVE (Common Vulnerabilities and Exposures)漏洞，19%的機(jī)構(gòu)存在比較嚴(yán)重的安全漏洞，漏洞類(lèi)型Top5為 314個(gè) CVE-2015-0204(OpenSSL FREAK Attack漏洞)，40個(gè)CVE-2014-0160(OpenSSL Heartbleed 心臟滴血)，10個(gè) CVE-2016-9244(Ticketbleed)，8個(gè)CVE-2017-7269(IIS 6 遠(yuǎn)程代碼執(zhí)行漏洞)，2個(gè) CVE-2015-2080 (Jetty web server遠(yuǎn)程共享緩沖區(qū)泄漏漏洞)。這些漏洞一旦被利用，可能會(huì)造成嚴(yán)重的信息泄露或者系統(tǒng)中斷，組織可以通過(guò)安裝補(bǔ)丁消除安全漏洞隱患，并遵循服務(wù)最小化原則。

報(bào)告發(fā)現(xiàn)31%的證券公司存在安全漏洞，CVE安全漏洞是比較普遍，并且危害程度較高的安全問(wèn)題，從信息系統(tǒng)生命周期來(lái)看，從設(shè)計(jì)、編碼到部署上線(xiàn)各環(huán)節(jié)中都可能造成漏洞，組織應(yīng)建立完善的漏洞管理體系，加強(qiáng)流程、技術(shù)到人員全面能力來(lái)控制安全漏洞帶來(lái)的影響。

互聯(lián)網(wǎng)業(yè)務(wù)模式對(duì)信息系統(tǒng)迭代的頻率要求比較高，往往為了滿(mǎn)足業(yè)務(wù)追求效率，會(huì)損失一部分安全，這種模式下上線(xiàn)安全測(cè)試將成為上線(xiàn)前的最后一道防線(xiàn)，組織應(yīng)明確系統(tǒng)上線(xiàn)的基本要全需求，并提高監(jiān)測(cè)發(fā)現(xiàn)和響應(yīng)效率，來(lái)彌補(bǔ)開(kāi)發(fā)過(guò)程中的控制缺失。

安全漏洞分布

安全威脅分析

1. 36% 遭受到DDOS網(wǎng)絡(luò)攻擊，第三方支付成為重災(zāi)區(qū)。

2017年上半年，評(píng)估的1,000家金融行業(yè)機(jī)構(gòu)中，共遭受到DDOS網(wǎng)絡(luò)攻擊87,972次，攻擊每天都會(huì)發(fā)生。拒絕服務(wù)攻擊DDOS已經(jīng)是當(dāng)前互聯(lián)網(wǎng)安全比較常見(jiàn)的威脅，可以消耗系統(tǒng)和網(wǎng)絡(luò)資源，使其無(wú)法為正常用戶(hù)提供服務(wù)。尤其是對(duì)與連續(xù)性要求比較高的行業(yè)，面臨著黑客或者競(jìng)爭(zhēng)對(duì)手的威脅，例如：第三方支付是非常典型的領(lǐng)域，一旦支付接口無(wú)法服務(wù)，將造成的是直接經(jīng)濟(jì)損失和客戶(hù)流失。

金融行業(yè)有36%的機(jī)構(gòu)受到DDOS攻擊的威脅，其中第三方支付公司最為嚴(yán)重，67%都遭受到不同程度上的DDOS網(wǎng)絡(luò)攻擊，第三方支付公司使用公有云資源的僅占17%，大多數(shù)還是使用本地服務(wù)器主機(jī)資源，所以第三方支付公司面臨著針對(duì)性比較強(qiáng)的網(wǎng)絡(luò)攻擊。

其次是，55%的小貸P2P公司遭受到DDOS網(wǎng)絡(luò)攻擊，他們接近半數(shù)(44%)的公司使用了公有云資源，受到對(duì)云資源池的范圍性攻擊的影響的可能性相對(duì)較高。

網(wǎng)絡(luò)攻擊分布

2. Top 10 威脅金融行業(yè)的惡意地址

分析發(fā)現(xiàn)，金融行業(yè)中經(jīng)常受到DDOS網(wǎng)絡(luò)攻擊的端口為 80、4444、443、53，這種威脅主要基于流量的攻擊，常用的攻擊類(lèi)型為T(mén)CP_SYN，組織通過(guò)優(yōu)化服務(wù)器組件對(duì)異常連接進(jìn)行快速處理，加上采用流量清洗服務(wù)方式可以實(shí)現(xiàn)不同程度的防護(hù)。下表是 “Top 10 威脅金融行業(yè)的惡意地址”，組織可以重點(diǎn)關(guān)注以下地址，適當(dāng)采取阻斷措施。

Top 10 威脅金融行業(yè)的惡意地址

風(fēng)險(xiǎn)綜合分析

根據(jù)標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估方法論，從外部數(shù)據(jù)中分析風(fēng)險(xiǎn)三要素，資產(chǎn)(A)、脆弱性(V)、威脅(T)，并提取頻率、時(shí)間、數(shù)量、影響程度等關(guān)鍵指標(biāo)，逐個(gè)對(duì)行業(yè)內(nèi)每個(gè)企業(yè)或機(jī)構(gòu)進(jìn)行安全風(fēng)險(xiǎn)(R)進(jìn)行定量評(píng)估 R = F(A，V，T)，最終金融行業(yè)內(nèi)10個(gè)領(lǐng)域的平均安全值為870(1000分制)，需重點(diǎn)解決安全漏洞、網(wǎng)絡(luò)攻擊問(wèn)題，考慮不同的領(lǐng)域或者組織應(yīng)結(jié)合業(yè)務(wù)特點(diǎn)采取不同的防護(hù)措施。

安全值從外部視角完成了對(duì)行業(yè)/企業(yè)的安全評(píng)價(jià)，作為客觀(guān)的評(píng)價(jià)結(jié)果，重要的意思在于在相同測(cè)量標(biāo)準(zhǔn)下比較行業(yè)之間或者企業(yè)之間的差距，快速定位安全風(fēng)險(xiǎn)較高的組織，并采取進(jìn)一步的風(fēng)險(xiǎn)處置策略，優(yōu)化安全風(fēng)險(xiǎn)管理流程和資源，提高效率。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文