查看原文
其他

2017年度银行业网络安全报告

安全值 安全牛 2018-12-18

概述


报告介绍


2017年6月1日,《中华人民共和国网络安全法》开始实施,弥补了我国在网络空间安全化、法制化方面的空缺,标志着我国各行业网络安全将有法可依、网络安全事件将有罚可惩;可以看出国家在战略层面上更加重视网络安全方面带来的威胁。《网络安全法》对关键基础设施的保护更是提出了很明确的要求,金融业作为关键基础设施机构,该法必将对行业产生更深远的影响。


银行业做为金融行业的重要组成领域一直都是网络攻击发生的重灾区。 “安全值”从互联网角度、采用大数据分析方法对国内数百家银行进行了安全分析,将分析结果整理成本报告。报告依据银行职能及所有权结构将银行业划分为6类,包括政策性银行、国有商业银行、股份制银行、城市商业银行、农村商业银行、外资银行。报告分析了各领域所发生的安全问题的特点,统计了暴露在互联网的注册域名、线上的主机、IP网络等资产情况,在云风险日益严峻的同时,我们同样研究了各领域公有云使用情况。


本报告从网络攻击、IP资产黑名单、域名资产黑名单、垃圾邮件、僵尸网络、恶意代码、安全漏洞等7大类安全风险指标,通过“安全值”大数据平台进行量化分析并给出风险建议。报告数据取样涵盖了6大类银行176家银行机构,通过对这些样本的安全数据分析得到本报告,具体内容见下述。


主要发现


  • 国有商业银行及股份制银行面对来自外部的威胁相对严重;

  • 从六类银行的横向比较结果来看,外资银行受到的互联网安全风险威胁相对较小,一方面说明国外对网络安全的重视、另一方面也体现出国内机构应对网络安全存在的不足;

  • 银行业中 16% 的机构使用公有云主机,主要以阿里云和腾讯云为主。云服务在银行业整体互联网服务中占比较低,银行业依然采取传统的模式;

  • 银行业发现92个CVE安全漏洞,18%机构受到影晌,包括著名的“OpenSSL Heartbleed心脏滴血” 等;

  • 44%机构遭受到总计7,759次DDOS拒绝服务攻击。 


银行业与金融行业其他领域的对比


本报告对国内六类银行,选取标杆共176家机构作为分析对象,综合来看银行业安全值730分(风险由高到低 0-1000分)。近年来“互联网+金融”取得了—定成绩,同时也面向着巨大的互联网威胁,在金融行业里银行业10个领域中排名第七名。突显了银行业面临的网络安全威胁更多,更复杂。银行业是关系国家的经济命脉的重点行业,网络安全威胁已经逐渐成为影响全球宏观经济与政治稳定的重要因素。下图为金融行业的10个领域安全值排名情况。



我们抽取了证券、保险、第三方支付、银行、保险理财、综合金融、企业征信、众筹&投融资、小额贷款、基金等十个重要领域进行了安全值评分,其中基金、小额贷款、众筹&投融资这三个领域安全值评分普遍较高。


六类银行网络安全评价


  • 从互联网角度看,六大国有商业银行及股份制商业银行面临的威胁最为严重。


在被分析的各类银行机构中、只有政策性银行安全值得平均分高于850,其余的安全值均低于850,银行业已经成为网络安全的重灾区,面对的互联网威胁相对较高。


安全值评分是针对互联网发现的各类安全事件数据,结合其频率、影晌、时间、数量等关键要素进行加权计算,从外部视角简洁明了的量化了金融领域的安全威胁状况,可以成为组织安全能力水平评估体系中的—项客观依据。


评估组织整体安全水平应通过内、外结合的评价方法,综合评估安全发现识别和晌应处置的效率。下图是各类银行安全值评分。


六类银行网络安全评价


六大类银行外部安全风险分布


下图为各类型银行在6种风险中占比情况。


各类安全风险影晌机构数量占比


安全漏洞:操作系统或组件存在严重的安全缺陷,—旦遭受病毒或者黑客利用,可能导致信息泄露等风险。

网络攻击:遭受到大流量的DDOS拒绝服务攻击,—旦资源被耗尽,可能中断服务无法被正常用户访问。

垃圾邮件:被列为垃圾邮件发送域,—旦被反垃圾邮件设备拦截,将导致用户可能无法正常收到邮件。

僵尸网络:网络服务器对外部发起扫描或者攻击行为,服务器主机可能被入侵,存在后门被远程控制。

恶意代码:来自国内外安全厂商的恶意代码检测结果,系统可能已经被植入后门、病毒或者恶意脚本。

黑名单:域名或者IP地址被第三方列入黑名单,用户的正常网页访问可能被浏览器拦截或者IP网络通讯被防火墙阻断。


互联网资产分析


  • 国有商业银行拥有相对较多的线上业务系统


银行业中176个机构中共发现互联网资产15,181个,包括组织注册的域名382个,面向互联网可访问的主机地址7,154个,以及公网开放的服务器IP地址7,650个,为了分析各类银行的互联网业务开展情况,利用下面表格数据统计了各类银行平均资产数量,其中国有商业银行每个机构平均拥有564个互联网资产,是各类银行中最多的,这与其全国性的业务范围有一定关系,也说明其面临的互联网威胁更为严峻,农村商业银行中平均每个机构仅有22个互联网资产。另外在银行业中利用云服务的机构很少,这是银行出于对数据安全性的考虑,以防止重要数据的泄露。


互联网资产数量统计


互联网资产包括以下类型:


“域名” :组织经过ICP备案的域名;

“主机”(子域名):面向互联网开放的主机服务地址(例如 Web网站、Email服务、接口服务、业务系统等);

“IP网络” :在线系统所使用的IP网络地址(包括本地服务器、IDC托管、云主机等)。


安全漏洞分析


  • 25%银行机构存在安全漏洞隐患


2017年,银行业评估的176家机构中,共发现92个CVE (Common Vulnerabilities and  Exposures) 漏洞,25%的机构存在比较严重的安全漏洞,漏洞类型为 75个CVE-2015-0204(OpenSSL FREAK Attack漏洞),40个CVE-2014-0160(OpenSSL Heartbleed心脏滴血),2个CVE-2015-1635(Microsoft Windows HTTP.sys 远程执行代码漏洞),2个CVE-2017-7269(TicketBleed漏洞),2个 CVE-2017-7269 (iis6远程代码执行漏洞)。这些漏洞—旦被利用,可能会造成严重的信息泄露或者系统中断,组织可以通过安装补丁消除安全漏洞隐患,并遵循服务最小化原则。


报告发现25%的银行机构存在安全漏洞,其中最为普遍的为CVE安全漏洞,从信息系统生命周期来看,从设计、编码到上线运行各环节都有可能造成安全漏洞,机构应建立完善的漏洞管理体系,加强人员管理、规范安全制度等全方位提升安全能力。


现互联网业务模式对信息系统迭代的频率要求相对比较高,业务部们往往为了满足业务需求提高迭代效率,从而忽略部分安全隐患和响应效率,来弥补开发过程中的控制缺失。


安全漏洞分布



安全威胁分析


  • 29%遭受到DDOS网络攻击,央行及国有商业银行为重灾区。


2017年全年,评估的176家金融行业机构中,共遭受到DDOS网络攻击5,464次,攻击每天都会发生。拒绝服务攻击DDOS已经是当前互联网安全比较常见的威胁,可以消耗系统和网络资源,使其无法为正常用户提供服务。这对银行业来讲几乎是致命的打击,面对来自黑客或者竞争对手的威胁,如 支付、转账系统,—旦支付接口无法提供服务,将造成的将是直接经济损失和客户流失。


银行业有29%的机构受到DDOS攻击的威胁,其中国有商业银行最为严重,所有机构都不同程度上的遭受DDOS网络攻击,银行系统基本上使用本地服务器主机资源,每天正常的业务数据流量已经很庞大,如果再受到来自网络的攻击,系统承受的负荷可想而知,一旦导致服务中断,导致的经济损失也是不可估量的。所以银行业要更加重视来自网络方面的攻击,将强网络安全威胁的防范措施。另外央行作为特殊的金融机构,由于其数据和资源的特殊性,也成为黑客重点攻击目标。


网络攻击分布


风险综合分析


根据标准风险评估方法论,从外部数据中分析风险三要素,资产(A)、脆弱性(V)、威胁(T),并提取频率、时间、数量、影晌程度等关键指标,逐个对行业内每个企业或机构进行安全风险(R)进行定量评估R = F(A,V,T),最终银行业内7类的平均安全值为730(1000分制),需重点解决安全漏洞、网络攻击问题,考虑不同的领域或者组织应结合业务特点采取不同的防护措施。


安全值从外部视角完成了对行业/企业的安全评价,作为客观的评价结果,重要的意思在于在相同测量标准下比较行业之间或者企业之间的差距,快速定位安全风险较高的组织,并采取进—步的风险处置策略,优化安全风险管理流程和资源,提高效率。


本报告由“安全值”团队提供,您可以访问 https://www.aqzhi.com/ 或者扫描下方二维码下载完整报告,同时可以免费申请查看自己的安全值报告。


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存