2015上半年度金融行业互联网安全报告
作为世界第二大经济体的中国经济,一举一动总是会成为全球瞩目的焦点。2015年中国股市如同乘坐了过山车一般在股民惊悚的叫喊声中度过了不太平的半年。而中国在上半年还是交出了涨幅16.7%的漂亮成绩单,位列CNN盘点的全球热门股票市场第七名。但是,在如此火爆的金融市场面前,安全始终是一个不可回避的话题。现在,是时候让我们一起来回顾一下这半年金融行业互联网安全形势。
金融行业安全总览
互联网上数以万计的金融业安全漏洞,可以较为客观的反映一定时间内各金融细分行业的安全状态与威胁挑战。漏洞盒子安全研究团队对2015年上半年全网1248个漏洞和133个安全事件进行仔细的整理和分析。
通过整体分析2015年上半年全网行业安全漏洞,我们做出以下统计结果和趋势分析:
银行业中,民营银行安全漏洞明显高于国有,可能原因为在安全方面的投入差距,导致整体安全性结果上的差异
互联网金融业高、中危级别的漏洞数量总和占比高达97.2%。这暴露在业务发展尤其迅猛的互联网金融业,产品及应用在安全开发实践方面存在较大欠缺
应用系统权限绕过漏洞(如遍历查询和操作他人账户、订单等)成为普遍问题,该类问题与金融业务关联较大,极易造成严重威胁
APP漏洞总量相比去年同期有明显上升。尤其是银行业,高危漏洞开始出现于网银APP应用,这从侧面反映了手机网银APP上的业务功能越来越强大
保险业占金融行业中漏洞数比例最高,其次是兴起不久的互联网金融以微弱的劣势屈居第二。但研究发现,截至2015年6月全国范围内有近100家互联网金融平台被爆出存在漏洞。漏洞数量之大,影响之广,实属罕见。
综合占比最大的漏洞类型仍然是“千古难题”SQL注入漏洞,XSS漏洞占比则较2014年同期略有下降。
值得一提的是,逻辑漏洞(包括越权)和权限绕过问题成为数据泄露风险的主要诱因。
在漏洞威胁等级方面,高危漏洞占据63.3%,说明金融行业安全漏洞形势确实不容乐观。
保险业
漏洞盒子团队统计2015年上半年保险行业的互联网漏洞数据,全国约有上百家保险公司存在严重安全问题,中国人保、太平洋保险、中国人寿、合众人寿等诸多知名保险公司赫然在列。
信息泄露以及权限绕过成为保险行业应用系统的最大“通病”,总计超过1000万的用户信息存泄露风险。全网数据显示,约有100家保险企业网站存在安全问题,其中53家股份制企业占据半壁江山,政府事业单位有17家。
权限绕过成为保险行业应用系统的最大“通病”:
银行业
银行计算机系统遭攻击或者被黑事件频繁发生。网络系统存在漏洞的银行遍及全国各地,不夸张的说从多个省市的农商银行到五大国有商业银行,甚至央妈——中国人民银行,都纷纷中弹。
漏洞盒子团队发现,目前银行业面临的信息泄露威胁较大,同时应用及系统中逻辑漏洞占比过高,安全问题已经开始出现于App应用上。而银行业中高危级别的漏洞占比最高,占到了68.6%。某银行甚至出现了任意卡号查询余额的严重漏洞。
全网数据显示,目前银行业面临的权限绕过威胁较大,同时应用及系统中逻辑漏洞占比过高:
股份制商业银行安全漏洞明显高于国有银行,可能原因为在安全方面的投入差距,导致整体安全性结果上的差异
证券业
证券行业中系统信息泄露情况非常严重,潜在泄露的用户数据达数百万以上,包括个人基本信息(姓名、身份证号、手机、年龄、地址、照片、合同)以及视频信息,对用户和企业造成的损失难以统计。
而证券行业的安全漏洞较2014年同比增长达到惊人的326.7%。仅在漏洞盒子平台上就有近50家证券企业存在安全风险,华泰证券、长江证券、国金证券、国联证券等知名证券公司在列。
漏洞不仅仅给造成信息的泄露、用户裸奔,在涉及证券这样的敏感信息时,黑客可能会更利用这些非法获取的信息进行交易或者盗卖。
全网数据显示,证券业中弱口令风险表现的尤为突出:
SQL注入漏洞较多,暴露产品及应用在安全开发实践方面的欠缺 证券行业的安全漏洞较2014年同比增长达到惊人的326.7%,这很可能与2015年上半年火爆的股市有关。
互联网金融
作为后起之秀的互联网金融,其整体平台的安全技术水平跟业务的风险性不相匹配,缺乏专业、核心的防范黑客攻击技术,从而给了黑客乘虚而入的机会。截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等。而在这些严重威胁的背后,暴露了互联网金融业在高速发展的同时,产品及应用在安全开发实践方面存在的较大欠缺。
近两年风靡一时的P2P金融,比如,金融之家、爱投资、长久贷等均在“上榜”名单之列,而仅发现漏洞的互联网金融企业就有近100家,而这些平台上潜在泄露的用户总量在百万级别以上。
全网数据显示,互联网金融应用系统安全基础较薄弱:
逻辑漏洞占比极高,这种现象的出现,与互联网金融应用业务功能繁多,开发人员安全意识和技术水平参差有极大关联。和常见的SQL注入、恶意上传漏洞不同,逻辑漏洞不会直接影响服务器的安全,但对用户的账号和资金安全有着直接的影响
SQL注入漏洞存在数量巨大,暴露在业务发展尤其迅猛的互联网金融业,产品及应用在安全开发实践方面存在较大欠缺
总结
国内金融行业面临的信息安全风险是全方位的,除传统互联网风险外,还面临新形势、新技术、新业态的安全风险挑战,正在经历着了来自黑客团体、经济犯罪、地下产业以及敌对国家等安全威胁。
在本报告中,我们看到无论保险、银行、证券或是新兴的互联网金融,2015年上半年,互联网安全漏洞的数量相比去年同期有爆发性增长。
而其中可能导致数据信息泄露、越权操作的安全问题在各大金融应用中都有明显表现。我们发现有些高危漏洞,漏洞发现者或平台方已通过多种渠道向相关单位反馈,但漏洞长时间仍未被修复,这背后透露出企业管理者对安全问题的漠视或漏洞响应方面的疏漏
另一方面,时至今日SQL注入这类“骨灰级漏洞”依然在行业统计数据中占据较大比例且未有下降的趋势,这暴露出金融产品及应用在安全开发实践方面存在较大欠缺。
金融行业的互联网化是大势所趋。但由于支撑互联网金融的云计算、大数据等新技术发展还不完全成熟,安全机制尚不完善;同时,当第三方支付、P2P等互联网金融新业务飞速发展时,企业安全技术、安全意识以及运维管理水平往往难以跟上,因此许多互联网金融企业愿意花费几百万、上千万元投放广告,却不愿在安全方面有任何预算,这一切直接导致大量的P2P网贷、互联网金融产品成为“黑客光临”的重灾区。
原文发布时间为:2015-07-29
本文来自云栖社区合作伙伴“大数据文摘”,了解相关信息可以关注“BigDataDigest”微信公众号
美国女性所有企业增速为整体增速近3倍,50%为这三大行业|全球快讯 根据最新发布的“2019年女性所有企业状况报告”,在2014年至2019年期间,美国女性所有企业(至少51%由一名或多名女性所有、经营和控制)数量增长21%,总数达到近1300万家。
2017 全球创新报告:中国新发明专利数占全球近七成,无人驾驶抢眼 科睿唯安日前发布《2017 全球创新报告:进无止境》研究报告,调研全球12个主要行业的创新活动和创新发展,对全球数据包括专利申请及学术论文进行了细致分析。报告显示,创新活动呈现出全球性放缓趋势,但信息技术等高科技行业创新持续增速。本文着重介绍自动驾驶领域的竞争和发展。
相关文章
- 在软件测试行业近20年的我,再来和大家谈谈今日的软件测试
- 我对程序员35岁这道坎的看法?我推荐转行那个行业!
- 2014年1季度移动平台App分发行业数据报告(全版PPT)
- 2014O2O移动应用行业报告(89PPT)
- CES2015分析报告,65页PPT读懂可穿戴行业趋势
- 一线架构师实践指南:证券行业应如何构建一体化监控体系?
- 行业报告:医疗数据泄露愈发严重,谁之过错?
- 节后转岗“浪潮”来了!瞅准“趋势向上”的行业!
- 软件测试的行业现状,我们的未来在哪里?
- 智能城市即将爆发,WiFi行业再迎机遇
- 关注安防行业 聚焦公共安防系统
- 《有效的单元测试》一2.6 每个行业都有其工具而测试也不例外
- IBM郭继军:机器学习配合行业经验将帮助企业成就未来
- 2017年中国安防行业市场运营及投资前景预测报告
- 市场竞争是行业最终选择 光伏行业暂未适应“速降”节奏
- Fortinet: 全球2016年第四季度全球医疗行业威胁分析与报告
- 详解Wifi模块对智能家居行业产生的影响
- SD-WAN技术仍处在行业探索阶段
- 大数据成行业转型重要力量 打造治理新常态
- 中国智能家居行业研究分析报告
- 亚马逊、谷歌和Facebook要在电竞行业一争高下
- 软件行业净利润增速下滑 1-4月增速回落7.5个百分点
- 指静脉识别技术在安防行业的应用前景