安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

漏洞盒子发布《2015上半年度金融行业互联网安全

安全研究2015-07-22 16:25:40 4734次围观

作为世界第二大经济体的中国经济,一举一动总是会成为全球瞩目的焦点。2015年中国股市如同乘坐了过山车一般在股民惊悚的叫喊声中度过了不太平的半年。而中国在上半年还是交出了涨幅16.7%的漂亮成绩单,位列CNN盘点的全球热门股票市场第七名。

但是,在如此火爆的金融市场面前,安全始终是一个不可回避的话题。现在,是时候让我们一起来回顾一下这半年金融行业互联网安全形势。

金融行业安全总览

互联网上数以万计的金融业安全漏洞,可以较为客观的反映一定时间内各金融细分行业的安全状态与威胁挑战。漏洞盒子安全研究团队对2015年上半年全网1248个漏洞和133个安全事件进行仔细的整理和分析。

统计结果显示,保险业占金融行业中漏洞数比例最高,其次是兴起不久的互联网金融以微弱的劣势屈居第二。但研究发现,截至2015年6月全国范围内有近100家互联网金融平台被爆出存在漏洞。漏洞数量之大,影响之广,实属罕见。

综合占比最大的漏洞类型仍然是“千古难题”SQL注入漏洞,而XSS漏洞占比则较2014年略有下降。

值得一提的是,逻辑漏洞(包括越权)和权限绕过问题。

在漏洞威胁等级方面,高危漏洞占据63.3%,说明金融行业安全漏洞形势确实不容乐观。

保险业

漏洞盒子团队统计2015年上半年保险行业的互联网漏洞数据,全国约有上百家保险公司存在严重安全问题,中国人保、太平洋保险、中国人寿、合众人寿等诸多知名保险公司赫然在列。

信息泄露以及权限绕过成为保险行业应用系统的最大“通病”,总计超过1000万的用户信息存泄露风险。全网数据显示,约有100家保险企业网站存在安全问题,其中53家股份制企业占据半壁江山,政府事业单位有17家。

银行业

银行计算机系统遭攻击或者被黑事件频繁发生。网络系统存在漏洞的银行遍及全国各地,不夸张的说从多个省市的农商银行到五大国有商业银行,甚至央妈——中国人民银行,都纷纷中弹。

漏洞盒子团队发现,目前银行业面临的信息泄露威胁较大,同时应用及系统中逻辑漏洞占比过高,安全问题已经开始出现于App应用上。而银行业中高危级别的漏洞占比最高,占到了68.6%。某银行甚至出现了任意卡号查询余额的严重漏洞。

证券业

证券行业中系统信息泄露情况非常严重,潜在泄露的用户数据达数百万以上,包括个人基本信息(姓名、身份证号、手机、年龄、地址、照片、合同)以及视频信息,对用户和企业造成的损失难以统计。

而证券行业的安全漏洞较2014年同比增长达到惊人的326.7%。仅在漏洞盒子平台上就有近50家证券企业存在安全风险,华泰证券、长城证券、国金证券、国元证券等知名证券公司之列。

漏洞不仅仅给造成信息的泄露、用户裸奔,在涉及证券这样的敏感信息时,黑客可能会更利用这些非法获取的信息进行交易或者盗卖。

互联网金融

作为后起之秀的互联网金融,其整体平台的安全技术水平跟业务的风险性不相匹配,缺乏专业、核心的防范黑客攻击技术,从而给了黑客乘虚而入的机会。截 至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等。而在这些严重威胁的背后,暴露了互联网金融业在 高速发展的同时,产品及应用在安全开发实践方面存在的较大欠缺。

近两年风靡一时的P2P金融,比如,金融之家、爱投资、长久贷等均在“上榜”名单之列,而仅发现漏洞的互联网金融企业就有近100家,而这些平台上潜在泄露的用户总量在百万级别以上。 

总结

国内金融行业面临的信息安全风险是全方位的,除传统互联网风险外,还面临新形势、新技术、新业态的安全风险挑战,正在经历着了来自黑客团体、经济犯罪、地下产业以及敌对国家等安全威胁。

在本报告中,我们看到无论保险、银行、证券或是新兴的互联网金融,2015年上半年,互联网安全漏洞的数量相比去年同期有爆发性增长。

而其中可能导致数据信息泄露、越权操作的安全问题在各大金融应用中都有明显表现。我们发现有些高危漏洞,漏洞发现者或平台方已通过多种渠道向相关单位反馈,但漏洞长时间仍未被修复,这背后透露出企业管理者对安全问题的漠视或漏洞响应方面的疏漏

另一方面,时至今日SQL注入这类“骨灰级漏洞”依然在行业统计数据中占据较大比例且未有下降的趋势,这暴露出金融产品及应用在安全开发实践方面存在较大欠缺。

金融行业的互联网化是大势所趋。但由于支撑互联网金融的云计算、大数据等新技术发展还不完全成熟,安全机制尚不完善;同时,当第三方支付、P2P等 互联网金融新业务飞速发展时,企业安全技术、安全意识以及运维管理水平往往难以跟上,因此许多互联网金融企业愿意花费几百万、上千万元投放广告,却不愿在 安全方面有任何预算,这一切直接导致大量的P2P网贷、互联网金融产品成为“黑客光临”的重灾区。

完整报告下载


下载地址  http://pan.baidu.com/s/1pJ1f7CJ

 

 

上一篇: 网络安全法即将出炉 信息安全行业喜迎最大政策

下一篇: 你准备好把公司迁移到更安全的云上了吗?