安全社区
黑盾云安全社区,与你一起分享安全领域的知识与智慧
黑盾云安全社区,与你一起分享安全领域的知识与智慧
安全研究2016-03-31 14:12:28 5273次围观
传统行业一铁锹,让“断了光纤”的支付宝陷入两小时“瘫痪”状态;19岁大学生制作传播“××神器”病毒,一天内让百万部手机“中招”……当互联网已经承担起改善民生、推动经济转型、提高国家治理水平的重任时,其安全性的一丝波动都将成为我们不可承受之重。
正 因为如此,继中央网络安全和信息化领导小组这一统揽全局的领导机构成立之后,我国在网络信息安全领域动作频频。近日,党的十八届五中全会通过了“十三五” 规划建议,在这份未来5年将指导我国全面建成小康社会的纲领性文件中,六次提到网络信息安全,赋予了其成为“中国制造2025”、建设网络强国、推进“互 联网+”等国家安全基石的重大使命。
目 前,我国网络安全形势依然严峻。在基础网络领域,国家互联网应急中心的数据显示,今年上半年,我国境内近943万个IP地址对应的主机被木马或僵尸程序控 制,这一数字比去年同期增长了50.6%;被植入后门的政府网站数量达2046个,比去年同期增长了137.4%;仿冒境内网站的页面数量达89097 个,已经接近2014年全年数量。
鉴于此,福建省海峡信息技术有限公司(以下简称“海峡信息”)期望通过研究福建省内安全漏洞情况,了解我省信息安全状况及各行业安全风险。
本报告数据样本来自2015年1月1日-2015年12月31日海峡信息漏洞跟踪平台中的福建省漏洞安全数据,采取全量样本进行分析。海峡信息漏洞跟踪平台所采集数据来自于国内外各大漏洞发布平台,如乌云、补天、反动黑客联盟等。
通过整体分析2015年福建省全网行业安全漏洞,我们做出以下统计结果和趋势分析:
1、 政府行业漏洞总量占全部行业漏洞数比例最高,大约41%,明显高于其他行业,可能原因为在安全方面投入差距,导致整体安全结果的差异性。
2、 互联网金融行业中,互联网P2P行业安全漏洞明显高于银行、证券、保险等这暴露在业务发展尤其迅猛的互联网金融业,其产品及应用在安全开发实践较欠缺,开发人员安全开发意识比较薄弱。
3、 教育行业主要表现为网站建设和管理不统一、网站日常安全运维缺失、网站信息保护意识差、应用系统漏洞多等安全隐患。
4、 信息泄露是医疗行业的一个主要安全风险;运维人员安全运维水平有待提高,医院移动端APP掌上医院、微信预约平台、第三方预约平台将是信息泄露新的风险点。
5、 SQL注入依然高发,并没有缓解的趋势,弱口令普遍存在于各行业中,运维管理和越权访问齐头并进。
通过对2015年福建省全年各行业安全漏洞跟踪统计,漏洞数量统计如下:
表1-1 2015年福建省全年各行业安全漏洞跟踪统计表
(数据来源:乌云平台,补天平台等公开漏洞发布平台)
2015年福建省全年漏洞数量统计曲线图如下:
图1-1 2015年福建省全年各行业安全漏洞跟踪统计图
按照漏洞类型的分类和数量统计,我们得出了最常见的 12 种漏洞类型,漏洞类型按照数量和风险值进行叠加后排序,得出如下表格:
表1-2 2015年福建省全年各行业安全漏洞类型统计表
(数据来源:乌云平台,补天平台等公开漏洞发布平台)
按照安全漏洞类型的比例统计,得出如下饼状图:
图1-2 2015年福建省全年各行业安全漏洞类型分布情况图
按照行业漏洞数量统计,我们得出了2015年福建省各行业漏洞分布情况,按照行业漏洞数量进行统计,得出如下柱状图:
图1-3 2015年福建省各行业漏洞分布柱状图
按照漏洞数量占比情况进行统计,我们得出各行业漏洞占比情况饼图:
图1-4 2015年福建省各行业漏洞分布比例图
统计2015年政府行业的互联网漏洞数据,福建省约有60多家政府单位存在严重安全问题,其中诸多省厅级单位赫然在列。弱口令、SQL注入、逻辑漏洞成为政府应用系统的“通病”,政府行业漏洞态势具体表现如下:
1、弱口令情况非常严重,占比达到30%,暴露政府在系统网络安全运维上的短板。
2、 SQL注入漏洞依然大面积存在,暴露产品及应用在安全开发实践方面的欠缺。
3、逻辑漏洞成为政府行业漏洞新的爆发点,具体跟踪发现,2015年政府系统通用框架TRS系统逻辑漏洞频发,如实体注入安全漏洞。
4、权限绕过、水平越权导致大量数据泄露,据统计2015年政府行业业务系统超过亿级数量用户数据泄露。
5、2015年java反序列化命令执行新型漏洞严重威胁政府行业应用系统安全。
6、政府系统运维人员安全意识较为薄弱,系统/服务配置不当,导致敏感信息泄露。
统计2015年金融行业的互联网漏洞数据,全网数据显示,目前信息泄露以及应用逻辑漏洞成为金融行业应用系统的最大“通病”,同时应用系统Struts2远程代码执行漏洞占比过高,具体表现如下:
1、应用系统权限绕过,如绕过权限遍历查询他人业务信息或操作他人业务成为普遍问题,该类型问题与金融业务关联较大,严重威胁业务安全。
2、业务系统逻辑问题占比较高,如横向越权漏洞等业务逻辑漏洞频现,逻辑漏洞及权限绕过成为信息泄露的主要诱因。
3、接口滥用也是金融行业一个突出问题,如短信炸弹、邮件等接口的滥用。
4、银行行业多个Struts2远程代码执行漏洞的出现,暴露银行在系统网络安全运维上的短板。
6、金融行业自由开发系统SQL注入漏洞较多,暴露福建地区自主产品及应用在安全开发实践方面的欠缺,开发人员缺乏安全开发意识。
7、海峡应急响应小组在2015年接到多起金融行业DDOS攻击安全事件,黑客利用DDOS攻击对互联网金融企业实施敲诈,可见DDOS攻击将成为黑客获利的新手段。
2015年我们对互联网各大漏洞平台教育行业安全漏洞进行跟踪分析,发现高校网站安全状况漏洞分析比较堪忧,具体分析结果如下:
1、SQL注入漏洞、 跨站脚本漏洞和信息系统泄露漏洞在各类型漏洞数量占比中排前三,已成为高校网站普遍存在的安全漏洞。
2、网站建设不统一,主要表现在各学院网站建设不统一,安全开发水平参差不齐,导致各学院网站呈现安全漏洞多、技术维护差的特点,已成为黑客挂黑链、挂马、成“肉鸡”的重要目标。
3、应用系统设计缺陷,如上传漏洞、第三方不安全编辑器漏洞在教育行业漏洞比例中较高。
4、高校网站安全运维严重缺失,2015年海峡应急响应小组接到多起高校安全事件,结果显示众多高校网站服务器被植入后门已久,仍未被及时发现。
5、学生学籍系统,教师信息系统、学生成绩系统等信息成为黑客“青睐”的目标。
统计2015年医疗行业的互联网漏洞数据,发现医疗行业漏洞数量较于其他行业少,但信息泄露仍是医疗行业的一个主要安全问题,医疗行业漏洞态势具体表现如下:
1、医院互联网预约平台是医疗数据泄露的一个重要源头。
2、安全基础运维缺失是导致医疗行业信息泄露的一个主要诱因,如弱口令、数据库备份不当等安全运维缺失问题。
3、运维人员安全水平不足是医疗行业普遍存在问题,其中发现某三甲医院被成功入侵成为黑色产业,运维人员没有完全清除网页后门导致黑产再次死灰复燃。
4、医院移动端app掌上医院、微信预约平台、第三方预约平台将是黑客“青睐”的目标。
福 建省作为“海上丝绸之路”的起点,随着云计算、大数据以及智慧城市的发展,我省将踊跃出一大批互联网应用。而互联网安全面临的信息安全风险是全方位的,除 传统互联网风险外,还面临新形势、新技术、新环境的安全风险挑战,正在经历着了来自黑客团体、经济犯罪、地下产业以及境外敌对势力等安全威胁。
在 本报告中,我们看到无论政府、金融、教育或是医疗行业,SQL注入这类“骨灰级漏洞”依然在各行业普遍存在,这暴露出产品及应用在安全开发实践方面存在较 大欠缺;同时政府、教育、医疗行业安全运维能力薄弱,弱口令问题导致信息泄露、系统被黑等安全事件均在这三大行业中出现过;而业务漏逻辑问题、水平越权、 权限绕过安全问题在金融应用中都有明显表现;另外,在教育及医疗行业,我们发现有些安全问题平台方已通过多种渠道向相关单位反馈,但安全问题长时间仍未被 解决,这背后透露出单位管理者对安全问题的处置能力的欠缺。
捻乱止于河防,面对现如今攻防不对等的现状,我们防方要赢就要靠一个字:“控”——把对手控制在一个可控范围,再用丰富的资源打败他。为此,海 峡信息协同福建省信息网络重点实验室共同建立了安全态势研究团队,负责跟踪和获取最新的安全漏洞情报。在漏洞曝光后,安全研究人员迅速对漏洞进行分析,获 取漏洞的攻击手段并研究加固策略。在确认漏洞攻击手段后,安全服务人员立刻给相关客户发布漏洞预警信息,并协助客户在最短的时间内修复安全漏洞,确保客户 的应用和数据安全。
上一篇: 友谊的小船说翻就翻(海峡信息版)