FreeBuf 2018金融行業應用安全態勢報告
2018年,全球互聯網數據進一步呈現指數級增長之勢,傳統金融行業數字化轉型基本完成。金融機構面對人工智慧、區塊鏈等新一輪信息技術,需要建立系統開發、IT技術、產品、客戶關係等多方面的能力,面臨的威脅呈現出更加多元化、複雜化的趨勢。與金融機構自身研發和投資併購相比,尋求安全合作的資金投入和風險相對較小,可以有效降低不確定性。
FreeBuf安全研究院期望與合作夥伴一起,通過大量調研與分析,藉由《金融行業應用安全態勢報告》來反映該行業在應用安全方面的年度真實現狀與趨勢。今年依然從銀行、證券、保險、互聯網金融四個金融行業大分類,針對應用安全問題及安全漏洞態勢進行綜合分析和評定。
用於支持本次報告的研究方法和信息來源包括
FreeBuf研究院經過由技術專家和專業安全團隊組成的評定小組,對網路公開資料及合作夥伴提供的近萬條數據進行研究分析。
為進一步了解金融行業面臨的問題及深層成因,FreeBuf研究院走訪了數百家企業,並發布了超過200張行業問卷。
包括漏洞盒子、國家信息技術安全研究中心等在內的合作夥伴為本次研究報告提供了大量數據支持,安恆信息及瑞數信息公司提供了專業內容支持。
從這份報告中,我們的主要研究結果和報告的關鍵發現有
1、2018年國內金融行業數字化轉型基本完成,超過90% 的金融業務已經基於網路空間進行。與此同時,企業在數據、網路與系統方面都將面臨全新的安全威脅,25%的受訪企業表示遭遇過重大安全事故,而100%的受訪者都表示出現過安全問題。
2、以商業銀行為代表的金融機構與互聯網巨頭之間掀起了新一輪合作熱潮。中農工建四大行 與互聯網巨頭建立戰略合作,合作內容涵蓋網路安全、金融科技、智能硬體、場景共建、風險監控等。
3、當前環境下,金融機構的安全能力普遍有所提升,但安全人才匱乏問題仍然存在。據估計,我國金融行業的信息安全人才缺口高達2 0萬人之多,從事整體安全建設的戰略規劃類人員、架構設計類安全人員和安全測試人員最為短缺。
4、現階段嚴格遵循安全開發流程的金融機構不超過10%。然而, 在高昂的沉沒成本反推下,處於不同發展階段的金融機構均開始發力SDL框架的落地,將安全需求列為項目導入前期開發流程,從全局統籌,以安全賦能業務開發與實現。
5、機器學習等AI技術在風險控制和反欺詐領域 有了大量樣本積累,準確率有所提升,在提高一致性和應用質量、降低錯誤率和成本以及關鍵過程自動化方面起到重要作用。未來隨著準確率逐步提升,金融機構 將進一步減少低水平人力消耗,讓安全人員能投入到更加重要的工作中去。
6、金融行業的發展帶來應用安全威脅的不斷增長,業務場景下的自動化攻擊(Bots)逐漸成為業內重要關注點。據統計,金融行業網站流量中超過70%由自動化工具發起,而攻擊流量中約90%都是自動化工具,對自動化攻擊的防護已經成為金融反欺詐的核心。
7、從漏洞數量來講,互聯網金融明顯少於傳統金融,而從漏洞利用難易度來看,互聯網金融顯得更為脆弱。金融機構遭遇的熱門漏洞按照威脅程度排行,命令執行、SQL注入 及弱口令排名靠前;從數量上來看,邏輯漏洞、命令執行和XSS漏洞分列前三。
8、區塊鏈技術在金融行業的應用依然處於概念階段,在加密貨幣以外尚未有成熟案例。但其去中心化、開放式、加密性以及解決信任問題的特性,未來有望在金融機構的徵信、交易安全、數據安全、信息隱私保護等方面實現應用。
2018年,金融行業信息安全工作取得了重大進展。無線安全、數據安全、業務安全等是當前金融機構安全 工作中關注的重點,而漏洞眾測、攻防演練等方式成為安全建設的有效支撐手段。未來一段時間,監管與政 策將繼續完善,而大數據、威脅情報、態勢感知、人工智慧等近年來熱門技術將在金融行業及金融安全領域 發揮關鍵作用。
結合問卷調查的統計數據,FreeBuf安全研究院對於2019年金融機構應用安全方面的發展趨勢預測包括
1、鑒於行業的特殊性,DevSecOps在金融機構的推行較為緩慢,到2019年底約40%的企業將陸續實現 DevSecOps的部分框架落地。
2、金融機構面臨的網路安全威脅比以往更加複雜,約30%的機構稱將會在2020年之前建立起威脅情報共 享機制,共同抵禦高級攻擊。
3、漏洞眾測將在金融行業應用安全檢測方面成為標準服務配置,並依託行業特性和金融機構需求進行更 多服務模式演進。
4、紅藍演練CTF競賽對於信息安全建設的成效檢測和水平提升有著切實作用,但競賽的頻率將呈下降趨 勢。
5、增加安全投入是監管趨嚴的大環境之下的必然結果,會在未來幾年保持持續增長之勢。
6、隨著安全服務公司能力提升,以及金融機構日益緊張的人力缺口,傾向於安全服務外包的企業將在2019 年底達到70%以上。
7、自動化威脅持續快速發展,新興的動態安全技術可以有效增加伺服器行為的不可預測性,將在未來幾年 得到更加廣泛的應用。
完整報告下載
點擊
「閱讀原文」
獲取
完整版《2018金融行業應用安全態勢年度報告》*
FreeBuf安全研究院榮譽出品,轉載須註明來自FreeBuf.COM,請聯繫help@freebuf.com
※我們應該了解的JNDI數據源配置
※2019年五大網路威脅走勢預測
TAG:FreeBuf |