freebuf客户端|FreeBuf发布2016年上半年金融行业应用安全态势报告

【www.joewu.cn--互联】

　　随着互联网+席卷中国的热潮袭来，互联网正加速与各行各业的融合，金融行业也不例外。不管是现代化的工作方式，还是运营模式，金融行业都正在逐步朝互联网化的方向迈进。这种融合为金融机构的发展和竞争开辟了新战场，如公众资金与投资管理都因此变得更加便利。

　　但互联网本身又是把双刃剑，伴随便利带来的安全问题始终困扰着个人、企业，乃至整个国家。如数据泄露、业务中断一类安全问题，令金融行业需要面临更大的挑战。

　　为将这种挑战更具象地呈现到企业安全人员和管理者面前，让企业安全人员和管理者更了解金融企业潜在安全风险与脆弱面，洞悉未来金融行业信息安全发展方向，FreeBuf发布2016年上半年金融行业应用安全态势报告。

　　这 份报告是FreeBuf历经半年、走访数十家企业，通过企业IT安全团队问卷调查，合作伙伴漏洞盒子、中国国家信息安全漏洞库(CNNVD)、七牛云提供 的数据支持，采集14663项数据，同时由技术专家和专业安全团队组成的评定小组对数据进行分析，最终面向传统金融(银行、保险、证券)，互联网金融 (P2P、分期、众筹、第三方支付、大数据金融)8个金融行业细分领域，针对应用安全脆弱性及安全漏洞态势进行综合分析和评定。

　　报告关键

　　1. 随着移动端技术使用率、占比增大，移动金融应用中存在的漏洞相比去年同期增37%;

　　2. 2016上半年云厂商的防护措施，如云WAF，云端抗DDoS提升了漏洞利用难度，使得漏洞增长率放缓;

　　3. 金融厂商对逻辑层业务安全漏洞的忽视，如批量重置密码、越权操作等，使其增长趋势远高于通用漏洞;

　　4. 传统金融在漏洞数量上明显多于互联网金融，高危漏洞占比高达78.48%;

　　5. 从漏洞利用程度上分析，互联网金融更加“脆弱”——“非常容易利用”的漏洞占比高达57.5%;

　　6. 互联网金融行业最容易出现问题的业务场景有：用户注册及登录场景，密码重置场景，支付场景，消息通知场景，登录场景，支付场景和接口调用。

　　7. NoSQL，Apache Spark，Hadoop三种技术在2016上半年在金融风控领域的应用发展迅猛，但半数公司对大数据分析结果的关联定性、准确性存在疑问。

　　最易出现安全风险的业务场景(报告节选)

　　在 企业内部管理，和业务操作过程中，各个环节都有可能引发安全问题。例如网银用户若忘记登录密码，则需要尝试在网上银行进行密码重置操作。即便此过程有短信 验证码参与，攻击者仍可进行暴力破解或从服务端抓包，甚至跳过修改密码步骤，实现任意用户的密码重置，这可能带来用户数据泄露甚至财产损失。

　　从报告收集的数据来看，类似这样极易遭遇安全问题的业务场景包括：

　　1. 用户注册及登录场景

　　在网站进行注册操作，被称作“羊毛党”的攻击者可利用漏洞进行帐号批量注册，从中获取利益，这在互联网金融领域是尤为突出的问题。

　　而在登录场景中，攻击者通过网站自身的逻辑缺陷，或者利用从非法来源获取的用户数据，实现非法帐号登录的问题也极为普遍。这样的攻击可致用户信息被窃取，甚至危及资金安全。

　　2. 密码重置场景

　　用户账户密码重置过程中，通过对简单的短信验证码进行暴力破解、抓包查看服务端返回的验证码、或因缺乏功能级的限制跳转至修改密码步骤等等方式，攻击者很容易对用户密码进行重置。

　　3. 业务功能操作场景

　　服务端程序多存在不安全的对象直接引用，通过对这类漏洞的利用，攻击者在网站上可获取不属于自己的权限，进行网站内容、用户信息的非法编辑，查看，取消，删除。

　　4. 支付场景

　　互联网金融行业涉及到的支付场景集中在充值，购买，提现，转账等。

　　5. 消息通知场景

　　金融企业的许多业务场景中，都需要给用户发出短信通知。攻击者能够重复调用短信接口，进行短信轰炸。甚至在给用户发送数据时，对信息内容进行篡改。

　　金融公司应用安全态势象限(报告节选)

　　报 告以象限的形式，对各金融企业进行评级。在“金融公司应用安全态势象限”中，横轴用以表示企业综合实力，因此在整个象限中，企业出现在越靠右的位置，通常 表示其企业综合实力越强;纵轴表示安全漏洞态势，企业出现的位置越往上，表明企业应用安全性越出色，漏洞态势处于良好状态。

　　基于不同的金融公司，在企业综合实力和安全漏洞态势两方面的不同表现，将这些金融公司划归到4个不同的象限内。不难理解，这4个象限分别代表：

　　例如在互联网金融应用中，“拍拍贷”出现在图中第一象限，且位置靠右、靠上。这表明其企业综合实力强劲，品牌影响力大，与此同时企业应用安全性和漏洞态势表现优异。

　　而“有利网”出现在第四象限靠右、靠下的位置，表明虽然其企业综合实力出色，但企业应用脆弱性和风险随同上升，企业漏洞响应和产品应用安全还需要做得更出色。

　　针对金融行业的不同分支，包括互联网金融应用、银行应用、证券行业应用、保险行业等，得出以下4张安全态势象限图：

　　漏洞统计(报告节选)

　　报 告针对金融领域的不同业务，如分期、众筹、第三方支付这样的互联网金融，以及银行、保险、证券等传统金融，进行漏洞统计。例如在第三方支付领域，第三方支 付工具出现了SQL注入、弱口令、密码重置、信息泄露等各种漏洞，这些漏洞的占比各不相同。如果按照漏洞危险程度来分，危险程度达到了高危级别、对企业和 用户数据存在极大威胁、需要立刻响应的漏洞，占到统计漏洞数量的12.5%，中危和低危漏洞分别占到12.50%和75%。

　　在不同业务方向上，根据漏洞危险程度划分，其大致情况如下图所示：

　　互联网金融：

　　传统金融：

　　金融企业地域分布(报告节选)

　　报告针对样本中统计的金融公司地理位置分布进行了比例统计，具体数据如下图所示：

　　技术应用及展望 (报告节选)

　　互联网的发展，令越来越多的企业开始拥抱云服务：将企业的IT设备、网站搭建基础设施放到云端，而不再是企业的机房中，就像用电只需从电力公司购买电服务，而非购置独立的发电机一样，云服务能够有效降低企业运营成本，灵活实现便携移动办公，协力抵御安全风险。

　　金 融行业也因此开始选择云服务，不仅限于银行、保险、证券等传统金融机构，还包括P2P、小贷、众筹、消费金融等互联网金融机构——SaaS、PaaS、 IaaS等服务逐步普及。弹性计算、云数据库、CDN服务、负载均衡、虚拟化技术、云存储/备份、安全管理这些过去听来陌生的名词，实际已经开始落户这些 金融机构。

　　报告总结上半年的金融信息安全：很多金融企业都加大了安全防御方面的投入， 但安全形势依然严峻。越来越多的攻击者倾向于利用业务逻辑层的安全问题——如上述网站密码重置流程中的漏洞，令攻击者可轻易针对普通用户账户进行密码重 置。这些问题从实质上造成了企业的资产和名誉损失。

　　传统安全防御设备应对类似攻击已然收效甚微。但基于大数据风控、威胁情报和金融反欺诈等技术渐趋成熟，金融企业IT部门已经开始尝试采用这些新技术，对于企业的风险管理起到了很大的帮助作用。

　　附录：报告涉及的金融企业及机构清单(按拼音首字母排序)

　　365易贷

　　91旺财

　　爱合投

　　爱钱进

　　爱投资

　　贝格数据

　　贷贷兴隆

　　点名时间

　　分期乐

　　合时代

　　和信贷

　　慧择网

　　互利网

　　积木盒子

　　金银猫

　　九次方

　　九斗鱼

　　玖融网

　　桔子分期

　　乐童音乐

　　陆金所

　　绿能宝

　　拍拍贷

　　钱爸爸

　　乾贷网

　　钱多多

　　人人分期

　　仁仁分期

　　人人聚财

　　融金所

　　生菜金融

　　天使街

　　投哪网

　　团贷网

　　微贷网

　　温州贷

　　信融财富

　　易通贷

　　宜信

　　翼龙贷

　　银湖网

　　银票网

　　有利网

　　云筹

　　招商贷

　　众信金融

　　资本汇

　　北京银行

　　朝阳银行

　　广发银行

　　杭州银行

　　恒丰银行

　　华润银行

　　徽商银行

　　江苏银行

　　建设银行

　　南京银行

　　宁波银行

　　宁夏银行

　　农商银行

　　青岛银行

　　银联

　　招商银行

　　郑州银行

　　中国工商银行

　　中国交通银行

　　中国民生银行

　　中国农业银行

　　中国银行

　　中国邮政储蓄银行

　　中信银行

　　安邦保险

　　安华农业保险

　　长安责任保险

　　长城人寿保险

　　长生人寿

　　鼎和保险

　　都邦保险

　　泛华保险

　　复星保德信

　　国元农业保险

　　华安保险

　　华农财产保险

　　华泰财产保险

　　华泰人寿保险

　　华夏人寿

　　江泰保险

　　利安人寿

　　利宝保险

　　民安财产保险

　　民生人寿

　　前海人寿

　　泰康人寿

　　太平保险

　　太平洋保险

　　泰山财产保险

　　天安人寿保险

　　现代财产保险

　　信诚人寿保险

　　信达保险

　　幸福人寿保险

　　新华保险

　　阳光保险

　　亚太财险保险

　　永安财产保险

　　永诚财产保险

　　友邦保险

　　中国大地保险

　　中国平安保险

　　中国人寿财产保险

　　中华联合财产保险

　　中融人寿保险

　　中银保险

　　紫金财产保险

　　渤海证券

　　德邦证券

　　东方证券

　　东吴证券

　　方正证券

　　广州证券

　　国都证券

　　国联证券

　　国泰君安

　　国信证券

　　国元证券

　　恒泰证券

　　华安证券

　　华西证券

　　华英证券

　　九州证券

　　南京证券

　　平安证券

　　西部证券

　　中航证券

　　中山证券

　　中投证券

　　中邮证券

本文来源：http://www.joewu.cn/keji/82332/