上個(gè)月30日的“威脅情報(bào)解決方案峰會(huì)”上�����,谷安天下發(fā)布了一款新型威脅情報(bào)應(yīng)用平臺(tái)�����,安全值��。這個(gè)平臺(tái)基于全球100+威脅情報(bào)數(shù)據(jù)資源���,利用大數(shù)據(jù)挖掘分析方法�,對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)分析�����,量化計(jì)算風(fēng)險(xiǎn),提升風(fēng)險(xiǎn)管理能力�。
經(jīng)過(guò)上百家客戶試用,反應(yīng)良好����。近日該平臺(tái)推出第一份行業(yè)網(wǎng)絡(luò)安全報(bào)告,并授權(quán)IT經(jīng)理網(wǎng)發(fā)布如下:
報(bào)告概述
安全值行業(yè)報(bào)告是基于威脅情報(bào)數(shù)據(jù)��,利用大數(shù)據(jù)的分析方法對(duì)行業(yè)整體安全狀態(tài)進(jìn)行評(píng)價(jià)和分析�,本報(bào)告對(duì)銀行業(yè)中204家金融機(jī)構(gòu)進(jìn)行安全評(píng)價(jià)和量化風(fēng)險(xiǎn)分析。
本報(bào)告是針對(duì)各銀行業(yè)機(jī)構(gòu)的數(shù)據(jù)信息進(jìn)行采集���,共計(jì)204家機(jī)構(gòu)的安全值進(jìn)行分析�,包括政策性銀行3家����、大型銀行6家(國(guó)有商業(yè)銀行+郵儲(chǔ))�、股份制銀行12家、城商行112家��、農(nóng)商行55家��、外資行16家,并從業(yè)務(wù)安全�����、隱私安全����、應(yīng)用安全、主機(jī)安全����、網(wǎng)絡(luò)安全、環(huán)境安全6個(gè)維度進(jìn)行風(fēng)險(xiǎn)量化分析�����。
通過(guò)安全值對(duì)行業(yè)第一季度的數(shù)據(jù)分析發(fā)現(xiàn):
本次進(jìn)行分析的機(jī)構(gòu)中�,城商行的機(jī)構(gòu)數(shù)量最多,112家機(jī)構(gòu)中“一般”和“較差”水平的有64家��,占城商行的57%�����,平均安全值為808分���;農(nóng)商行的平均安全值最高882分��,55家機(jī)構(gòu)中“一般”和“較差”水平的有20家��,僅占農(nóng)商行的36%�。
隱私安全問(wèn)題較為普遍,204家機(jī)構(gòu)中193家存在該風(fēng)險(xiǎn)���,約95%�,主要是域名未進(jìn)行隱私保護(hù)問(wèn)題較多����,屬于影響范圍大,但影響程度一般的情況��,風(fēng)險(xiǎn)詳細(xì)分析見(jiàn)3.1章�����。
應(yīng)用安全問(wèn)題在204家中有76家存在風(fēng)險(xiǎn)�,約占37%�,主要問(wèn)題是第三方漏洞平臺(tái)上被發(fā)布安全漏洞和經(jīng)常受到Web攻擊,風(fēng)險(xiǎn)詳細(xì)分析見(jiàn)3.2章����。近日由于Struts 2漏洞的影響����,大量漏洞被公開(kāi)爆出�����,銀行業(yè)安全值得分突降���,比前一日降低了 73分�,其中僅4月26日在“烏云”上就暴露出18個(gè)漏洞���,影響銀行業(yè)15個(gè)機(jī)構(gòu)�。風(fēng)險(xiǎn)詳細(xì)分析見(jiàn)3.2章�����。
網(wǎng)絡(luò)安全問(wèn)題在204家中有48家存在風(fēng)險(xiǎn)�����,約占24%�����,主要問(wèn)題是受到DDOS攻擊異常流量,影響245個(gè)IP網(wǎng)絡(luò)�,風(fēng)險(xiǎn)詳細(xì)分析見(jiàn)3.3章。
風(fēng)險(xiǎn)指標(biāo)說(shuō)明
安全值根據(jù)外部大數(shù)據(jù)和威脅情報(bào)數(shù)據(jù)進(jìn)行挖掘��,建立并持續(xù)更新指標(biāo)體系�����,當(dāng)前由12項(xiàng)安全風(fēng)險(xiǎn)指標(biāo)支撐安全評(píng)價(jià)和分析:
- 域名劫持:域名解析異常��,部分用戶數(shù)據(jù)可能被非法劫持�����;
- 域名被封:域名被判定為不可信任的域名�����,部分用戶可能無(wú)法訪問(wèn)���;
- 郵箱被封:郵件地址被認(rèn)為垃圾郵件域��,發(fā)出的郵件可能被認(rèn)為垃圾郵件�����;
- IP被封:IP被判定為惡意地址�,可能影響網(wǎng)絡(luò)正常通訊�;
- 漏洞披露:在互聯(lián)網(wǎng)安全社區(qū)上披露了系統(tǒng)的安全漏洞;
- Web攻擊:在線Web系統(tǒng)遭受了黑客的Web攻擊或掃描����;
- 域名信息泄露:域名未做隱私保護(hù),域名管理員可能會(huì)遭受釣魚(yú)攻擊��;
- 帳號(hào)信息泄露:企業(yè)的員工帳號(hào)在第三方數(shù)據(jù)庫(kù)中被泄露�,可能包括密碼等敏感信息;
- 惡意代碼:信息系統(tǒng)上發(fā)現(xiàn)后門(mén)����、病毒、木馬等惡意代碼����;
- 僵尸網(wǎng)絡(luò):網(wǎng)絡(luò)內(nèi)的主機(jī)可能已經(jīng)被入侵,并植入木馬��、后門(mén)程序;
- 異常流量:在線系統(tǒng)或網(wǎng)絡(luò)遭受DDOS拒絕服務(wù)攻擊����;
- 公有云風(fēng)險(xiǎn):您正在與惡意網(wǎng)站共用同一個(gè)云服務(wù)資源。
1. 行業(yè)總體概況
根據(jù)2016-4-27安全值數(shù)據(jù)��,銀行業(yè)安全值為811���,整體評(píng)價(jià)為 “一般”����。共204個(gè)機(jī)構(gòu)�����,其中98家(48%)評(píng)價(jià)為“良好”�����;71家(35%)評(píng)價(jià)為“一般”��;35家(17%)評(píng)價(jià)為“較差”��。
| 評(píng)價(jià) | 得分范圍 | 單位數(shù)量 | 占比 |
| 良好 | 901-1000 | 98 | 48% |
| 一般 | 601-900 | 71 | 35% |
| 較差 | 400-600 | 35 | 17% |
1.1. 總體安全值分布
從安全值的分布情況來(lái)看�����,其中137家機(jī)構(gòu)得分高于或等于平均值811,67家機(jī)構(gòu)得分低于平均值�,安全值得分分布比較均衡,沒(méi)有出現(xiàn)兩極分化的情況��。
1.2. 分類(lèi)機(jī)構(gòu)安全值
| | 平均值 | 機(jī)構(gòu)數(shù)量 | 良好 | 一般 | 較差 |
| 政策性銀行 | 785 | 3 | 1(33%) | 1(33%) | 1(33%) |
| 大型銀行 | 489 | 6 | 0 | 1(17%) | 5(83%) |
| 股份制銀行 | 639 | 12 | 3(25%) | 3(25%) | 6(50%) |
| 城商行 | 808 | 112 | 48(43%) | 47(42%) | 17(15%) |
| 農(nóng)商行 | 882 | 55 | 35(64%) | 16(29%) | 4(7%) |
| 外資行 | 846 | 16 | 11(69%) | 3(19%) | 2(12%) |
本次進(jìn)行分析的機(jī)構(gòu)中���,城商行的機(jī)構(gòu)數(shù)量最多,112家機(jī)構(gòu)中“一般”和“較差”水平的有64家���,占城商行的57%�,平均安全值為808分��;
農(nóng)商行的平均安全值最高882分�����,55家機(jī)構(gòu)中“一般”和“較差”水平的有20家�,僅占農(nóng)商行的36%。
1.3. 互聯(lián)網(wǎng)資產(chǎn)統(tǒng)計(jì)
安全值對(duì)互聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析統(tǒng)計(jì)��,包括各機(jī)構(gòu)注冊(cè)的域名�����、面向互聯(lián)網(wǎng)開(kāi)放的主機(jī)服務(wù)(不僅限于Web服務(wù)的網(wǎng)站)和公網(wǎng)IP地址。
| | 域名數(shù)量 | 主機(jī)數(shù)量 | IP數(shù)量 | 資產(chǎn)數(shù)量 |
| 政策性銀行 | 6 | 66 | 88 | 53 |
| 大型銀行 | 31 | 604 | 1449 | 347 |
| 股份制銀行 | 69 | 1394 | 2059 | 294 |
| 城商行 | 327 | 1820 | 1726 | 35 |
| 農(nóng)商行 | 113 | 405 | 477 | 18 |
| 外資行 | 25 | 354 | 434 | 51 |
| 總體 | 571 | 4643 | 6233 | 56 |
大型銀行和股份制銀行面向互聯(lián)網(wǎng)開(kāi)放的業(yè)務(wù)更多�,同時(shí)面臨的風(fēng)險(xiǎn)更大。根據(jù)對(duì)互聯(lián)網(wǎng)開(kāi)放的域名�����、主機(jī)和IP地址統(tǒng)計(jì)���,大型銀行域名數(shù)量共31個(gè)����,公網(wǎng)主機(jī)604個(gè)�����,公網(wǎng)IP地址1449個(gè)����,平均每個(gè)機(jī)構(gòu)有347個(gè)互聯(lián)網(wǎng)資產(chǎn);股份制銀行域名數(shù)量共69個(gè)����,公網(wǎng)主機(jī)1394個(gè)���,公網(wǎng)IP地址2059個(gè),平均每個(gè)機(jī)構(gòu)有294個(gè)資產(chǎn)����。大型銀行和股份制銀行安全值得分較低,分別為489分和639分����。
2. 風(fēng)險(xiǎn)分布及量化評(píng)估
根據(jù)業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)管理最佳實(shí)踐�����,結(jié)合風(fēng)險(xiǎn)等級(jí)����、影響范圍、頻率����、數(shù)量、時(shí)間各方面要素建立量化風(fēng)險(xiǎn)的計(jì)算模型����,以10分制對(duì)整體情況的6個(gè)風(fēng)險(xiǎn)域(業(yè)務(wù)安全���、應(yīng)用安全、隱私安全�����、主機(jī)安全����、網(wǎng)絡(luò)安全和環(huán)境安全)進(jìn)行量化評(píng)價(jià),綜合來(lái)看隱私安全問(wèn)題普遍存在����,其次是應(yīng)用安全和網(wǎng)絡(luò)安全方面。
| 風(fēng)險(xiǎn)域 | 業(yè)務(wù)安全 | 應(yīng)用安全 | 隱私安全 | 主機(jī)安全 | 網(wǎng)絡(luò)安全 | 環(huán)境安全 |
| 行業(yè)得分 | 9.6 | 8.9 | 4.3 | 9.4 | 8.6 | 10 |
| | 機(jī)構(gòu)
數(shù)量 | 業(yè)務(wù)
安全 | 應(yīng)用
安全 | 隱私
安全 | 主機(jī)
安全 | 網(wǎng)絡(luò)
安全 | 環(huán)境
安全 |
| 政策性銀行 | 3 | 2 | 1 | 3 | 2 | 2 | 0 |
| 大型銀行 | 6 | 5 | 6 | 6 | 5 | 6 | 0 |
| 股份制銀行 | 12 | 11 | 10 | 11 | 12 | 10 | 0 |
| 城商行 | 112 | 70 | 38 | 107 | 74 | 23 | 0 |
| 農(nóng)商行 | 55 | 26 | 19 | 51 | 28 | 4 | 0 |
| 外資行 | 16 | 11 | 2 | 15 | 11 | 3 | 0 |
| 總計(jì) | 204 | 125 | 76 | 193 | 132 | 46 | 0 |
通過(guò)安全值對(duì)銀行業(yè)行業(yè)第一季度的數(shù)據(jù)分析發(fā)現(xiàn):
1. 隱私安全問(wèn)題較為普遍���,204家機(jī)構(gòu)中193家存在該風(fēng)險(xiǎn)����,約95%��,主要是域名未進(jìn)行隱私保護(hù)問(wèn)題較多�,屬于影響范圍大,但影響程度一般的情況���,風(fēng)險(xiǎn)詳細(xì)分析見(jiàn)3.1章�����;
2. 應(yīng)用安全問(wèn)題在204家中有76家存在風(fēng)險(xiǎn)����,約占37%,主要問(wèn)題是第三方漏洞平臺(tái)上被發(fā)布安全漏洞和經(jīng)常受到Web攻擊����,風(fēng)險(xiǎn)詳細(xì)分析見(jiàn)3.2章。
3. 風(fēng)險(xiǎn)詳細(xì)分析
安全值整體基于12個(gè)風(fēng)險(xiǎn)指標(biāo)支撐6個(gè)維度的安全評(píng)價(jià)�,分別對(duì)各項(xiàng)風(fēng)險(xiǎn)指標(biāo)影響的機(jī)構(gòu)數(shù)量進(jìn)行統(tǒng)計(jì)便于找出較集中的問(wèn)題�。
| | 域名
劫持 | 郵箱
被封 | 域名
被封 | IP
被封 | 漏洞
披露 | WEB
攻擊 | 域名
泄露 | 賬號(hào)
泄露 | 惡意
代碼 | 僵尸
網(wǎng)絡(luò) | 異常
流量 | 公有云
風(fēng)險(xiǎn) |
| 政策性銀行 | 0 | 2 | 0 | 0 | 1 | 1 | 3 | 2 | 2 | 1 | 2 | 0 |
| 大型銀行 | 0 | 5 | 3 | 0 | 6 | 1 | 6 | 4 | 5 | 4 | 6 | 0 |
| 股份制銀行 | 0 | 11 | 2 | 5 | 10 | 1 | 10 | 8 | 11 | 7 | 10 | 0 |
| 城商行 | 0 | 63 | 2 | 11 | 38 | 1 | 107 | 16 | 63 | 21 | 23 | 0 |
| 農(nóng)商行 | 0 | 21 | 1 | 9 | 12 | 8 | 50 | 4 | 21 | 13 | 4 | 0 |
| 外資行 | 0 | 10 | 1 | 2 | 2 | 0 | 15 | 3 | 10 | 3 | 3 | 0 |
| 總體 | 0 | 112 | 9 | 27 | 69 | 12 | 191 | 37 | 112 | 49 | 48 | 0 |
3.1. 域名信息泄露風(fēng)險(xiǎn)分析
在注冊(cè)商成功注冊(cè)域名后,你的姓名�����、聯(lián)系地址����、電話、Email等注冊(cè)信息將被存儲(chǔ)到域名whois信息數(shù)據(jù)庫(kù)中���,任何人都可公開(kāi)查詢到這些信息�����,隱私無(wú)法保障���。
204家機(jī)構(gòu)中有191家(94%)的域名未做隱私保護(hù)����,存在域名信息泄露風(fēng)險(xiǎn)����,構(gòu)成了隱私安全的主要問(wèn)題。
處置建議:
與域名服務(wù)商聯(lián)系�,申請(qǐng)域名隱私保護(hù)。(域名隱私保護(hù):指域名持有者可以通過(guò)自主設(shè)置保護(hù)域名注冊(cè)人���、電話����、郵箱等信息不被公開(kāi)��,減少垃圾郵件、短信以及防止個(gè)人真實(shí)信息被竊取等����。)
3.2. 漏洞披露風(fēng)險(xiǎn)分析
互聯(lián)網(wǎng)安全社區(qū)上公開(kāi)披露的安全漏洞應(yīng)該優(yōu)先處理,避免漏洞在修復(fù)之前被公開(kāi)�,引來(lái)惡意攻擊和影響形象,應(yīng)通過(guò)安全顧問(wèn)的幫助分析問(wèn)題的根源����,避免同類(lèi)漏洞的產(chǎn)生。
204家中有69家機(jī)構(gòu)(34%)被公開(kāi)披露了安全漏洞����,構(gòu)成了應(yīng)用安全威脅的主要問(wèn)題。
共發(fā)現(xiàn)259條第三方安全社區(qū)上的安全漏洞記錄����,近日大量漏洞被爆出,其中僅4月26日在“烏云”上就暴露出18個(gè)漏洞����,影響銀行業(yè)15個(gè)機(jī)構(gòu)����。
處置建議:
1. 及時(shí)與第三方漏洞平臺(tái)取得聯(lián)系,認(rèn)領(lǐng)安全漏洞�����,并進(jìn)行漏洞修補(bǔ);
2. 對(duì)漏洞修補(bǔ)后的效果進(jìn)行驗(yàn)證�����;
3. 對(duì)所有系統(tǒng)全面進(jìn)行安全漏洞檢查和滲透測(cè)試��,對(duì)漏洞進(jìn)行分類(lèi)管理�����,跟蹤漏洞處置過(guò)程和結(jié)果��,完善上線安全測(cè)試工作����,保證信息系統(tǒng)無(wú)高、中危的安全漏洞��。
3.3. 異常流量風(fēng)險(xiǎn)分析
發(fā)現(xiàn)互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)遭受到DDOS拒絕服務(wù)攻擊����,包括TCP攻擊或UDP攻擊的報(bào)警信息,拒絕服務(wù)攻擊通過(guò)流量攻擊的方式攻擊系統(tǒng)或網(wǎng)絡(luò),持續(xù)遭受攻擊或過(guò)大的攻擊流量�,可能引起系統(tǒng)服務(wù)中斷。
204家機(jī)構(gòu)中有48家(24%)在線系統(tǒng)發(fā)生異常流量����,遭受到DDOS攻擊,是構(gòu)成網(wǎng)絡(luò)安全的主要威脅��。
245個(gè)IP網(wǎng)絡(luò)受到影響�����,共發(fā)現(xiàn)6750條DDOS記錄����。
處置建議:
1. 檢查被攻擊地址的網(wǎng)絡(luò)流量情況,如果攻擊流量沒(méi)有對(duì)系統(tǒng)造成過(guò)大壓力��,繼續(xù)關(guān)注此風(fēng)險(xiǎn)指標(biāo)���,觀察攻擊的持續(xù)時(shí)間或采取本地的防拒絕服務(wù)攻擊產(chǎn)品進(jìn)行防護(hù)�����;
2. 如果攻擊對(duì)系統(tǒng)造成過(guò)大壓力,應(yīng)及時(shí)聯(lián)系運(yùn)營(yíng)商進(jìn)行流量清洗;
3. 制定完善安全事件應(yīng)急響應(yīng)流程�����,面對(duì)拒絕服務(wù)攻擊能夠及時(shí)應(yīng)對(duì)�。
附案例:
某銀行通過(guò)安全值發(fā)現(xiàn)未知風(fēng)險(xiǎn)
國(guó)內(nèi)某銀行在使用安全值過(guò)程中分值慢慢上漲,但4月14日分?jǐn)?shù)突然降低��。在風(fēng)險(xiǎn)中發(fā)現(xiàn)有新的“僵尸網(wǎng)絡(luò)”����,并從”風(fēng)險(xiǎn)詳情“中看到如下內(nèi)容:
- 某銀行通過(guò)查詢發(fā)現(xiàn)此服務(wù)器不在這家銀行的內(nèi)部,因此相對(duì)來(lái)說(shuō)防御措施沒(méi)有跟其他服務(wù)器相等����;
- 某銀行通過(guò)安全值服務(wù)人員的協(xié)助,對(duì)此服務(wù)器進(jìn)行了全面的掃描和安全測(cè)試��;
- 通過(guò)查詢���,發(fā)現(xiàn)此服務(wù)器開(kāi)通了http代理服務(wù)�����,因此可能由于代理被人利用�����,以攻擊其他機(jī)器��。
