FreeBuf发布2016年上半年金融行业应用安全态势报告
2016-08-15 14:25:01   来源：未知   评论：0 点击：

随着互联网+席卷中国的热潮袭来，互联网正加速与各行各业的融合，金融行业也不例外。不管是现代化的工作方式，还是运营模式，金融行业都正在逐步朝互联网化的方向迈进。这种融合为金融机构的发展和竞争开辟了新战场，如公众资金与投资管理都因此变得更加便利。

但互联网本身又是把双刃剑，伴随便利带来的安全问题始终困扰着个人、企业，乃至整个国家。如数据泄露、业务中断一类安全问题，令金融行业需要面临更大的挑战。

为将这种挑战更具象地呈现到企业安全人员和管理者面前，让企业安全人员和管理者更了解金融企业潜在安全风险与脆弱面，洞悉未来金融行业信息安全发展方向，FreeBuf发布2016年上半年金融行业应用安全态势报告。

这 份报告是FreeBuf历经半年、走访数十家企业，通过企业IT安全团队问卷调查，合作伙伴漏洞盒子、中国国家信息安全漏洞库(CNNVD)、七牛云提供 的数据支持，采集14663项数据，同时由技术专家和专业安全团队组成的评定小组对数据进行分析，最终面向传统金融(银行、保险、证券)，互联网金融 (P2P、分期、众筹、第三方支付、大数据金融)8个金融行业细分领域，针对应用安全脆弱性及安全漏洞态势进行综合分析和评定。

报告关键

1. 随着移动端技术使用率、占比增大，移动金融应用中存在的漏洞相比去年同期增37%;

2. 2016上半年云厂商的防护措施，如云WAF，云端抗DDoS提升了漏洞利用难度，使得漏洞增长率放缓;

3. 金融厂商对逻辑层业务安全漏洞的忽视，如批量重置密码、越权操作等，使其增长趋势远高于通用漏洞;

4. 传统金融在漏洞数量上明显多于互联网金融，高危漏洞占比高达78.48%;

5. 从漏洞利用程度上分析，互联网金融更加“脆弱”——“非常容易利用”的漏洞占比高达57.5%;

6. 互联网金融行业最容易出现问题的业务场景有：用户注册及登录场景，密码重置场景，支付场景，消息通知场景，登录场景，支付场景和接口调用。

7. NoSQL，Apache Spark，Hadoop三种技术在2016上半年在金融风控领域的应用发展迅猛，但半数公司对大数据分析结果的关联定性、准确性存在疑问。

最易出现安全风险的业务场景(报告节选)

在 企业内部管理，和业务操作过程中，各个环节都有可能引发安全问题。例如网银用户若忘记登录密码，则需要尝试在网上银行进行密码重置操作。即便此过程有短信 验证码参与，攻击者仍可进行暴力破解或从服务端抓包，甚至跳过修改密码步骤，实现任意用户的密码重置，这可能带来用户数据泄露甚至财产损失。

从报告收集的数据来看，类似这样极易遭遇安全问题的业务场景包括：

1. 用户注册及登录场景

在网站进行注册操作，被称作“羊毛党”的攻击者可利用漏洞进行帐号批量注册，从中获取利益，这在互联网金融领域是尤为突出的问题。

而在登录场景中，攻击者通过网站自身的逻辑缺陷，或者利用从非法来源获取的用户数据，实现非法帐号登录的问题也极为普遍。这样的攻击可致用户信息被窃取，甚至危及资金安全。

2. 密码重置场景

用户账户密码重置过程中，通过对简单的短信验证码进行暴力破解、抓包查看服务端返回的验证码、或因缺乏功能级的限制跳转至修改密码步骤等等方式，攻击者很容易对用户密码进行重置。

3. 业务功能操作场景

服务端程序多存在不安全的对象直接引用，通过对这类漏洞的利用，攻击者在网站上可获取不属于自己的权限，进行网站内容、用户信息的非法编辑，查看，取消，删除。

4. 支付场景

互联网金融行业涉及到的支付场景集中在充值，购买，提现，转账等。

5. 消息通知场景

金融企业的许多业务场景中，都需要给用户发出短信通知。攻击者能够重复调用短信接口，进行短信轰炸。甚至在给用户发送数据时，对信息内容进行篡改。

金融公司应用安全态势象限(报告节选)

报 告以象限的形式，对各金融企业进行评级。在“金融公司应用安全态势象限”中，横轴用以表示企业综合实力，因此在整个象限中，企业出现在越靠右的位置，通常 表示其企业综合实力越强;纵轴表示安全漏洞态势，企业出现的位置越往上，表明企业应用安全性越出色，漏洞态势处于良好状态。

基于不同的金融公司，在企业综合实力和安全漏洞态势两方面的不同表现，将这些金融公司划归到4个不同的象限内。不难理解，这4个象限分别代表：

例如在互联网金融应用中，“拍拍贷”出现在图中第一象限，且位置靠右、靠上。这表明其企业综合实力强劲，品牌影响力大，与此同时企业应用安全性和漏洞态势表现优异。

而“有利网”出现在第四象限靠右、靠下的位置，表明虽然其企业综合实力出色，但企业应用脆弱性和风险随同上升，企业漏洞响应和产品应用安全还需要做得更出色。

针对金融行业的不同分支，包括互联网金融应用、银行应用、证券行业应用、保险行业等，得出以下4张安全态势象限图：

漏洞统计(报告节选)

报 告针对金融领域的不同业务，如分期、众筹、第三方支付这样的互联网金融，以及银行、保险、证券等传统金融，进行漏洞统计。例如在第三方支付领域，第三方支 付工具出现了SQL注入、弱口令、密码重置、信息泄露等各种漏洞，这些漏洞的占比各不相同。如果按照漏洞危险程度来分，危险程度达到了高危级别、对企业和 用户数据存在极大威胁、需要立刻响应的漏洞，占到统计漏洞数量的12.5%，中危和低危漏洞分别占到12.50%和75%。

在不同业务方向上，根据漏洞危险程度划分，其大致情况如下图所示：

互联网金融：

传统金融：

金融企业地域分布(报告节选)

报告针对样本中统计的金融公司地理位置分布进行了比例统计，具体数据如下图所示：

技术应用及展望 (报告节选)

互联网的发展，令越来越多的企业开始拥抱云服务：将企业的IT设备、网站搭建基础设施放到云端，而不再是企业的机房中，就像用电只需从电力公司购买电服务，而非购置独立的发电机一样，云服务能够有效降低企业运营成本，灵活实现便携移动办公，协力抵御安全风险。

金 融行业也因此开始选择云服务，不仅限于银行、保险、证券等传统金融机构，还包括P2P、小贷、众筹、消费金融等互联网金融机构——SaaS、PaaS、 IaaS等服务逐步普及。弹性计算、云数据库、CDN服务、负载均衡、虚拟化技术、云存储/备份、安全管理这些过去听来陌生的名词，实际已经开始落户这些 金融机构。

报告总结上半年的金融信息安全：很多金融企业都加大了安全防御方面的投入， 但安全形势依然严峻。越来越多的攻击者倾向于利用业务逻辑层的安全问题——如上述网站密码重置流程中的漏洞，令攻击者可轻易针对普通用户账户进行密码重 置。这些问题从实质上造成了企业的资产和名誉损失。

传统安全防御设备应对类似攻击已然收效甚微。但基于大数据风控、威胁情报和金融反欺诈等技术渐趋成熟，金融企业IT部门已经开始尝试采用这些新技术，对于企业的风险管理起到了很大的帮助作用。

2016年上半年金融行业应用安全态势报告完整版下载：https://pan.baidu.com/s/1qXC4Hbu(提取密码：syid)

附录：报告涉及的金融企业及机构清单(按拼音首字母排序)

365易贷

91旺财

爱合投

爱钱进

爱投资

贝格数据

贷贷兴隆

点名时间

分期乐

合时代

和信贷

慧择网

互利网

积木盒子

金银猫

九次方

九斗鱼

玖融网

桔子分期

乐童音乐

陆金所

绿能宝

拍拍贷

钱爸爸

乾贷网

钱多多

人人分期

仁仁分期

人人聚财

融金所

生菜金融

天使街

投哪网

团贷网

微贷网

温州贷

信融财富

易通贷

宜信

翼龙贷

银湖网

银票网

有利网

云筹

招商贷

众信金融

资本汇

北京银行

朝阳银行

广发银行

杭州银行

恒丰银行

华润银行

徽商银行

江苏银行

建设银行

南京银行

宁波银行

宁夏银行

农商银行

青岛银行

银联

招商银行

郑州银行

中国工商银行

中国交通银行

中国民生银行

中国农业银行

中国银行

中国邮政储蓄银行

中信银行

安邦保险

安华农业保险

长安责任保险

长城人寿保险

长生人寿

鼎和保险

都邦保险

泛华保险

复星保德信

国元农业保险

华安保险

华农财产保险

华泰财产保险

华泰人寿保险

华夏人寿

江泰保险

利安人寿

利宝保险

民安财产保险

民生人寿

前海人寿

泰康人寿

太平保险

太平洋保险

泰山财产保险

天安人寿保险

现代财产保险

信诚人寿保险

信达保险

幸福人寿保险

新华保险

阳光保险

亚太财险保险

永安财产保险

永诚财产保险

友邦保险

中国大地保险

中国平安保险

中国人寿财产保险

中华联合财产保险

中融人寿保险

中银保险

紫金财产保险

渤海证券

德邦证券

东方证券

东吴证券

方正证券

广州证券

国都证券

国联证券

国泰君安

国信证券

国元证券

恒泰证券

华安证券

华西证券

华英证券

九州证券

南京证券

平安证券

西部证券

中航证券

中山证券

中投证券

中邮证券