freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

重磅 | FreeBuf 2018金融行业应用安全态势报告
  • 关注
重磅 | FreeBuf 2018金融行业应用安全态势报告
2019-01-14 09:00:41

2018年,全球互联网数据进一步呈现指数级增长之势,传统金融行业数字化转型基本完成。金融机构面对人工智能、区块链等新一轮信息技术,需要建立系统开发、IT技术、产品、客户关系等多方面的能力,面临的威胁呈现出更加多元化、复杂化的趋势。与金融机构自身研发和投资并购相比,寻求安全合作的资金投入和风险相对较小,可以有效降低不确定性。

FreeBuf安全研究院期望与合作伙伴一起,通过大量调研与分析,借由《金融行业应用安全态势报告》来反映该行业在应用安全方面的年度真实现状与趋势。

用于支持本次报告的研究方法和信息来源包括

FreeBuf研究院经过由技术专家和专业安全团队组成的评定小组,对网络公开资料及合作伙伴提供的近万条数据进行研究分析。

为进一步了解金融行业面临的问题及深层成因,FreeBuf研究院走访了数百家企业,并发布了超过200张行业问卷。

包括漏洞盒子、国家信息技术安全研究中心等在内的合作伙伴为本次研究报告提供了大量数据支持,安恒信息及瑞数信息公司提供了专业内容支持。

图表-改.jpg

从这份报告中,我们的主要研究结果和报告的关键发现有

1、2018年国内金融行业数字化转型基本完成,超过90% 的金融业务已经基于网络空间进行。与此同时,企业在数据、网络与系统方面都将面临全新的安全威胁,25%的受访企业表示遭遇过重大安全事故,而100%的受访者都表示出现过安全问题。

2、以商业银行为代表的金融机构与互联网巨头之间掀起了新一轮合作热潮。中农工建四大行 与互联网巨头建立战略合作,合作内容涵盖网络安全、金融科技、智能硬件、场景共建、风险监控等。

3、当前环境下,金融机构的安全能力普遍有所提升,但安全人才匮乏问题仍然存在。据估计,我国金融行业的信息安全人才缺口高达2 0万人之多,从事整体安全建设的战略规划类人员、架构设计类安全人员和安全测试人员最为短缺。

4、现阶段严格遵循安全开发流程的金融机构不超过10%。然而, 在高昂的沉没成本反推下,处于不同发展阶段的金融机构均开始发力SDL框架的落地,将安全需求列为项目导入前期开发流程,从全局统筹,以安全赋能业务开发与实现。

5、机器学习等AI技术在风险控制和反欺诈领域 有了大量样本积累,准确率有所提升,在提高一致性和应用质量、降低错误率和成本以及关键过程自动化方面起到重要作用。未来随着准确率逐步提升,金融机构 将进一步减少低水平人力消耗,让安全人员能投入到更加重要的工作中去。

6、金融行业的发展带来应用安全威胁的不断增长,业务场景下的自动化攻击(Bots)逐渐成为业内重要关注点。据统计,金融行业网站流量中超过70%由自动化工具发起,而攻击流量中约90%都是自动化工具,对自动化攻击的防护已经成为金融反欺诈的核心。

7、从漏洞数量来讲,互联网金融明显少于传统金融,而从漏洞利用难易度来看,互联网金融显得更为脆弱。金融机构遭遇的热门漏洞按照威胁程度排行,命令执行、SQL注入 及弱口令排名靠前;从数量上来看,逻辑漏洞、命令执行和XSS漏洞分列前三。

8、区块链技术在金融行业的应用依然处于概念阶段,在加密货币以外尚未有成熟案例。但其去中心化、开放式、加密性以及解决信任问题的特性,未来有望在金融机构的征信、交易安全、数据安全、信息隐私保护等方面实现应用。

2018年,金融行业信息安全工作取得了重大进展。无线安全、数据安全、业务安全等是当前金融机构安全 工作中关注的重点,而漏洞众测、攻防演练等方式成为安全建设的有效支撑手段。未来一段时间,监管与政 策将继续完善,而大数据、威胁情报、态势感知、人工智能等近年来热门技术将在金融行业及金融安全领域 发挥关键作用。

结合问卷调查的统计数据,FreeBuf安全研究院对于2019年金融机构应用安全方面的发展趋势预测包括

1、鉴于行业的特殊性,DevSecOps在金融机构的推行较为缓慢,到2019年底约40%的企业将陆续实现 DevSecOps的部分框架落地。

2、金融机构面临的网络安全威胁比以往更加复杂,约30%的机构称将会在2020年之前建立起威胁情报共 享机制,共同抵御高级攻击。 

3、漏洞众测将在金融行业应用安全检测方面成为标准服务配置,并依托行业特性和金融机构需求进行更 多服务模式演进。

4、红蓝演练CTF竞赛对于信息安全建设的成效检测和水平提升有着切实作用,但竞赛的频率将呈下降趋 势。

5、增加安全投入是监管趋严的大环境之下的必然结果,会在未来几年保持持续增长之势。

6、随着安全服务公司能力提升,以及金融机构日益紧张的人力缺口,倾向于安全服务外包的企业将在2019 年底达到70%以上。

7、自动化威胁持续快速发展,新兴的动态安全技术可以有效增加服务器行为的不可预测性,将在未来几年 得到更加广泛的应用。

*FreeBuf安全研究院荣誉出品,转载须注明来自FreeBuf.COM,请联系help@freebuf.com

完整报告下载

更多内容参见完整版《2018金融行业应用安全态势年度报告》:

# 安全报告 # 金融
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
用于支持本次报告的研究方法和信息来源包括
    从这份报告中,我们的主要研究结果和报告的关键发现有
      结合问卷调查的统计数据,FreeBuf安全研究院对于2019年金融机构应用安全方面的发展趋势预测包括
        完整报告下载