2020年伊始,一场突如其来的疫情给各行各业都按下了「慢放」键,也因此让我们有了更充分的时间来总结思考2019年的行业形势。在平稳迈过疫情这道坎的同时,为2020年接下来的发展积蓄动力。
2019年,金融行业逐渐从爆雷潮的动荡趋于平稳。面对移动金融、区块链等新趋势的发展、传统金融数字化转型,网络安全成为维系行业稳定发展的重要保障。
在这样的背景下,FreeBuf咨询联合深信服,通过大量调研和分析,汇成这份《2019年金融行业网络安全报告》,尽可能将一个完整的金融安全态势展现在大家眼前,以此对2020年甚至更长远的安全工作作出一个适当的规划。
从这份报告中,我们的主要研究结果和报告的关键发现有:
1.金融行业的发展离不开信息安全系统的平稳运行,进入等保2.0时代,金融机构安全建设需要全方位关注网络、系统、数据、人员等多个维度,进一步将安全与业务融合,构建一体化的安全架构。
2.自从P2P爆雷风波之后,监管机构对于金融行业的监管明显有了转变。从最初的合规为主到现在的合规、技查双管齐下。
3.作为国家安全的重要组成部分,APT、软件供应链攻击、系统漏洞、恶意代码、内部人员作案等是金融安全所面临的主要风险点。
4.数据是金融机构最核心的资产,在2019年热门漏洞统计中,涉及敏感信息泄露的漏洞高居榜首。这或许是信息泄露事件频发的主要原因之一,也进一步督促金融机构完善数据安全治理工作。
5.金融机构面临的信用风险与网络安全风险并重。2019年,金融行业所遭受的业务反欺诈请求数大幅增长,网络钓鱼、暴力破解、薅羊毛等恶意行为依然是行业重灾区。一定程度上反映出平台验证机制不够完善,同时用户的安全防范意识还存在不足。
6.据全年监测数据,金融行业所遭受的恶意软件攻击中,挖矿类占比高达44%,位列第一;危害最大的后门软件占比达到20%;此外蠕虫和木马远控类也是攻击者最偏爱的攻击方式之一。而在勒索软件攻击中,WannaCry依然是最活跃的家族,占比高达27%。
7.和去年的热门漏洞相比,今年的前十热门漏洞有些许变动。敏感信息泄露上升至最为热门的漏洞,与注入、弱口令、命令执行及未授权访问等类型居于前五。
8.在金融行业 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高 危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞,其中 6.7 个 为高危漏洞。
9.网络安全人才缺失是金融行业绕不开的话题,尤其是更高职级安全负责人的缺失更为明显。未来五到十年内,将极有可能涌现重视安全的金融企业设置首席信息安全官CISO岗位。
2019年,金融行业网络安全仍然在对抗中加强。不仅有来自攻击者的挑战,还有攻防演练活动的考验。监管机构除了注重企业安全建设合规问题之外,同时也通过技术手段加强督查力度。2020年,攻防演练活动强度以及覆盖范围或将大幅提升,促使企业把安全建设不断优化的过程日常化。
除了一直被讨论的零信任安全架构之外,ATT&CK成为新晋年度安全技术热点,这些都将会在金融行业出现更多的实践,以此优化企业自身安全架构,迅速响应威胁,提升供给成本。而在人工智能、大数据、区块链等新技术投入应用的同时,其所产生的风险需要借助自身技术做规避,保障新技术应用的效果最大化。
专家推荐
Freebuf年度金融行业网络安全报告从系统和全面的分析该行业的网络安全发展态势和面对的挑战,并结合安全技术和行业风险场景的构建,提出有针对性的建设建议,为行业和产业的生态发展提供观点和思想。
——上海市信息安全行业协会金融科技安全专业委员会秘书长 秦峰
网络安全行业市场规模的大小很大程度取决于客户对于“安全”这件事的成本测算。与其他行业相比,金融行业因安全能力不足付出的代价直接与“经济效益”挂钩,所以对网络安全的重视程度和成本测算精度会高于其他行业——金融行业对网络安全供应商来说是一个比较有诱惑力的市场。深信服作为国内知名的网络安全厂商之一,对客户需求的挖掘与判断精准且富有经验;Freebuf作为中国安全行业顶尖技术交流社区,对中国网络安全产品技术能力有较深的认识与积累。二者强强联合完成的《2019年金融行业网络安全报告》具有很强的参考性,推荐大家阅读。
——数说安全创办人/独立行业研究员 仙儿
本报告是我所看到今年最好的漏洞角度的金融行业网络安全报告。其不仅从监管、威胁、新技术、新模型、人才等多维度纵览了当前金融行业的网络安全现状,更从业务场景入手、深度分析了当前金融行业风险和漏洞的发展趋势,并提供了详实的案例供读者进行理解。强烈推荐金融行业网络安全从业人员及爱好者进行阅读。
——Sec-UN网站创始人/威胁情报推进联盟发起人 金湘宇
出品方
关于 FreeBuf 咨询
FreeBuf.com是斗象科技旗下国内领先的互联网安全新媒体,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络安全网站与社区。
FreeBuf 咨询集结安全行业经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。
关于深信服
深信服科技股份有限公司是一家专注于企业级安全、云计算及基础架构的产品和服务供应商,拥有智安全、云计算和新IT三大业务品牌,致力于承载各行业用户数字化转型的基石性工作,从而让用户的IT更简单、更安全、更有价值。未来,深信服将继续扎根金融行业,积极助力实现金融业务多元化和智能化,携手监管机构和金融用户共建安全稳定的业务环境,为金融业的数字化转型构筑稳固基石。
*FreeBuf 咨询荣誉出品,未经许可严禁转载使用,欲合作请联系 FreeBuf 市场宋经理 :
电话:021-60495134/15311422102(同微信)
邮箱:dandan.song@tophant.com