2018年第二季度中國銀行業網絡風險報告
作者:星期五, 九月 21, 20180

第1章 概述

1.1 關于報告

21世紀的今天,信息技術越來越多的被應用于銀行的各項業務,在給業務辦理和組織運營帶來方便和高效的同時,也帶來了極大的安全隱患。銀行作為一個特殊的機構,關乎國家經濟命脈和人民生活。銀行加強信息安全的主要目的就是為了保障信息化的持續穩定發展。銀行信息安全是業務開展的基礎,是運營穩健的保障。

5月,我們發布了銀行業第一季度網絡安全分析報告,此次“安全值”同樣采樣了城市商業銀行、股份制商業銀行、國有商業銀行、農村商業銀行、政策性商業銀行等5大類銀行的160家機構,從互聯網的角度從網絡攻擊、域名資產黑名單、垃圾郵件、僵尸網絡、惡意代碼、安全漏洞等6大類安全風險指標對采樣銀行進行了安全分析,將分析結果整理成本報告。

1.2 主要發現

互聯網安全形勢日趨復雜和嚴峻,銀行面臨的風險壓力倍增,其中國有商業銀行和股份制銀行等大型銀行面臨的互聯網風險更為嚴重。

從五類銀行的橫向比較結果來看,農村商業銀行受到的互聯網安全風險威脅相對較小。

24.4% 的銀行機構使用了公有云服務,主要以阿里云和騰訊云為主。云服務在銀行業整體互聯網服務中占比較低。

采樣銀行中共發現7553個CVE高危安全漏洞,42.5%機構受到影晌,其中數量最多的是“IIS身份驗證內存損壞漏洞”。

16%的銀行機構遭受到了總計1732次DDoS拒絕服務攻擊。

1.3 名詞解釋

  • 安全漏洞:主機操作系統和安裝的組件存在的嚴重的高危漏洞,會使服務器遭受病毒或黑客入侵,引起信息泄露或篡改。
  • 網絡攻擊:企業在互聯網上的應用系統或網絡遭受到DDoS拒絕服務攻擊,包括TCP攻擊或UDP攻擊的報警信息,拒絕服務攻擊通過流量攻擊的方式攻擊系統或網絡,過大的攻擊流量會引起服務中斷。
  • 垃圾郵件:組織郵箱服務器被列為垃圾郵件發送域,一旦被反垃圾郵件設備攔截,將導致用戶可能無法正常使用郵件。
  • 惡意代碼:來自國內外安全廠商的惡意代碼檢測結果,系統可能已經被植入后門、病毒或者惡意腳本。
  • 僵尸網絡:組織服務器被攻破,被當做“肉雞”不斷向外部發起掃描或者攻擊行為,服務器主機可能被入侵,存在后門被遠程控制。
  • 黑名單:域名或者IP地址被權威黑名單機構列入黑名單,用戶的正常網頁訪問可能被瀏覽器攔截或者IP網絡通訊被防火墻阻斷。

第2章 銀行及各金融領域風險概況

2.1 銀行與其他金融行業風險值對比

我們抽取了信托、金融綜合服務、銀行、保險、券商共五大大金融領域進行安全值分析。下圖為金融行業的5個領域安全值排名情況。

從研究結果來看,第二季度銀行業安全值得分為619分,網絡安全風險值較上季度有明顯下滑,其中第二季度五大類的金融行業網絡安全值均低于700,處于遭受網絡安全威脅的重災區。近年來“互聯網+金融”取得了—定成績,但同時也帶來了巨大的互聯網威脅。銀行業是關系國家的經濟命脈的重點行業,網絡安全威脅已經逐漸成為影響全球宏觀經濟與政治穩定的重要因素。

2.2 銀行業安全數據概況

安全值對全國160家銀行2018年第二季度的互聯網資產和面臨的網絡風險進行了重點分析,共識別了抽樣銀行機構共計32282個互聯網資產,其中域名341個,主機20798個,IP地址11143個;網絡風險項共計7105個,集中包括安全漏洞384個,網絡攻擊1832次,域名信息泄露151條,僵尸網絡533次,惡意代碼223個。

2018年上半年銀行業網絡風險概況

根據上表可知:

  • 同比第一季度銀行業網絡風險情況,安全漏洞數量上升至第一季度的六倍,各類銀行機構亟需加強安全漏洞掃描及修補的意識,高效預防不法分子的侵擾;
  • 網絡攻擊有所減少,但是數值依舊居高不下;
  • 域名信息泄露量同第一季度基本持平;
  • 僵尸網絡數量比前一季度增加了23%;
  • 惡意代碼較上季度上浮46%。

網絡風險依舊嚴峻,要自始至終堅持安全防范意識,逐步采取全面、可行的安全防護措施,把安全風險降低到最小程度。

第3章 銀行業風險四維評價

3.1 2018年第二季度銀行業四維評價

五類銀行網絡安全評價

從互聯網角度看,由于互聯網資產規模的巨大,網絡訪問流行度較高,股份制銀行及國有商業銀行面臨的互聯網風險較大,但股份制商業銀行的安全狀況任然有上升趨勢,可見第二季度股份制商業銀行的安全工作效果顯著。但各類銀行機構的安全值均低于700,屬于網絡安全高風險的范圍,銀行業的外部安全形勢日趨復雜和嚴峻。互聯網的放大效應也加劇了信息安全事件的影響,導致銀行面臨的聲譽風險倍增。

安全值借助大數據安全分析技術,能夠更好地解決天量安全要素信息的采集、存儲的問題。針對互聯網發現的各類安全事件數據,結合其頻率、影響、時間、數量等關鍵要素進行加權計算,從外部視角簡潔明了的量化了金融領域的安全威脅狀況,可以成為組織安全能力水平評估體系中的—項客觀依據。

名詞解釋:

  • 風險指數(R):Risk,評分區間(0-1000分),風險越高R值越低。
  • 資產規模(S):Scale,評分區間(0-10分),機構的資產數量越多S值越高。
  • 風險趨勢(T):Trend,評分區間(±1000分),當月與前一月R值變化趨勢。
  • 流行度(P):Popular,評分區間(0-100分),被訪問次數越多P值越高。

評估組織整體安全水平應通過內、外結合的評價方法,綜合評估安全發現識別和響應處置的效率。下圖是各類銀行安全值評分及互聯網資產的綜合概況。

五類銀行網絡安全評價及資產規模

根據五類銀行網絡安全值可以發現,國有商業銀行在五大類銀行中安全風險值最低,遭受網絡攻擊的可能性最大,這與國有商業銀行資產數量最多有分不開的關系,由于互聯網暴露面的增加,給安全工作帶來了非常大的難度,安全工作的效果難以評估。由上圖可知,銀行業各類機構的互聯網風險水平與其資產規模、訪問流行度均成正比。

3.2 銀行機構互聯網資產分析

銀行業160機構家機構中共發現互聯網資產32282個,包括組織注冊的域名341個,面向互聯網可訪問的主機地址20798個,以及公網開放的服務器IP地址11143個。為了分析銀行互聯網業務開展情況,利用下表數據統計了各類銀行平均資產數量:

互聯網資產數量統計

其中國有商業銀行每個機構平均擁有1023個互聯網資產,是各類銀行中最多的,這與其全國性的業務范圍有一定關系,也說明其面臨的互聯網威脅更為嚴峻,城市商業銀行中平均每個機構僅有67個互聯網資產。股份制商業銀行云遷移比例最高為50%。

名詞解釋:

  • 域名:組織經過ICP備案的域名;
  • 主機:面向互聯網開放的主機服務地址(例如Web網站、Email服務、接口服務、業務系統等);
  • IP地址:在線系統使用的IP地址(包括本地服務器、IDC托管、云主機等);
  • 云遷移:有互聯網資產屬于云服務的機構。

第4章 銀行第二季度安全風險總覽

4.1 五大銀行網絡風險概況

各類安全風險影響機構數量占比

根據表格中數據可以得出,安全漏洞、隱私保護是所有銀行面臨的共同安全問題,其中國有商業銀行及政策性銀行在第二季度均出現過高危漏洞;由于大型銀行網絡業務發展較快,互聯網資產規模較大,大部分業務均可在網上辦理,導致了國有商業銀行及股份制商業銀行面的互聯網威脅較多;政策性銀行網絡業務較少,因此,網絡攻擊及惡意代碼威脅明顯低于其他銀行。從總體平均水平來看,安全漏洞及惡意代碼、信息泄露是銀行業面臨的三大影響最大的風險。

同比第一季度網絡安全值,銀行機構網絡安全風險普遍增加,遭受各類攻擊的風險加大,在幾類銀行機構中皆存在著垃圾郵件、惡意代碼、僵尸網絡等網絡安全風險,一旦銀行機構發生惡意代碼或僵尸網絡事件,都可能導致業務中斷事件的發生,甚至影響到銀行的聲譽以及未來業務的良好開展。

第5章 安全漏洞分析

5.1 半數以上銀行機構存在安全漏洞隱患

2018年第二季度,銀行業評估的160家機構中,共發現7553個CVE (Common Vulnerabilities and Exposures) 漏洞,共140種漏洞,其中個數超過100個以上的漏洞有15種,53%的銀行機構存在比較嚴重的安全漏洞,漏洞類型為 202個CVE-2010-1256( IIS認證令牌處理遠程代碼執行漏洞),191個CVE-2010-1899(ASP實施棧消耗漏洞),166個CVE-2012-2532(OpenSSH 權限許可和訪問控制漏洞),162個CVE-2017-7679(Apache HTTP Server mod_mime緩沖區溢出漏洞),162個 CVE-2012-2531( IIS密碼信息泄露漏洞)。這些漏洞—旦被利用,可能會造成嚴重的信息泄露或者系統中斷,組織可以通過安裝補丁消除安全漏洞隱患,并遵循服務最小化原則。

安全漏洞分布

報告發現53%的銀行機構存在安全漏洞,其中最為普遍的為CVE安全漏洞,從信息系統生命周期來看,從設計、編碼到上線運行各環節都有可能造成安全漏洞,機構應建立完善的漏洞管理體系,加強人員管理,建立多方預防、及時發現、快速預警的常態化機制,規范安全制度等全方位提升安全能力。面對“互聯網+”新型信息安全威脅,及時分析銀行機構內存在的問題,研發有針對性的防御產品,形成產學研用一體化的良性循環。

5.2 安全漏洞詳細說明

漏洞詳細信息如下:

第6章 網絡攻擊

6.1 銀行機構網絡攻擊分布

網絡攻擊分布

2018年第二季度,評估的160家金融行業機構中,有16%的機構受到DDoS攻擊的威脅,共遭受到DDoS網絡攻擊1732次,其中城市商業銀行成為DDoS網絡攻擊的重災區。

拒絕式服務攻擊DDoS已經是當前互聯網安全比較常見的威脅,可以消耗系統和網絡資源,使其無法為正常用戶提供服務。這對銀行業來講幾乎是致命的打擊,面對來自黑客或者競爭對手的威脅,如支付、轉賬系統,—旦支付接口無法提供服務,將造成的將是用戶財產以及銀行信譽的雙重損失。

針對目前不斷演化的網絡威脅形勢,銀行機構應將DDoS防御視為IT安全的首要任務。網絡攻擊重則會造成銀行機構失去業務機會,即損失合同或運營終止,再者為信譽損失、負面的客戶體驗或合作伙伴體驗會讓銀行機構喪失簽署新合同或銷售的機會。部分會導致因相關服務無法訪問而損失當前客戶。故應預先評估所有可能的風險,采取措施針對DDoS攻擊進行防護。

6.2 DDoS攻擊類型及分布情況

第二季度銀行業遭受DDoS攻擊攻擊1732次,詳細見下表:

 

根據上表結果,UDP放大攻擊和TCP半連接攻擊占據網絡攻擊的主要部分,對于這兩種類型的DDOS攻擊,建議采取以下措施:對于UDP放大攻擊,可以通過限制UDP包大小,或建立UDP連接規則來達到過濾惡意UDP包,減少攻擊發生的效果;防范TCP半連接攻擊,主要通過縮短SYN響應時間或設置SYN Cookie過濾TCP包等手段來實施。

6.3 其他攻擊分布情況

銀行機構惡意代碼和隱私泄露分布

目前,惡意代碼攻擊目標性越來越強,如果內網終端的安全得不到全面保障,惡意代碼勢必將全面進入內部終端,安裝設置后門程序、盜竊密碼,占用網絡帶寬,嚴重影響工作效率,增加支持成本。致使銀行機構的用戶財產及業務數據面臨被竊取丟失的風險。

根據表中數據可知,國有商業銀行和股份制商業銀行遭受惡意代碼攻擊占比最大,銀行機構共被惡意代碼攻擊151次。由于惡意代碼有相當的復雜性和行為不確定性,防范它需多種技術綜合應用,例如:惡意代碼監測預警、傳播抑制、漏洞自動修復、阻斷惡意代碼等等。

五大類銀行機構的域名隱私泄露占比均高于85%,其中國有商業銀行、股份制商業銀行、政策性銀行均為100%,各大銀行機構可以根據各自不同需求登錄WHOIS更改隱私設置。

第7章 更多信息

本報告由“安全值”團隊提供,如需更多、更詳細數據請與我們取得聯系。安全值是國內首個安全評價服務(SRS,Security Rating Service)。目前正面向企業提供免費評估服務,您可訪問安全值免費評估網站來獲取您的企業評估報告。我們同樣面向全國各行業的安全狀況進行分析。如果您需要長期訂閱安全值分析報告,可掃下方二維碼進入“牛市”來訂閱安全值年服務(全年每月一份安全值評估報告)。

聯系我們:

  • 安全值網站地址:https://www.aqzhi.com
  • 安全值知識庫:http://wiki.aqzhi.com
  • 服務郵箱:[email protected]
  • 聯系電話:400-070-6887
  • QQ:2674163033

 

北京谷安天下科技有限公司

安全值團隊

2018年8月

第8章 附錄

8.1 銀行業高危漏洞清單

8.2 銀行分類列表

8.2.1 城市商業銀行

8.2.2 股份制商業銀行

8.2.3 國有商業銀行

8.2.4 農村商業銀行

8.2.5 政策性銀行

相關閱讀

2018年第一季度中國保險行業安全值報告

2018年第一季度中國銀行業網絡風險報告

2017年度銀行業網絡安全報告

 

分享:

相關文章

寫一條評論

 

 

0條評論