预告 | FreeBuf 2018金融行业应用安全态势报告抢先看

2018-12-06 701358人围观 ,发现 7 个不明物体 安全报告

2018年,全球互联网数据进一步呈现指数级增长之势,传统金融行业数字化转型基本完成。金融机构面对人工智能、区块链等新一轮信息技术,需要建立系统开发、IT技术、产品、客户关系等多方面的能力,面临的威胁呈现出更加多元化、复杂化的趋势。与金融机构自身研发和投资并购相比,寻求安全合作的资金投入和风险相对较小,可以有效降低不确定性。

FreeBuf安全研究院期望与合作伙伴一起,通过大量调研与分析,借由《金融行业应用安全态势报告》来反映该行业在应用安全方面的年度真实现状与趋势。今年依然从银行、证券、保险、互联网金融四个金融行业大分类,针对应用安全问题及安全漏洞态势进行综合分析和评定。

用于支持本次报告的研究方法和信息来源包括

FreeBuf研究院经过由技术专家和专业安全团队组成的评定小组,对网络公开资料及合作伙伴提供的近万条数据进行研究分析。

为进一步了解金融行业面临的问题及深层成因,FreeBuf研究院走访了数百家企业,并发布了超过200张行业问卷。

包括漏洞盒子、国家信息技术安全研究中心等在内的合作伙伴为本次研究报告提供了大量数据支持,安恒信息及瑞数信息公司提供了专业内容支持。

图表-改.jpg

从这份报告中,我们的主要研究结果和报告的关键发现有

1、2018年国内金融行业数字化转型基本完成,超过90% 的金融业务已经基于网络空间进行。与此同时,企业在数据、网络与系统方面都将面临全新的安全威胁,25%的受访企业表示遭遇过重大安全事故,而100%的受访者都表示出现过安全问题。

2、以商业银行为代表的金融机构与互联网巨头之间掀起了新一轮合作热潮。中农工建四大行 与互联网巨头建立战略合作,合作内容涵盖网络安全、金融科技、智能硬件、场景共建、风险监控等。

3、当前环境下,金融机构的安全能力普遍有所提升,但安全人才匮乏问题仍然存在。据估计,我国金融行业的信息安全人才缺口高达2 0万人之多,从事整体安全建设的战略规划类人员、架构设计类安全人员和安全测试人员最为短缺。

4、现阶段严格遵循安全开发流程的金融机构不超过10%。然而, 在高昂的沉没成本反推下,处于不同发展阶段的金融机构均开始发力SDL框架的落地,将安全需求列为项目导入前期开发流程,从全局统筹,以安全赋能业务开发与实现。

5、机器学习等AI技术在风险控制和反欺诈领域 有了大量样本积累,准确率有所提升,在提高一致性和应用质量、降低错误率和成本以及关键过程自动化方面起到重要作用。未来随着准确率逐步提升,金融机构 将进一步减少低水平人力消耗,让安全人员能投入到更加重要的工作中去。

6、金融行业的发展带来应用安全威胁的不断增长,业务场景下的自动化攻击(Bots)逐渐成为业内重要关注点。据统计,金融行业网站流量中超过70%由自动化工具发起,而攻击流量中约90%都是自动化工具,对自动化攻击的防护已经成为金融反欺诈的核心。

7、从漏洞数量来讲,互联网金融明显少于传统金融,而从漏洞利用难易度来看,互联网金融显得更为脆弱。金融机构遭遇的热门漏洞按照威胁程度排行,命令执行、SQL注入 及弱口令排名靠前;从数量上来看,逻辑漏洞、命令执行和XSS漏洞分列前三。

8、区块链技术在金融行业的应用依然处于概念阶段,在加密货币以外尚未有成熟案例。但其去中心化、开放式、加密性以及解决信任问题的特性,未来有望在金融机构的征信、交易安全、数据安全、信息隐私保护等方面实现应用。

《2018金融行业应用安全态势报告》完整版即将发布,并将于FIT 2019中国首席信息安全官高峰论坛(12月11日)上进行全方位解读,敬请期待!

发表评论

已有 7 条评论

取消
Loading...
css.php