漏洞盒子曾老师解读《金融行业态势报告》

2017-04-03 320676人围观 ,发现 3 个不明物体 周边资讯

盒子妹写在文章前:近期我们的FB安全研究院终于发布了万众期待的金融行业安全态势年度报告,作为FB的亲姊妹,盒子妹表示还不赶紧蹭一波热点,跟上节奏推出我们漏洞盒子全新系列节目——漏洞盒子偶像天团哦不,漏洞盒子专家访谈,噔噔噔!

本期访谈嘉宾:曾老师(漏洞盒子白帽子们的好老湿,斗象科技高级安全专家,多年安全行业从业经验,具备丰富的安全服务工作经验,上海市信息安全技能竞赛专家

主题:金融行业态势报告深度解读

各位盒子平台厂商及广大用户,大家好,我是斗象科技高级安全研究员曾老师,近日我们FreeBuf发布了针对金融行业的安全态势年度报告,对金融行业目前的安全技术、安全管理、常见风险分析等做了详细陈述。今天我就抛砖引玉,从企业安全管理的角度分析一下此次行业安全态势报告的具体内容,希望能对企业安全发展提供一些微薄的支持。

一、行业安全现状   

态势报告中特别指出,应用安全对业务有“促进增长”的作用,信息安全将成为业务发展的“核心竞争力”。这一点不难理解,从报告中列举的支付场景、银行卡场景、优惠券等典型场景中,我们可以看到种种漏洞、羊毛党及业务风险层出不穷。此类业务场景与用户息息相关,危害影响范围广。针对漏洞响应,尽管近半的金融机构目前已能达到在24小时内做出响应并更新,但由于当前攻防不对等的现状及越来越复杂的攻击手段,如何进一步提高应急响应的速度无疑是厂商面临的一大挑战。这要求金融机构之间进行威胁情报共享,而说到这一点,漏洞盒子携FreeBuf及网藤风险感知系统所构建的全网威胁情报库目标也正是致力于厂商对漏洞威胁的预防。

二、企业管理

 在了解金融行业安全现状后,对于相关厂商而言,该从哪些方面着手落实相关制度与措施呢?笔者简单概括了以下3个方面:

1.法务

金融行业作为重点行业,网络安全法重点提到了,在网络安全等级保护的制度上,实行重点保护。随着《网络安全法》今年6月的正式实施,相关厂商更应了解相关规章制度,从法务的角度落实安全工作。

2.预算及人员

从态势报告调查的数据中可以看出,近半的金融机构都将加大在安全预算上的投入。而对比目前国内厂商和欧美国家厂商在安全方面的支出,信息安全产业依然有着极大的发展空间,与目前安全预算问题相辅相成的是大部分厂商都面临的专业安全人员匮乏的现状,该情况即包含了专业人员的短缺,也暴露了厂商相关人员安全意识、安全培训的不足。由于安全预算和人员的匮乏会成为常态,借助漏洞盒子的安全众测、安全服务(如:渗透测试、代码审计、企业风险评估、资产脆弱性评估等)也可以有效帮助厂商缓解相关问题并优化成本支出。

3.管理方式

如前文所言,结合FreeBuf研究院走访的结果,绝大部分金融行业机构人员已经意识到预防攻击,完美的防御是并不现实的——企业应在风险管理方式上有效结合防护与检测响应的组成比例,从之前90%的防护和10%的检测响应过渡到60%的防护和40%的检测响应。

而在检测响应方面,为了更好的做到风险的“精准感知”,从预防的角度助力企业安全的发展、缓解企业安全风险,斗象旗下网藤风险感知系统推出了“流行漏洞预警”功能,以近期S2-045, S2-046漏洞为例,网藤在第一时间对2000多家企业推送了漏洞预警信息邮件,包括漏洞信息、影响面(具体IT资产信息)、修复缓解建议等,提供相应解决方案,协助企业修复漏洞,在事态进一步扩大前,将损失降到最低。

*[小广告]感兴趣的诸位可以移步https://www.riskivy.com/act/vuln申请试用

三、风险缓解

针对态势报告中数据的呈现,漏洞盒子相关专家已经总结了相关意见建议,包括基础设施安全、资产风险管理、漏洞管理、安全运营、安全产品等各方面。在这里笔者就不展开赘述,诸位可以继续关注FreeBuf和漏洞盒子,《漏洞盒子专家访谈》系列也将在下一期重点探讨企业如何应对安全事件,敬请期待!

短的.png

Loading...
css.php