【重磅】FreeBuf發布2017金融行業應用安全態勢報告

* FreeBuf安全研究院榮譽出品，轉載須註明來自FreeBuf.COM，請聯繫help@freebuf.com

在互聯網金融發展如此興盛的2016年，傳統金融機構也期望藉由數字化熱潮來推進業務發展，這已經成為金融機構近兩年來的重要業務增長點，也成為包括銀行、證券和保險公司在內的金融機構的共識。

金融服務企業們正在尋求各種機會，希望能夠利用技術來定義、差別化或支持他們的業務戰略。他們將全數字化轉型視為獲得業務價值、顛覆市場和領先競爭對手的一種方式。

但是，隨全數字化能力而來的還有複雜性。互聯網金融本身數字化屬性，以及傳統金融機構數字化轉型帶來的是數據、系統和網路各方面的風險。

FreeBuf安全研究院期望和合作夥伴一起，藉由金融行業應用安全態勢報告來反映該行業在應用安全等方面的現狀和趨勢。在經過大量的數據統計、外加問卷和走訪，以及合作夥伴的支持下，FreeBuf安全研究院領銜的《2017金融行業應用安全態勢年度報告》正式發布了。

用於支撐本次報告的研究方法和信息來源包括：

FreeBuf安全研究院通過採集23898項數據，配合合作夥伴的數據支持，經過技術專家和專業安全團隊組成的評定小組所做的數據分析，最終從銀行、保險、證券、互聯網金融四個金融行業大分類，針對應用安全問題及安全漏洞態勢進行綜合分析和評定。

為進一步探究金融行業應用安全問題背後的成因，FreeBuf安全研究院在過去一年中走訪了198家企業，與合作夥伴一起下發超過200張問卷，針對金融機構安全管理、業務風險做深入調查。

包括思科、國家信息技術安全研究中心在內的合作夥伴為本次調研報告提供了大量數據支持。

因此，本次調研報告能夠更到位地體現2016年全年金融行業應用安全態勢，並期望對金融行業的持續健康發展發揮參考價值。

而從這份報告中，我們的主要研究結果和報告的關鍵包括有：

? 越來越多的金融機構開始意識到，信息安全在業務發展中的作用不再只是「降低風險」，而是促成業務發展的「核心競爭力」。

? 金融機構幾乎一致認為，專業安全人才的匱乏是安全問題難以解決的最大原因，而安全技術和產品從來都不是制約其安全問題解決的根源。安全人才的短缺，正是企業安全專業人員擔心安全工具和解決方案無法充分發揮作用的原因。

? 更多金融機構會持續加大信息安全預算投入；來的安全人才也會越來越多，但由於安全市場對專業性要求越來越高，攻擊複雜程度也越來越高，金融機構的安全人才匱乏會成為常態。

? 由於安全預算和人才的匱乏可能會是常態，藉助第三方安全服務、安全眾測幫助機構緩解安全問題已經成為許多金融機構的選擇。

? 建立威脅情報共享制度已經成為金融機構的共識。大數據和移動技術2016年正在極速推進金融行業的邁進，甚至改變國人生活方式；在如此急速的發展中，攻擊面正在持續擴展，金融機構的安全問題因此變得更加突出，建立威脅情報共享機制、共同抵禦外部攻擊或成為趨勢。

? 所有金融機構最關注的安全問題是「信息泄露」，全年信息泄露問題不僅很大，而且沒有遭遇信息泄露的金融機構普遍也在擔心這一問題。《中華人民共和國網路安全法》的部分條款為保護企業組織的信息安全提供了法律依據，該法案的頒布和即將實施也表明這一問題的迫切性。

? 金融機構對於安全漏洞的響應速度快於企業市場平均水平，但仍舊不夠快。

? 互聯網金融的移動App已經成為應用安全中的大問題，廣泛存在的問題包括App仿冒、通信數據明文發送、敏感信息泄露等。

? 由於許多金融機構很多情況下依賴掃描器，而掃描器對邏輯業務安全漏洞檢出率低，如批量重置密碼、越權操作等，使邏輯業務安全漏洞增長趨勢遠高於通用漏洞；

? 傳統金融機構在漏洞數量上遠多於互聯網金融，其中保險行業已經成為該領域安全問題的重災區，其漏洞數量、漏洞危害程度和利用難易度在整個金融行業都顯得非常不樂觀。

? 互聯網的發展讓企業組織可遭遇的攻擊面越來越大。絕大部分金融機構都已經意識到，要擔心的問題並不是攻擊是否會發生，而是何時會發生——構建完美的防護是不現實的，但是可以通過限制攻擊者的行動空間，來抑制其對資產的危害，從而最大限度降低風險和威脅的影響。

作為一種可行的措施，金融機構可以將所有安全工具簡化為一套互聯的集成安全架構，可簡化檢測和緩解威脅的過程。相較以往主體專註於預防的投入，金融機構普遍開始在安全方面加大對檢測和響應的投入。

此外，延續過往金融行業應用安全態勢報告的傳統，《2017金融行業應用安全態勢年度報告》也將國內的金融行業劃分為

互聯網金融、

點擊圖片可放大

點擊圖片可放大

點擊圖片可放大

點擊圖片可放大

報告還對2017年國內金融行業應用層面面對的主要安全漏洞進行了詳細分析，並針對安全漏洞現狀提出相應的建議和可行的解決方案。

最終我們藉由報告呈現的數據和研究結果，對2017年金融行業應用安全的趨勢發展做了相應預測，以更全面的視角來觀察和預見中國金融行業應用安全的未來，這些趨勢預測包括：

? 金融機構在安全方面的投入已經從純粹的防護，將注意力更多轉移到了檢測和響應；

? 鑒於攻擊面的持續擴展，以及攻防不對稱的現狀，新的一年會看到越來越多的金融機構共建威脅情報機制，以期共同抵禦外部攻擊；

? 更多金融機構會持續加大信息安全預算投入；那些在預算方面有限，安全人才匱乏的中小型金融機構會愈發依賴第三方安全服務；

? 對金融機構以及國內的更多行業而言，雖然國家正在著力培養安全人才，未來的安全人才也會越來越多，但由於安全市場對專業性要求越來越高，攻擊複雜程度也越來越高，金融機構的安全人才匱乏會成為常態；

? 隨安全眾測模式在過去一年中的發展，也將有越來越多的金融機構接受這種模式，採用安全眾測的金融機構數量會在2017年持續增多；

? 絕大部分金融機構對於金融雲的安全問題格外關注，這表明越來越多的金融機構已經上雲或者準備上雲，所以雲安全很快就會成為金融行業的關注重點。

完整報告下載

更多內容參見完整版《2017金融行業應用安全態勢年度報告》：

鏈接: https://pan.baidu.com/s/1nvfTyhb 密碼: nhtt

* FreeBuf安全研究院榮譽出品，轉載須註明來自FreeBuf.COM，請聯繫help@freebuf.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！