【重磅】FreeBuf发布2017金融行业应用安全态势报告

在互联网金融发展如此兴盛的2016年,传统金融机构也期望借由数字化热潮来推进业务发展,这已经成为金融机构近两年来的重要业务增长点,也成为包括银行、证券和保险公司在内的金融机构的共识。 金融服务企业们正在寻求各种机会,希望能够利用技术来定义、差别化或支持他们的业务战略。他们将全数字化转型视为获得业务价值、颠覆市场和领先竞争对手的一种方式。 但是,随全数字化能力而来的还有复杂性。互联网金融本身数字化属性,以及传统金融机构数字化转型带来的是数据、系统和网络各方面的风险。

FreeBuf安全研究院期望和合作伙伴一起,借由金融行业应用安全态势报告来反映该行业在应用安全等方面的现状和趋势。在经过大量的数据统计、外加问卷和走访,以及合作伙伴的支持下,FreeBuf安全研究院领衔的《2017金融行业应用安全态势年度报告》正式发布了。

用于支撑本次报告的研究方法和信息来源包括:

FreeBuf安全研究院通过采集23898项数据,配合合作伙伴的数据支持,经过技术专家和专业安全团队组成的评定小组所做的数据分析,最终从银行、保险、证券、互联网金融四个金融行业大分类,针对应用安全问题及安全漏洞态势进行综合分析和评定。 为进一步探究金融行业应用安全问题背后的成因,FreeBuf安全研究院在过去一年中走访了198家企业,与合作伙伴一起下发超过200张问卷,针对金融机构安全管理、业务风险做深入调查。 包括思科、国家信息技术安全研究中心在内的合作伙伴为本次调研报告提供了大量数据支持。

因此,本次调研报告能够更到位地体现2016年全年金融行业应用安全态势,并期望对金融行业的持续健康发展发挥参考价值。

而从这份报告中,我们的主要研究结果和报告的关键包括有:

• 越来越多的金融机构开始意识到,信息安全在业务发展中的作用不再只是“降低风险”,而是促成业务发展的“核心竞争力”。 • 金融机构几乎一致认为,专业安全人才的匮乏是安全问题难以解决的最大原因,而安全技术和产品从来都不是制约其安全问题解决的根源。安全人才的短缺,正是企业安全专业人员担心安全工具和解决方案无法充分发挥作用的原因。 • 更多金融机构会持续加大信息安全预算投入;来的安全人才也会越来越多,但由于安全市场对专业性要求越来越高,攻击复杂程度也越来越高,金融机构的安全人才匮乏会成为常态。 • 由于安全预算和人才的匮乏可能会是常态,借助第三方安全服务、安全众测帮助机构缓解安全问题已经成为许多金融机构的选择。 • 建立威胁情报共享制度已经成为金融机构的共识。大数据和移动技术2016年正在极速推进金融行业的迈进,甚至改变国人生活方式;在如此急速的发展中,攻击面正在持续扩展,金融机构的安全问题因此变得更加突出,建立威胁情报共享机制、共同抵御外部攻击或成为趋势。 • 所有金融机构最关注的安全问题是“信息泄露”,全年信息泄露问题不仅很大,而且没有遭遇信息泄露的金融机构普遍也在担心这一问题。《中华人民共和国网络安全法》的部分条款为保护企业组织的信息安全提供了法律依据,该法案的颁布和即将实施也表明这一问题的迫切性。 • 金融机构对于安全漏洞的响应速度快于企业市场平均水平,但仍旧不够快。 • 互联网金融的移动App已经成为应用安全中的大问题,广泛存在的问题包括App仿冒、通信数据明文发送、敏感信息泄露等。 • 由于许多金融机构很多情况下依赖扫描器,而扫描器对逻辑业务安全漏洞检出率低,如批量重置密码、越权操作等,使逻辑业务安全漏洞增长趋势远高于通用漏洞; • 传统金融机构在漏洞数量上远多于互联网金融,其中保险行业已经成为该领域安全问题的重灾区,其漏洞数量、漏洞危害程度和利用难易度在整个金融行业都显得非常不乐观。 • 互联网的发展让企业组织可遭遇的攻击面越来越大。绝大部分金融机构都已经意识到,要担心的问题并不是攻击是否会发生,而是何时会发生——构建完美的防护是不现实的,但是可以通过限制攻击者的行动空间,来抑制其对资产的危害,从而最大限度降低风险和威胁的影响。 作为一种可行的措施,金融机构可以将所有安全工具简化为一套互联的集成安全架构,可简化检测和缓解威胁的过程。相较以往主体专注于预防的投入,金融机构普遍开始在安全方面加大对检测和响应的投入。

此外,延续过往金融行业应用安全态势报告的传统,《2017金融行业应用安全态势年度报告》也将国内的金融行业划分为互联网金融、银行、保险、证券和四个分类,并对这些分类中不同金融机构在安全漏洞态势和企业综合实力两个方面进行了考察,以安全态势象限的方式来呈现这些企业机构在这两个维度上的综合表现,分别如下:

点击图片可放大

点击图片可放大

点击图片可放大

点击图片可放大

报告还对2017年国内金融行业应用层面面对的主要安全漏洞进行了详细分析,并针对安全漏洞现状提出相应的建议和可行的解决方案。

最终我们借由报告呈现的数据和研究结果,对2017年金融行业应用安全的趋势发展做了相应预测,以更全面的视角来观察和预见中国金融行业应用安全的未来,这些趋势预测包括:

• 金融机构在安全方面的投入已经从纯粹的防护,将注意力更多转移到了检测和响应; • 鉴于攻击面的持续扩展,以及攻防不对称的现状,新的一年会看到越来越多的金融机构共建威胁情报机制,以期共同抵御外部攻击; • 更多金融机构会持续加大信息安全预算投入;那些在预算方面有限,安全人才匮乏的中小型金融机构会愈发依赖第三方安全服务; • 对金融机构以及国内的更多行业而言,虽然国家正在着力培养安全人才,未来的安全人才也会越来越多,但由于安全市场对专业性要求越来越高,攻击复杂程度也越来越高,金融机构的安全人才匮乏会成为常态; • 随安全众测模式在过去一年中的发展,也将有越来越多的金融机构接受这种模式,采用安全众测的金融机构数量会在2017年持续增多; • 绝大部分金融机构对于金融云的安全问题格外关注,这表明越来越多的金融机构已经上云或者准备上云,所以云安全很快就会成为金融行业的关注重点。

完整报告下载

更多内容参见完整版《2017金融行业应用安全态势年度报告》:

链接: https://pan.baidu.com/s/1nvfTyhb 密码: nhtt

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-03-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯研究院的专栏

董俊峰:大数据是重塑金融竞争格局的重要支撑

  12月18日,由新华网和中国科学院《互联网周刊》联合主办的2014中国互联网经济年会金融分论坛在北京JW万豪酒店隆重举办。来自互联网金融界的行业协会、知名专...

20690
来自专栏腾讯研究院的专栏

大数据等技术进步驱动互联网金融创新

  近日,在由决策者会议策划集团主办的第五届互联网金融与支付创新年度盛会上,有专家指出,互联网带来了很好的商业模式变革,传统银行一般是业务驱动技术,业务主导技术...

22250
来自专栏腾讯研究院的专栏

从四种商业场景读懂区块链

徐思彦  腾讯研究院研究员   比特币诞生七年之后,其背后的区块链技术成为了2016年最受关注的技术之一。人们普遍认为,今天的区块链技术就和20年前的因特...

28590
来自专栏腾讯研究院的专栏

通过“大数据”监管互联网金融是否可行?

  互联网和金融的融合已成趋势。不论在互联网业内还是在传统金融业内,各类互联网金融业务近年来都获得迅猛成长。如何监管互联网金融,既把握好风险防范底线,又促进行业...

281100
来自专栏腾讯研究院的专栏

腾讯研究院专家受邀讲课:互联网金融企业如何规范广告宣传

深圳市互联网金融协会专题培训会系列之二—— 互联网金融行业广告宣传合法合规专题培训会   2016年9月1日,《互联网广告管理暂行办法...

22250
来自专栏腾讯研究院的专栏

金融新革命:区块链、数字货币和去中心化的未来

肖 风  万向区块链实验室发起人  中国区块链研究联盟副主任   应该承认,比特币区块链当初是一群极端无政府主义者创造出来的,他们试图在虚拟世界里过无约束...

25690
来自专栏腾讯研究院的专栏

殷剑锋:互联网金融是互联网金融还是大数据金融

殷剑锋:非常荣幸能够在这里跟大家分享我们最近的一点研究心得。 现在,互联网金融是非常时髦的词汇,从年初开始,我们一直在跟踪研究,研究来研究去,反正就那点内...

27790
来自专栏腾讯研究院的专栏

原味P2P也让人不放心,2017年互联网金融将如何发展

image.png 李 刚  腾讯研究院首席研究员   2016年,一帮挂羊头卖狗肉的国产互联网金融公司老板跑路,戳破了P2P泡沫,舆论哗然。回头看这波自...

19560
来自专栏腾讯研究院的专栏

跨境支付:区块链的应用与挑战

巴洁如  腾讯研究院高级研究员  过去的五十年中,技术创新已成为金融服务产业转型升级过程中的重要驱动力。从半导体、中央处理器、个人电脑、互联网、智能设备...

84650
来自专栏腾讯研究院的专栏

P2P公司用大数据扩大企业边界

  2014年,互联网金融界最火的名词非P2P莫属,伴随着平台数量和类型的快速增长,业界对于P2P业务未来的成长性和发展性,也不禁产生了更多的期待。“大数据”...

19760

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励