近日,360互聯網安全中心發布《2016年中國網站安全漏洞形勢分析報告》稱,在網站高危漏洞大幅增長80%、漏洞的平均修復率僅為42.9%的背景下,政府機關網站的漏洞修復率卻高達77.1%,高危漏洞修復率更是高達90%,位居五大網站類型之首。與此相對,社會團體、個人和企業網站的修復率亟待提高:企業網站為45.5%,個人網站為40.1%,社會團體網站為38.3%。
這顯示在“網絡安全”已成國家戰略的背景下,我國各級政府機關對于網站安全的重視程度得到空前的提高。
IT/互聯網行業網站漏洞最多 政府機關網站漏洞修復率最高
2016年補天平臺收錄的網站備案類型主要集中在政府機關、事業單位、社會團體、企業、個人五個類別,因此對這五個備案類型進行具體的分析。
總體而言,補天平臺收錄的備案網站漏洞中,企業網站的漏洞數量是最多的,占比為50.3%,事業單位網站為24.7%,政府機關網站為16.0%,個人網站為6.6%,社會團體網站為2.5%。從高危漏洞網站來看,社會團體網站高危漏洞占比最多,為47.5%,企業網站為47.3%,事業單位網站為43.3%,政府機關網站為41.7%,個人網站為36.4%。
據補天平臺統計,政府機關網站的漏洞修復率是最高的,占比為77.1%,其次事業單位網站為68.1%,企業網站為45.5%,個人網站為40.1%,社會團體網站為38.3%。從高危漏洞修復率來看,政府機關網站同樣是修復最高的,高達90.0%,事業單位為56.7%,企業網站為48.5%,社會團體網站為48.2%,個人網站為42.7%。
在企業網站中的 IT/互聯網、金融、教育培訓、汽車交通、生產制造、電信運營商等十個重點行業網站中,IT/互聯網行業網站被報告的漏洞最多,占比為23.5%。
針對政府機關網站修復率最高的現象,360安全專家認為, 這說明隨著網絡安全成為國家戰略,政府機構對包括網站安全在內的網絡安全的重視程度得到空前提高。
據悉,《網絡安全法》對保護關鍵信息基礎設施進行了特別強調。上海交通大學信息安全工程學院院長李建華指出,縣級(含)以上黨政機關網站、重點新聞網站、日均訪問量超過100萬人次的網站,以及發生網絡安全事故后可能造成100萬人個人信息泄露的網站,都可認定為關鍵信息基礎設施。
預計,隨著《網絡安全法》在2017年的實施,網站安全防護在各個行業還將會得到持續加強。
網站漏洞利用的目標都指向“錢”
網站高危漏洞激增,吸引到更多針對網站漏洞攻擊,導致大量信息被泄露。
根據補天平臺的統計,僅僅2015年收錄的漏洞中,就有1400余個漏洞可造成個人信息泄露,可泄露信息規模達55.3億條;2016年又新收錄了300余個可造成個人信息泄露的漏洞,約可泄露個人信息50余億條。
大量的實際案例和研究表明,網站個人信息泄露已成為網絡詐騙助推器。獵網平臺詐騙報告顯示,有半數以上的詐騙案件與個人信息泄露有關。
在2016年引發廣泛關注的山東徐玉玉案中,犯罪分子就是利用竊取的信息,偽裝成教育局工作人員發放助學金進行詐騙的。經警方調查,徐玉玉的信息是由于黑客利用漏洞侵入“山東省2016高考網上報名信息系統”網站而獲取的。黑客從該網站共竊取60多萬條個人信息。
作為離“錢財”最近的行業,金融行業網站漏洞受到黑客的關注也最多。據補天平臺統計,2016年金融行業網站漏洞數量和高危漏洞數量都處于各行業前列。2016年前11個月金融網站的漏洞曝出數量(超過1700個)、高危漏洞的數量(約700個)皆領先于教育培訓、汽車交通、醫療衛生等行業。
根據報告, 金融行業各細分領域的網站基本都曝出安全問題,尤其是以保險領域最為嚴重。據補天平臺收錄的漏洞數據,白帽子報告出保險領域260多個漏洞,銀行領域130多個漏洞,證券行業70個漏洞,P2P理財服務類網站也報出180多個漏洞。例如,2016年4月份曝光的國內某保險協會網站存在的安全漏洞隱患可能導致8億保單信息泄露,影響上億用戶。
一些新興的金融業務網站安全也同樣出現不少問題。如某互聯網金融社區主站存在SVN漏洞、汽車金融平臺資車貸曝出信息泄露漏洞等,一定程度上和這些金融新業態的業務相關性較大,這些漏洞一旦遭利用將會導致網站內部信息和數據庫數據遭竊取。
此外,2016 年多家第三方支付企業也曝出若干漏洞,一旦遭利用,將會影響平臺用戶的資金流動安全。
眾測將成未來網站安全防護方向
對于眾多的網站運營者來說,人才不足是應對安全漏洞不力的重要原因。目前中國網絡安全人才缺口巨大,中國高校培養的信息安全專業畢業生近3年僅3萬余人,不足市場需求量70萬的5%。在人才不足和費用緊張的情況下,很難期望每個機構都組建自己的安全響應團隊。
針對網站安全防護的棘手挑戰和人才不足的現狀,安全專家認為,目前以眾測為代表的模式創新、以“端+云”應用感知的協同創新、以開放數據挖掘為代表的威脅新動向,已成為即將到來的2017年,乃至更遠的未來web安全技術研究的新趨勢。
據了解,眾測是以眾包的模式將發現漏洞問題的任務分發給白帽,通過嚴格的審核、特定的加密數據通信通道,為白帽子充分發揮自身力量,高效地幫助目標企業發現潛在安全問題,提供安全、可靠的平臺服務。
安全專家認為,眾測/眾包技術可能是企業強化響應能力的一種必然選擇:眾測/眾包使企業無需自建安全響應中心(SRC),而是可以通過第三方平臺提供“SRC即服務”,建立完善專業、高效的安全響應機制。
較早之前純公益的開放征集漏洞模式,眾測是一種完善和升級。目前國內已經有補天平臺在內的平臺已經開展了安全眾測的嘗試。在安全人才不足的背景下,這一模式可以幫助政企用戶解決網站安全問題。
京公網安備 11010502049343號