6月末,安全牛发布的一篇名为《金融行业10大领域网络安全报告》的文章,将金融行业从不同维度进行安全现状分析,10个领域呈现出不同的特点。传统印象中金融行业的安全建设能力一直是名列前茅的,当看到领域细分分析结果时,不由引发对于未来安全建设方向的思考。
证券、基金、保险公司面临的安全漏洞威胁最严重
本次报告通过分析10个领域1000家金融机构进行综合评分,完成了对6种典型互联网威胁事件的分析,评估带来的安全风险。从报告中的数据可以看出,近年来互联网+金融取得了一定成绩,同时也面临着巨大的互联网威胁,金融行业在本次报告比较的10个行业中排名第八名。值得注意的是,在外部安全风险分布的评估中,证券、保险、基金公司这三个领域的安全隐患占比最高,分别为31%、28%、18%。作为掌握大量用户信息、资金和数据的企业,漏洞一旦被利用,可能会造成严重的信息泄露或业务中断,对于企业和用户来说,都是极大的安全隐患。
在补天平台发布的《2016补天平台漏洞收录及行业分析报告》中,在2016年收录的不同行业网站漏洞数量对比中,金融行业以12.5%的比例位居第二位,在漏洞危险等级方面,高危漏洞40.7%,中危漏洞37.1%和低危22.2%。
法律规划多角度同步推动,保障体系更严格
俄罗斯银行被黑客盗走20亿卢布、孟加拉央行被黑8100万美元、美国第二大的医疗保险服务商Anthem公司信息系统被黑客攻破,近8000万员工和客户资料被盗。
......
在各类安全事件中,网络袭击者或是利用公司内部系统环境的漏洞,或是利用恶意程序,发动远程袭击。信息技术不断进步,必然伴随着攻击手段不断翻新,网络攻击愈演愈烈,如何尽量规避漏洞的出现,如何在出现问题的时候及时监测和响应是所有金融行业的信息安全从业者所面临的问题。
金融行业由于资金体量庞大、用户信息集中、安全隐患影响深远,安全问题变得更加刻不容缓。针对当前的安全建设现状,关于网络安全的要求也渐渐清晰并且明确到相关法律制度当中。6月1日起正式实施的《网络安全法》第四十二条中,对于网络运营者提出了明确的要求,提出网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
6月27日,《中国金融业信息技术十三五规划》印发 ,对于金融网络安全保障体系也指出了未来的发展方向,确立了“十三五”期间金融业信息技术工作的发展目标,提到金融网络安全保障体系更加完善、金融信息技术治理能力要显著提升。
可见,法律和政策纷纷跟上脚步,对于信息安全的建设、技术手段保证信息安全都提上了日程。然而,面临如此巨大的安全人才缺口和安全建设成本,怎样简单高效低成本的解决问题,更是企业安全负责人所关注的焦点。
运用互联网思维解决互联网安全问题
风险的检测和监控离不开与时俱进的技术支持,然而黑客总是有着出其不意的脑回路,如何抵御黑客的攻击,需要用黑客思维来思考问题,方能有效的应对。有这样的一群人,他们虽然掌握着黑客技术,但不做坏事,将自己的技能用在了帮助企业发现安全问题,保护社会的网络安全上,他们——就是白帽子。
许多知名企业纷纷选择建立SRC(安全应急响应中心),运用互联网思维来解决问题,通过众包,充分发挥白帽子的能力帮助企业发现安全隐患,解决安全发现能力不足的问题。截止目前,以及有数十家企业SRC建立。但与知名企业形成鲜明对比的是,不少企业无法有足够的人力财力独立建设并运营SRC,同时,在重大的版本上线前也有强力安全检测需求。这时候,多元化的安全服务应运而生,以安全众包的模式,切实动员起来白帽子的能力,发动民间力量,充分利用分散在社会中的安全人员资源,帮助企业解决潜在的安全隐患和问题。
截止2017年6月,补天平台汇聚3万4千余名白帽子,累计为2万多家企业报告的漏洞超过20万个。通过第三方帮助企业建立的专属SRC、定制众测项目的形式,已服务全国各地数十家银行、证券、保险公司,安全建设不断创新,安全能力稳步提升。
补天携手白帽子,希望能帮助更多的金融企业加强网络安全建设,为企业和社会的网络安全作出自己的贡献。网聚安全力量,为社会提供准确、详实的安全情报,让全中国网络都实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。
原文发布时间为:2017年7月10日