近日,360互聯(lián)網(wǎng)安全中心發(fā)布《2016年中國網(wǎng)站安全漏洞形勢分析報告》稱,在網(wǎng)站高危漏洞大幅增長80%、漏洞的平均修復率僅為42.9%的背景下,政府機關(guān)網(wǎng)站的漏洞修復率卻高達77.1%,高危漏洞修復率更是高達90%,位居五大網(wǎng)站類型之首。與此相對,社會團體、個人和企業(yè)網(wǎng)站的修復率亟待提高:企業(yè)網(wǎng)站為45.5%,個人網(wǎng)站為40.1%,社會團體網(wǎng)站為38.3%。
這顯示在“網(wǎng)絡安全”已成國家戰(zhàn)略的背景下,我國各級政府機關(guān)對于網(wǎng)站安全的重視程度得到空前的提高。
IT/互聯(lián)網(wǎng)行業(yè)網(wǎng)站漏洞最多 政府機關(guān)網(wǎng)站漏洞修復率最高
2016年補天平臺收錄的網(wǎng)站備案類型主要集中在政府機關(guān)、事業(yè)單位、社會團體、企業(yè)、個人五個類別,因此對這五個備案類型進行具體的分析。
總體而言,補天平臺收錄的備案網(wǎng)站漏洞中,企業(yè)網(wǎng)站的漏洞數(shù)量是最多的,占比為50.3%,事業(yè)單位網(wǎng)站為24.7%,政府機關(guān)網(wǎng)站為16.0%,個人網(wǎng)站為6.6%,社會團體網(wǎng)站為2.5%。從高危漏洞網(wǎng)站來看,社會團體網(wǎng)站高危漏洞占比最多,為47.5%,企業(yè)網(wǎng)站為47.3%,事業(yè)單位網(wǎng)站為43.3%,政府機關(guān)網(wǎng)站為41.7%,個人網(wǎng)站為36.4%。
據(jù)補天平臺統(tǒng)計,政府機關(guān)網(wǎng)站的漏洞修復率是最高的,占比為77.1%,其次事業(yè)單位網(wǎng)站為68.1%,企業(yè)網(wǎng)站為45.5%,個人網(wǎng)站為40.1%,社會團體網(wǎng)站為38.3%。從高危漏洞修復率來看,政府機關(guān)網(wǎng)站同樣是修復最高的,高達90.0%,事業(yè)單位為56.7%,企業(yè)網(wǎng)站為48.5%,社會團體網(wǎng)站為48.2%,個人網(wǎng)站為42.7%。
在企業(yè)網(wǎng)站中的 IT/互聯(lián)網(wǎng)、金融、教育培訓、汽車交通、生產(chǎn)制造、電信運營商等十個重點行業(yè)網(wǎng)站中,IT/互聯(lián)網(wǎng)行業(yè)網(wǎng)站被報告的漏洞最多,占比為23.5%。
針對政府機關(guān)網(wǎng)站修復率最高的現(xiàn)象,360安全專家認為, 這說明隨著網(wǎng)絡安全成為國家戰(zhàn)略,政府機構(gòu)對包括網(wǎng)站安全在內(nèi)的網(wǎng)絡安全的重視程度得到空前提高。
據(jù)悉,《網(wǎng)絡安全法》對保護關(guān)鍵信息基礎設施進行了特別強調(diào)。上海交通大學信息安全工程學院院長李建華指出,縣級(含)以上黨政機關(guān)網(wǎng)站、重點新聞網(wǎng)站、日均訪問量超過100萬人次的網(wǎng)站,以及發(fā)生網(wǎng)絡安全事故后可能造成100萬人個人信息泄露的網(wǎng)站,都可認定為關(guān)鍵信息基礎設施。
預計,隨著《網(wǎng)絡安全法》在2017年的實施,網(wǎng)站安全防護在各個行業(yè)還將會得到持續(xù)加強。
網(wǎng)站漏洞利用的目標都指向“錢”
網(wǎng)站高危漏洞激增,吸引到更多針對網(wǎng)站漏洞攻擊,導致大量信息被泄露。
根據(jù)補天平臺的統(tǒng)計,僅僅2015年收錄的漏洞中,就有1400余個漏洞可造成個人信息泄露,可泄露信息規(guī)模達55.3億條;2016年又新收錄了300余個可造成個人信息泄露的漏洞,約可泄露個人信息50余億條。
大量的實際案例和研究表明,網(wǎng)站個人信息泄露已成為網(wǎng)絡詐騙助推器。獵網(wǎng)平臺詐騙報告顯示,有半數(shù)以上的詐騙案件與個人信息泄露有關(guān)。
在2016年引發(fā)廣泛關(guān)注的山東徐玉玉案中,犯罪分子就是利用竊取的信息,偽裝成教育局工作人員發(fā)放助學金進行詐騙的。經(jīng)警方調(diào)查,徐玉玉的信息是由于黑客利用漏洞侵入“山東省2016高考網(wǎng)上報名信息系統(tǒng)”網(wǎng)站而獲取的。黑客從該網(wǎng)站共竊取60多萬條個人信息。
作為離“錢財”最近的行業(yè),金融行業(yè)網(wǎng)站漏洞受到黑客的關(guān)注也最多。據(jù)補天平臺統(tǒng)計,2016年金融行業(yè)網(wǎng)站漏洞數(shù)量和高危漏洞數(shù)量都處于各行業(yè)前列。2016年前11個月金融網(wǎng)站的漏洞曝出數(shù)量(超過1700個)、高危漏洞的數(shù)量(約700個)皆領先于教育培訓、汽車交通、醫(yī)療衛(wèi)生等行業(yè)。
根據(jù)報告, 金融行業(yè)各細分領域的網(wǎng)站基本都曝出安全問題,尤其是以保險領域最為嚴重。據(jù)補天平臺收錄的漏洞數(shù)據(jù),白帽子報告出保險領域260多個漏洞,銀行領域130多個漏洞,證券行業(yè)70個漏洞,P2P理財服務類網(wǎng)站也報出180多個漏洞。例如,2016年4月份曝光的國內(nèi)某保險協(xié)會網(wǎng)站存在的安全漏洞隱患可能導致8億保單信息泄露,影響上億用戶。
一些新興的金融業(yè)務網(wǎng)站安全也同樣出現(xiàn)不少問題。如某互聯(lián)網(wǎng)金融社區(qū)主站存在SVN漏洞、汽車金融平臺資車貸曝出信息泄露漏洞等,一定程度上和這些金融新業(yè)態(tài)的業(yè)務相關(guān)性較大,這些漏洞一旦遭利用將會導致網(wǎng)站內(nèi)部信息和數(shù)據(jù)庫數(shù)據(jù)遭竊取。
此外,2016 年多家第三方支付企業(yè)也曝出若干漏洞,一旦遭利用,將會影響平臺用戶的資金流動安全。
眾測將成未來網(wǎng)站安全防護方向
對于眾多的網(wǎng)站運營者來說,人才不足是應對安全漏洞不力的重要原因。目前中國網(wǎng)絡安全人才缺口巨大,中國高校培養(yǎng)的信息安全專業(yè)畢業(yè)生近3年僅3萬余人,不足市場需求量70萬的5%。在人才不足和費用緊張的情況下,很難期望每個機構(gòu)都組建自己的安全響應團隊。
針對網(wǎng)站安全防護的棘手挑戰(zhàn)和人才不足的現(xiàn)狀,安全專家認為,目前以眾測為代表的模式創(chuàng)新、以“端+云”應用感知的協(xié)同創(chuàng)新、以開放數(shù)據(jù)挖掘為代表的威脅新動向,已成為即將到來的2017年,乃至更遠的未來web安全技術(shù)研究的新趨勢。
據(jù)了解,眾測是以眾包的模式將發(fā)現(xiàn)漏洞問題的任務分發(fā)給白帽,通過嚴格的審核、特定的加密數(shù)據(jù)通信通道,為白帽子充分發(fā)揮自身力量,高效地幫助目標企業(yè)發(fā)現(xiàn)潛在安全問題,提供安全、可靠的平臺服務。
安全專家認為,眾測/眾包技術(shù)可能是企業(yè)強化響應能力的一種必然選擇:眾測/眾包使企業(yè)無需自建安全響應中心(SRC),而是可以通過第三方平臺提供“SRC即服務”,建立完善專業(yè)、高效的安全響應機制。
較早之前純公益的開放征集漏洞模式,眾測是一種完善和升級。目前國內(nèi)已經(jīng)有補天平臺在內(nèi)的平臺已經(jīng)開展了安全眾測的嘗試。在安全人才不足的背景下,這一模式可以幫助政企用戶解決網(wǎng)站安全問題。