預告 | FreeBuf 2018金融行業應用安全態勢報告搶先看

摘要： 2018年，全球網際網路資料進一步呈現指數級增長之勢，傳統金融行業數字化轉型基本完成。金融機構面對人工智慧、區塊鏈等新一輪資訊科技，需要建立系統開發、IT技術、產品、客戶關係等多方面的能力，面臨的威脅呈現出更加多元化、複雜化的趨勢。與金融機構自身研發和投資併購相比，尋求安全合作的資金投入和風險...

2018年，全球網際網路資料進一步呈現指數級增長之勢，傳統金融行業數字化轉型基本完成。金融機構面對人工智慧、區塊鏈等新一輪資訊科技，需要建立系統開發、IT技術、產品、客戶關係等多方面的能力，面臨的威脅呈現出更加多元化、複雜化的趨勢。與金融機構自身研發和投資併購相比，尋求安全合作的資金投入和風險相對較小，可以有效降低不確定性。

在此背景下，以商業銀行為代表的金融機構與網際網路巨頭之間掀起了新一輪的合作熱潮。建行與阿里、中行與騰訊、農行與百度均簽署了合作協議。工行與360簽訂全面合作的框架協議，合作內容涵蓋網路安全、金融科技、智慧硬體等方面，致力於共同為客戶提供更加便捷、安全的網路金融服務。商業銀行與安全公司的合作如火如荼，其他金融機構也在迎頭趕上。

FreeBuf安全研究院期望與合作伙伴一起，通過大量調研與分析，藉由《金融行業應用安全態勢報告》來反映該行業在應用安全方面的年度真實現狀與趨勢。今年依然從銀行、證券、保險、網際網路金融四個金融行業大分類，針對應用安全問題及安全漏洞態勢進行綜合分析和評定。

用於支援本次報告的研究方法和資訊來源包括

FreeBuf研究院經過由技術專家和專業安全團隊組成的評定小組，對網路公開資料及合作伙伴提供的近萬條資料進行研究分析。

為進一步瞭解金融行業面臨的問題及深層成因，FreeBuf研究院走訪了數百家企業，併發布了超過200張行業問卷。

包括漏洞盒子、國家資訊科技安全研究中心等在內的合作伙伴為本次研究報告提供了大量資料支援，安恆資訊及瑞數資訊公司提供了專業內容支援。

從這份報告中，我們的主要研究結果和報告的關鍵發現有

1、2018年國內金融行業數字化轉型基本完成，超過90% 的金融業務已經基於網路空間進行。與此同時，企業在資料、網路與系統方面都將面臨全新的安全威脅，25%的受訪企業表示遭遇過重大安全事故，而100%的受訪者都表示出現過安全問題。
2、以商業銀行為代表的金融機構與網際網路巨頭之間掀起了新一輪合作熱潮。中農工建四大行 與網際網路巨頭建立戰略合作，合作內容涵蓋網路安全、金融科技、智慧硬體、場景共建、風險監控等。
3、當前環境下，金融機構的安全能力普遍有所提升，但安全人才匱乏問題仍然存在。據估計，我國金融行業的資訊保安人才缺口高達2 0萬人之多，從事整體安全建設的戰略規劃類人員、架構設計類安全人員和安全測試人員最為短缺。
4、現階段嚴格遵循安全開發流程的金融機構不超過10%。然而， 在高昂的沉沒成本反推下，處於不同發展階段的金融機構均開始發力SDL框架的落地，將安全需求列為專案匯入前期開發流程，從全域性統籌，以安全賦能業務開發與實現。
5、機器學習等AI技術在風險控制和反欺詐領域 有了大量樣本積累，準確率有所提升，在提高一致性和應用質量、降低錯誤率和成本以及關鍵過程自動化方面起到重要作用。未來隨著準確率逐步提升，金融機構 將進一步減少低水平人力消耗，讓安全人員能投入到更加重要的工作中去。
6、金融行業的發展帶來應用安全威脅的不斷增長，業務場景下的自動化攻擊（Bots）逐漸成為業內重要關注點。據統計，金融行業網站流量中超過70%由自動化工具發起，而攻擊流量中約90%都是自動化工具，對自動化攻擊的防護已經成為金融反欺詐的核心。
7、從漏洞數量來講，網際網路金融明顯少於傳統金融，而從漏洞利用難易度來看，網際網路金融顯得更為脆弱。金融機構遭遇的熱門漏洞按照威脅程度排行，命令執行、SQL%E6%B3%A8%E5%85%A5/">SQL注入 及弱口令排名靠前；從數量上來看，邏輯漏洞、命令執行和XSS漏洞分列前三。
8、區塊鏈技術在金融行業的應用依然處於概念階段，在加密貨幣以外尚未有成熟案例。但其去中心化、開放式、加密性以及解決信任問題的特性，未來有望在金融機構的徵信、交易安全、資料安全、資訊隱私保護等方面實現應用。

《2018金融行業應用安全態勢報告》完整版即將釋出，並將於FIT 2019中國首席資訊保安官高峰論壇（12月11日）上進行全方位解讀，敬請期待！