預告｜FreeBuf《2019年金融行業網路安全報告》即將發布

• 2020 年 3 月 16 日
• 筆記

2020年伊始，一場突如其來的疫情給各行各業都按下了「慢放」鍵，也因此讓我們有了更充分的時間來總結思考2019年的行業形勢。在平穩邁過疫情這道坎的同時，為2020年接下來的發展積蓄動力。

2019年，金融行業逐漸從爆雷潮的動蕩趨於平穩。面對移動金融、區塊鏈等新趨勢的發展、傳統金融數字化轉型，網路安全成為維繫行業穩定發展的重要保障。

在這樣的背景下，FreeBuf安全研究院聯合深信服，通過大量調研和分析，匯成這份《2019年金融行業網路安全報告》，儘可能將一個完整的金融安全態勢展現在大家眼前，以此對2020年甚至更長遠的安全工作作出一個適當的規劃。

從這份報告中，我們的主要研究結果和報告的關鍵發現有：

1.金融行業的發展離不開資訊安全系統的平穩運行，進入等保2.0時代，金融機構安全建設需要全方位關注網路、系統、數據、人員等多個維度，進一步將安全與業務融合，構建一體化的安全架構。 2.自從P2P爆雷風波之後，監管機構對於金融行業的監管明顯有了轉變。從最初的合規為主到現在的合規、技查雙管齊下。 3.作為國家安全的重要組成部分，APT、軟體供應鏈攻擊、系統漏洞、惡意程式碼、內部人員作案等是金融安全所面臨的主要風險點。 4.數據是金融機構最核心的資產，在2019年熱門漏洞統計中，涉及敏感資訊泄露的漏洞高居榜首。一方面是數據泄露事件頻發的重要體驗，另一方面也督促金融機構完善數據安全治理工作。 5.金融機構面臨的信用風險與網路安全風險並重。2019年，金融行業所遭受的業務反欺詐請求書大幅增長，網路釣魚、暴力破解、薅羊毛等惡意行為依然是行業重災區。一定程度上反映出平台驗證機制不夠完善，同時用戶的安全防範意識還存在不足。 6.據全年監測數據，金融行業所遭受的惡意軟體攻擊中，挖礦類佔比超過七成。其中，保險、銀行機構所遭受攻擊的頻次遠高於互聯網金融。而在勒索軟體攻擊中，捕捉到最多的是wannacry家族，佔比超過95%。 7.和去年的熱門漏洞相比，今年的前十熱門漏洞有些許變動。敏感資訊泄露上升至最為熱門的漏洞，與注入、弱口令、命令執行及未授權訪問等類型居於前五。 8.在金融行業 App 中，73.23%存在不同程度的安全漏洞，70.22%存在高 危漏洞。平均每款金融行業 App 存在 20.3 個安全漏洞，其中 6.7 個 為高危漏洞。 9.網路安全人才缺失是金融行業繞不開的話題，尤其是更高職級安全負責人的缺失更為明顯。未來五到十年內，必然會出現重視安全的金融企業設置首席資訊安全官CISO崗位。

2019年，金融行業網路安全仍然在對抗中加強。不僅有來自攻擊者的挑戰，還有攻防演練活動的考驗。監管機構除了注重企業安全建設合規問題之外，同時也通過技術手段加強督查力度。2020年，攻防演練活動強度以及覆蓋範圍或將大幅提升，促使企業把安全建設不斷優化的過程日常化。

除了一直被討論的零信任安全架構之外，ATT&CK成為新晉年度安全技術熱點，這些都將會在金融行業出現更多的實踐，以此優化企業自身安全架構，迅速響應威脅，提升供給成本。而在人工智慧、大數據、區塊鏈等新技術投入應用的同時，其所產生的風險需要藉助自身技術做規避，保障新技術應用的效果最大化。

出品方

關於 FreeBuf 諮詢

FreeBuf.COM是斗象科技旗下中國領先的互聯網安全新媒體，每日發布專業的安全資訊、技術剖析，分享中國外安全資源與行業洞見，是深受安全從業者與愛好者關注的網路安全網站與社區。 FreeBuf 諮詢集結安全行業經驗豐富的安全專家和分析師，常年對資訊安全技術、行業動態保持追蹤，洞悉安全行業現狀和趨勢，呈現最專業的研究與諮詢服務。

完整版報告即將上線，敬請期待

*FreeBuf 諮詢榮譽出品，未經許可禁止轉載。