2016上半年全国航空业网络安全报告 – 安全牛

Home / 亚博体育app进不去 / 2016上半年全国航空业网络安全报告 – 安全牛

报告概述

安全值行业报告是基于信息安全风险评估基本原理,利用大数据的分析方法对行业整体安全状态进行评价和分析,本次对42家航空公司进行数据采集,其中包涵拥有中文页面或网站,并在中国有分制机构以及在中国进行过ICP备案的国外航空公司,进行安全评价和量化风险分析(包括业务安全、隐私安全、应用安全、主机安全、网络安全、环境安全6个维度),优化企业信息安全风险管理模式。

通过安全值对上半年的数据分析发现:

根据2016-6-30日安全值数据,航空业的安全值为801分,整体评价为“一般”,共42家航空公司,其中19家(45%)评价为“良好”;16家(38%)评价为“一般”;7家(17%)评价为“较差”。

与保险、银行、物流等其他行业比较,航空业安全性算是最低。

2016年上半年航空业应用安全(包涵漏洞披露,Web攻击)与上述行业相比问题最多,网络安全(异常流量)相较于上述行业也是最差,需要重视相关方面的安全。

1。

行业总体概况

根据2016-01-01日至2016-6-30日安全值数据,航空业2016年6月30日的安全值为801分,整体评价为“一般”,共42家航空公司(包涵在中国进行备案,并存在中文网站或中文页面的国外航空公司),其中19家(45%)评价为“良好”;16家(38%)评价为“一般”;7家(17%)评价为“较差”。

1。

1。

总体安全值分布

从安全值的分布情况来看,其中25家航空公司得分高于或等于平均值801分,17家得分低于平均值,最低分数为397分。

1。

2。

互联网资产统计

安全值对互联网资产进行分析统计,包括各机构注册的域名、面向互联网开放的主机服务(不仅限于Web服务的网站)和公网IP地址。

本次采集的数据中域名共有120个,公网主机2151个,公网IP地址1808个,平均每个机构有97个互联网资产。

1。

3。

存在风险的机构数量

从6个风险域查看存在风险的机构数量:

应用安全和网络安全占比较高,在42家航空公司中有37(88%)家航空公司存在隐私安全风险,19(45%)家存在应用安全,18(43%)家存在网络安全问题。

从12个风险项查看存在相应风险的机构数量:

从12个风险指标来看,在42家航空公司中,域名信息泄露、漏洞披露、异常流僵尸网络占比较高,有37(88%)家航空公司存在域名信息泄露,19(45%)家存在漏洞披露,18(43%)家存在异常流量,11(26%)家存在僵尸网络问题。

2。

各行业数据对比

为了更深入了解航空业与其他行业的安全差距相比,其安全性做的好的方面与差的方面,我们选取与航空关联的保险行业、银行业、物流行业,进行行业数据对比。

航空业的运输都会向保险行业投保,航空业会使用大量的银行业的在线支付平台,物流行业中大量规模都会通过航空业来进行运输。

2。

1。

安全值分数分布情况

各行业分值获取日期为2016年6月30日,数值是相应分段里所占单位数量的百分比。

从分数分布情况来看,航空业排名在中等(排名在中间33%)的单位分数主要都在750-899分区间(64%左右),其他行业排名中等的单位在750-899分区间的占比低于40%,大部分在900-949分区间。

航空业的600分以下区域占比也是最多,高达17%。

航空业的安全性算是最低。

2。

2。

风险域之间比较

通过6个风险域横向对比发现,航空业应用安全(包涵漏洞披露,Web攻击)分数最低(51分),网络安全(异常流量)与其他行业相比分数也是最低(73分),主机安全(恶意代码,僵尸网络)分数也在低位(72分)。

从这里看出,航空业在应用安全与网络安全,主机安全等方面问题较多,需要加强相关方面的安全。

下图是每个行业过去半年(2016-01-01-2016-06-30)之间,相关风险项告警过的企业比例(单位:%):

根据统计信息来看,2016年上半年航空业在漏洞披露,异常流量风险项出现过问题的单位比例较高(45%、43%),僵尸网络、域名被封、恶意代码、IP被封风险项出现过问题的单位比例也为上述各行业中最高(26%、14%、14%、12%)。

漏洞披露方面,航空业2016年上半年总披露过的漏洞数为132个,共有19个单位被披露过漏洞,平均每个单位漏洞数达到6。

95个。

漏洞披露数据图

异常流量方面,航空业2016年上半年被攻击数据总次数为725次,被报的单位数为18个单位,平均每个单位被攻击40。

28次,虽然被报单位比例高,单相较于银行业与物流行业,平均每个单位被攻击次数少很多。

涉及面广,但次数相对少。

异常流量数据图

僵尸网络方面,航空业2016年上半年总僵尸网络告警总次数为697次,被报的单位数11个,平均每个单位告警次数为63。

36次,相对于银行、保险行业高,比物流行业平均每单位数低一半左右。

僵尸网络数据图

域名被封、恶意代码在2016年上半年被报次数均为7次,被报单位数均为6家,平均每家1。

17次。

出现问题的单位比例虽然最高,但是平均问题发生次数都算最低,在所有行业中属于最低的。

域名被封数据图

恶意代码数据图

IP被封方面2016年上半年有5家被披露(12%),总攻有615天次告警数据,平均每家是123个。

平均数据比银行业与保险行业相比高出不少,但是比物流行业少出不少。

IP被封数据图

3。

风险项分析

针对航空业的4个风险项——漏洞披露、异常流量、僵尸网络、IP被封——进行深入分析。

3。

1。

漏洞披露分析

漏洞分布

可以从漏洞分布图看出,逻辑漏洞(设计错误/逻辑缺陷、未授权访问/权限绕过)与SQL注射漏洞还是占最多(51%)。

逻辑漏洞(设计错误/逻辑缺陷、未授权访问/权限绕过)与SQL注射漏洞,此类问题通常是框架本身问题或者代码不严谨,需要提高开发人员整体水平。

漏洞披露趋势

从数据上发现,除了在4月份有减少,整体趋势还是增长。

漏洞披露数量在不断增长意味着更多的人关注航空业漏洞。

航空业需要对应用漏洞进行更多的关注。

漏洞披露处置建议:

1。

加强开发安全编程培训,提高人员安全开发水平和安全意识,了解安全风险的标准应对方案等;

2。

加强对业务风险的识别,对信息系统风险可能的对业务的影响进行分析,为风险处置计划提供输入;

3。

测试过程中从信息系统的安全漏洞中发现,信息系统可能绕过业务流程的管控,确定业务流程与信息系统流程的一致性,加强信息系统设计的风险考虑;

4。

加强应用上线的安全测试机制,建议上线过程中通过黑盒测试,开发过程中加强安全开发管理;

5。

部分已经应用的安全措施能力不足,可能造成安全防护的盲区,建议加强关键点的安全防护保证客户的信息安全及业务的正常开展。

3。

2。

异常流量分析

异常流量趋势

异常流量趋势相对平稳,4月份被攻击次数最多(160次),5月份被攻击单位数(10家航空公司)最多。

根据节日等因素相比,异常流量攻击有季节性:2月份(春节),4,5月份(5。

1劳动节)。

下一次增长可能会是在中秋节与国庆节期间的9,10月份发生。

异常流量处置建议:

1。

可以购买防DDoS设备来防护小型的攻击;

2。

使用cdn来进行流量分散,降低被攻击时所影响的范围;

3。

根据航空公司特殊情况,在特定时期可以购买特定的流量清洗等服务来应对攻击,来保障网站的正常访问。

3。

3。

僵尸网络分析

通过分析发现6月份的僵尸网络告警明显提高(214次),占据上半年总告警次数的31%;而且有8家(19%)单位被报有僵尸网络风险。

通过具体分析,6月份被报的僵尸网络风险中82%的对外攻击类型为CC攻击。

僵尸网络处置建议:

1。

针对共享IP资产,尽量不要使用。

因为共享IP资产引起的攻击行为会影响该企业的声誉;

2。

行业机构应该加强网络行为的监控能力,结合内外部的数据对IP网络进行排查,对照日志排查被入侵的主机,及时清楚木马后门,对服务器和办公网络出口的外连行为进行审计;

3。

建议加强终端安全管理要求,根据实际情况不熟上网行为管理进行控制。

3。

4。

IP被封分析

通过对数据的分析发现,总共有如下9个IP被封过:

其中上面5个IP(216开头的)属于同一个机构,并报了442次(占72%),211。

***。

117。

***这个IP被报171次(占28%),此6个IP到6月30日为止也是在一些机构被封封状态。

此问题主要因两家航空公司引起,除去此两家,其他航空公司几乎没有此类风险或微乎其微。

风险指标说明

根据业内的信息安全风险管理最佳实践,结合风险等级、影响范围、频率、数量、时间各方面要素建立量化风险的计算模型,对整体情况的6个风险域(业务安全、应用安全、隐私安全、主机安全、网络安全和环境安全)进行量化评价。

每个风险域里会包涵1个或多个安全风险指标。

当前由12项安全风险指标支撑安全评价和分析。

业务安全

域名劫持:域名解析异常,部分用户数据可能被非法劫持;

域名被封:域名被判定为不可信任的域名,部分用户可能无法访问;

邮箱被封:邮件地址被认为垃圾邮件域,发出的邮件可能被认为垃圾邮件;

IP被封:IP被判定为恶意地址,可能影响网络正常通讯。

隐私安全

域名信息泄露:域名未做隐私保护,域名管理员可能会遭受钓鱼攻击;

帐号信息泄露:企业的员工帐号在第三方数据库中被泄露,可能包括密码等敏感信息。

应用安全

漏洞披露:在互联网安全社区上披露了系统的安全漏洞;

Web攻击:在线Web系统遭受了黑客的Web攻击或扫描。

主机安全

恶意代码:信息系统上发现后门、病毒、木马等恶意代码;

僵尸网络:网络内的主机可能已经被入侵,并植入木马、后门程序。

网络安全

异常流量:在线系统或网络遭受DDOS拒绝服务攻击。

环境安全

公有云风险:与恶意网站共用同一个云服务资源。

附表:航空公司采样名单