金融行业网络安全一些有趣的统计数据

admin

138788
文章

114
评论

2022年3月10日21:59:05评论93 views字数 1424阅读4分44秒阅读模式

要说国内网络安全做得好的行业，金融不管横竖怎么比肯定是算是第一梯队的了。而且金融行业在加强安全这个外家功的同时，也特别注重提高风险管理这个内功的修炼，内外兼修使得金融行业网络安全基础扎实、过程规范、结果可预见。

最近看了FreeBuf联合一些金融行业机构出的《2020-2021金融行业网络安全研究报告》，摘抄了一些自己比较关注的数据，也大体能够体会到网络安全发展的趋势。

▼▼安全团队规模

11人以上：33%
6-10人：17%
5人以下：50%

因为很多金融单位并没有把安全设备的运维放到安全团队，而是归到了数据中心网络运维大团队中，安全团队比较偏风险管理与合规检查的职能，所以单看这个安全团队规模，可能与实际相比变少了。

▼▼安全投入占比

占IT预算15%-20%：2%
占IT预算10%-15%：24%
占IT预算3%-10%：47%
占IT预算3%以下：27%

看到这个安全投入的统计数据，说实话我还是有一些吃惊的，因为我的感受是安全投入占IT预算的3%是普遍水平，如果能占到5%的话已经是很高了。但这个数据统计中，占IT预算3%以上的已经超过了70%，而且占IT预算10%-15%竟然达到了24%，这个投入已经很高了。

▼▼安全难点

安全产品及服务质量有待提高：19%
安全建设不受领导重视：20%
安全预算有限：33%
安全人员少且专业度欠缺：28%

这四条基本上还算是比较符合现状的，但安全预算有限占比最高，和上一条安全投入的统计看似有点矛盾。是安全投入占比没那么高呢，还是说安全投入虽然占比比较高了，但还是预算还需要更高呢。

▼▼安全建设重点

安全运营体系：21%
数据安全保护：19%
开发与运维安全：14%
管理制度体系：13%
应急响应体系：10%
资产安全管理：8%
隐私数据安全：5%
攻防对抗演练：5%
身份认证与授权：3%
漏洞管理与情报：2%

金融行业网络安全成熟度确实是已经到了安全运营阶段了，基础性建设已经差不多了，接下来就是怎么提高运营规范与效率。数据安全则是近期发布的一系列监管政策驱动，因为金融行业基本功扎实，数据安全普遍也算做的不错的。

▼▼困扰最大风险场景

钓鱼邮件
撞库/账号盗用
规模化薅羊毛
爬虫
病毒木马
DDOS
APT

钓鱼邮件似乎是每个单位最为头疼的问题短板了，尤其是人员规模比较大的机构，金融行业也不例外。其它的主要是由于在线业务、交易业务所面临的风险驱动。

▼▼高频攻击技术ATT&CT

T1059:命令和脚本解释器
T1566:网络钓鱼
T1204:用户执行
T1027:混淆文件或信息
T1218:签名的二进制代码执行
T1078:有效账户
T1071:应用层协议
T1070:主机指示符删除
T1105:入口工具转移
T1021:远程服务

某个金融机构结合ATT&CK做的统计，值得参考与借鉴。在态势感知、安全分析时可以重点关注这几个方面。

▼▼资产测绘准确性

互联网IP地址
公有云资产
互联网域名
内容站点
对外服务：域名、IP、端口

金融行业基本上都是IT大集中，资产暴露面管控相对会比较容易一些，但由于暴露面本身面临的安全风险较高，其准确性确实也是非常关键。

▼▼欢迎加入知识星球获取更多资源与话题讨论。扫描或长按下方二维码领取140元优惠券。

扩展 • 本文相关链接

原文始发于微信公众号（微言晓意）：金融行业网络安全一些有趣的统计数据

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

金融行业网络安全一些有趣的统计数据

聊聊企业蓝军攻防的关键

传统钓鱼演练的痛点分析

企业如何做好数据跨境传输合规与安全管理相关工作

货拉拉第三方密钥管理实践

为什么我明明匿名了，还是被公司发现了？

【戏说我在甲方做安全】和业务部门沟通合同中的安全条款

Google 内部红队的运营与成长经验

团队如何在隐私泄露风波中优化安全投入，同时探讨基于算力的大模型在安全运营中的应用。｜总第283周

员工离职时的数据权限回收流程

极氪汽车开源合规体系建设实践分享

发表评论

在线咨询

微信