金融行业网络安全一些有趣的统计数据

要说国内网络安全做得好的行业，金融不管横竖怎么比肯定是算是第一梯队的了。而且金融行业在加强安全这个外家功的同时，也特别注重提高风险管理这个内功的修炼，内外兼修使得金融行业网络安全基础扎实、过程规范、结果可预见。

最近看了FreeBuf联合一些金融行业机构出的《2020-2021金融行业网络安全研究报告》，摘抄了一些自己比较关注的数据，也大体能够体会到网络安全发展的趋势。

▼▼安全团队规模

• 11人以上：33%

• 6-10人：17%

• 5人以下：50%

因为很多金融单位并没有把安全设备的运维放到安全团队，而是归到了数据中心网络运维大团队中，安全团队比较偏风险管理与合规检查的职能，所以单看这个安全团队规模，可能与实际相比变少了。

▼▼安全投入占比

• 占IT预算15%-20%：2%

• 占IT预算10%-15%：24%

• 占IT预算3%-10%：47%

• 占IT预算3%以下：27%

看到这个安全投入的统计数据，说实话我还是有一些吃惊的，因为我的感受是安全投入占IT预算的3%是普遍水平，如果能占到5%的话已经是很高了。但这个数据统计中，占IT预算3%以上的已经超过了70%，而且占IT预算10%-15%竟然达到了24%，这个投入已经很高了。

▼▼安全难点

• 安全产品及服务质量有待提高：19%
• 安全建设不受领导重视：20%
• 安全预算有限：33%

• 安全人员少且专业度欠缺：28%

这四条基本上还算是比较符合现状的，但安全预算有限占比最高，和上一条安全投入的统计看似有点矛盾。是安全投入占比没那么高呢，还是说安全投入虽然占比比较高了，但还是预算还需要更高呢。

▼▼安全建设重点

• 安全运营体系：21%

• 数据安全保护：19%

• 开发与运维安全：14%

• 管理制度体系：13%

• 应急响应体系：10%

• 资产安全管理：8%

• 隐私数据安全：5%

• 攻防对抗演练：5%

• 身份认证与授权：3%

• 漏洞管理与情报：2%

金融行业网络安全成熟度确实是已经到了安全运营阶段了，基础性建设已经差不多了，接下来就是怎么提高运营规范与效率。数据安全则是近期发布的一系列监管政策驱动，因为金融行业基本功扎实，数据安全普遍也算做的不错的。

▼▼困扰最大风险场景

1. 钓鱼邮件

2. 撞库/账号盗用

3. 规模化薅羊毛

4. 爬虫

5. 病毒木马

6. DDOS

7. APT

钓鱼邮件似乎是每个单位最为头疼的问题短板了，尤其是人员规模比较大的机构，金融行业也不例外。其它的主要是由于在线业务、交易业务所面临的风险驱动。

▼▼高频攻击技术ATT&CT

• T1059:命令和脚本解释器

• T1566:网络钓鱼

• T1204:用户执行

• T1027:混淆文件或信息

• T1218:签名的二进制代码执行

• T1078:有效账户

• T1071:应用层协议

• T1070:主机指示符删除

• T1105:入口工具转移

• T1021:远程服务

某个金融机构结合ATT&CK做的统计，值得参考与借鉴。在态势感知、安全分析时可以重点关注这几个方面。

▼▼资产测绘准确性

• 互联网IP地址

• 公有云资产

• 互联网域名

• 内容站点

• 对外服务：域名、IP、端口

金融行业基本上都是IT大集中，资产暴露面管控相对会比较容易一些，但由于暴露面本身面临的安全风险较高，其准确性确实也是非常关键。

▼▼欢迎加入知识星球获取更多资源与话题讨论。扫描或长按下方二维码领取140元优惠券。

扩展  •  本文相关链接  

• UEBA如何在企业有效地应用与落地

• 安全运营能力成熟度模型（SOMM）

• 安全运营中心（SOC）技术框架

• 资产管理在网络安全运营中的应用与实践

原文始发于微信公众号（微言晓意）：金融行业网络安全一些有趣的统计数据