报告概述
安全值行业报告是基于信息安全风险评估基本原理,利用大数据的分析方法对行业整体安全状态进行评价和分析,本次对42家航空公司进行数据采集,其中包涵拥有中文页面或网站,并在中国有分制机构以及在中国进行过ICP备案的国外航空公司 ,进行安全评价和量化风险分析(包括业务安全、隐私安全、应用安全、主机安全、网络安全、环境安全6个维度),优化企业信息安全风险管理模式。
通过安全值对上半年的数据分析发现:
根据2016-6-30日安全值数据,航空业的安全值为801分,整体评价为 “一般”,共42家航空公司,其中19家(45%)评价为“良好”;16家(38%)评价为“一般”;7家(17%)评价为“较差”。与保险、银行、物流等其他行业比较,航空业安全性算是最低。
2016年上半年航空业应用安全(包涵漏洞披露,Web攻击)与上述行业相比问题最多,网络安全(异常流量)相较于上述行业也是最差,需要重视相关方面的安全。
1. 行业总体概况
根据2016-01-01日至2016-6-30日安全值数据,航空业2016年6月30日的安全值为801分,整体评价为 “一般”,共42家航空公司(包涵在中国进行备案,并存在中文网站或中文页面的国外航空公司),其中19家(45%)评价为“良好”;16家(38%)评价为“一般”;7家(17%)评价为“较差”。
1.1. 总体安全值分布
从安全值的分布情况来看,其中25家航空公司得分高于或等于平均值801分,17家得分低于平均值,最低分数为397分。
1.2. 互联网资产统计
安全值对互联网资产进行分析统计,包括各机构注册的域名、面向互联网开放的主机服务(不仅限于Web服务的网站)和公网IP地址。
本次采集的数据中域名共有120个,公网主机2151个,公网IP地址1808个,平均每个机构有97个互联网资产。
1.3. 存在风险的机构数量
从6个风险域查看存在风险的机构数量:
应用安全和网络安全占比较高,在42家航空公司中有37(88%)家航空公司存在隐私安全风险,19(45%)家存在应用安全,18(43%)家存在网络安全问题。
从12个风险项查看存在相应风险的机构数量:
从12个风险指标来看,在42家航空公司中,域名信息泄露、漏洞披露、异常流僵尸网络占比较高,有37(88%)家航空公司存在域名信息泄露,19(45%)家存在漏洞披露,18(43%)家存在异常流量,11(26%)家存在僵尸网络问题。
2. 各行业数据对比
为了更深入了解航空业与其他行业的安全差距相比,其安全性做的好的方面与差的方面,我们选取与航空关联的保险行业、银行业、物流行业,进行行业数据对比。航空业的运输都会向保险行业投保,航空业会使用大量的银行业的在线支付平台,物流行业中大量规模都会通过航空业来进行运输。
2.1. 安全值分数分布情况
各行业分值获取日期为2016年6月30日,数值是相应分段里所占单位数量的百分比。
从分数分布情况来看,航空业排名在中等(排名在中间33%)的单位分数主要都在750-899分区间(64%左右),其他行业排名中等的单位在750-899分区间的占比低于40%,大部分在900-949分区间。航空业的600分以下区域占比也是最多,高达17%。航空业的安全性算是最低。
2.2. 风险域之间比较
通过6个风险域横向对比发现,航空业应用安全(包涵漏洞披露,Web攻击)分数最低(51分),网络安全(异常流量)与其他行业相比分数也是最低(73分),主机安全(恶意代码,僵尸网络)分数也在低位(72分)。从这里看出,航空业在应用安全与网络安全,主机安全等方面问题较多,需要加强相关方面的安全。
下图是每个行业过去半年(2016-01-01 - 2016-06-30)之间,相关风险项告警过的企业比例(单位:%):
根据统计信息来看,2016年上半年航空业在漏洞披露,异常流量风险项出现过问题的单位比例较高(45%、43%),僵尸网络、域名被封、恶意代码、IP被封风险项出现过问题的单位比例也为上述各行业中最高(26%、14%、14%、12%)。
漏洞披露方面,航空业2016年上半年总披露过的漏洞数为132个,共有19个单位被披露过漏洞,平均每个单位漏洞数达到6.95个。
漏洞披露数据图
异常流量方面,航空业2016年上半年被攻击数据总次数为725次,被报的单位数为18个单位,平均每个单位被攻击40.28次,虽然被报单位比例高,单相较于银行业与物流行业,平均每个单位被攻击次数少很多。涉及面广,但次数相对少。
异常流量数据图
僵尸网络方面,航空业2016年上半年总僵尸网络告警总次数为697次,被报的单位数11个,平均每个单位告警次数为63.36次,相对于银行、保险行业高,比物流行业平均每单位数低一半左右。
僵尸网络数据图
域名被封、恶意代码在2016年上半年被报次数均为7次,被报单位数均为6家,平均每家1.17次。出现问题的单位比例虽然最高,但是平均问题发生次数都算最低,在所有行业中属于最低的。
域名被封数据图
恶意代码数据图
IP被封方面2016年上半年有5家被披露(12%),总攻有615天次告警数据,平均每家是123个。平均数据比银行业与保险行业相比高出不少,但是比物流行业少出不少。
IP被封数据图
3. 风险项分析
针对航空业的4个风险项——漏洞披露、异常流量、僵尸网络、IP被封——进行深入分析。
3.1. 漏洞披露分析
漏洞分布
可以从漏洞分布图看出,逻辑漏洞(设计错误/逻辑缺陷、未授权访问/权限绕过)与SQL注射漏洞还是占最多(51%)。
逻辑漏洞(设计错误/逻辑缺陷、未授权访问/权限绕过)与SQL注射漏洞,此类问题通常是框架本身问题或者代码不严谨,需要提高开发人员整体水平。
漏洞披露趋势
从数据上发现,除了在4月份有减少,整体趋势还是增长。漏洞披露数量在不断增长意味着更多的人关注航空业漏洞。航空业需要对应用漏洞进行更多的关注。
漏洞披露处置建议:
1. 加强开发安全编程培训,提高人员安全开发水平和安全意识,了解安全风险的标准应对方案等;
2. 加强对业务风险的识别,对信息系统风险可能的对业务的影响进行分析,为风险处置计划提供输入;
3. 测试过程中从信息系统的安全漏洞中发现,信息系统可能绕过业务流程的管控,确定业务流程与信息系统流程的一致性,加强信息系统设计的风险考虑;
4. 加强应用上线的安全测试机制,建议上线过程中通过黑盒测试,开发过程中加强安全开发管理;
5. 部分已经应用的安全措施能力不足,可能造成安全防护的盲区,建议加强关键点的安全防护保证客户的信息安全及业务的正常开展。
3.2. 异常流量分析
异常流量趋势
异常流量趋势相对平稳,4月份被攻击次数最多(160次),5月份被攻击单位数(10家航空公司)最多。根据节日等因素相比,异常流量攻击有季节性:2月份(春节),4,5月份(5.1劳动节)。下一次增长可能会是在中秋节与国庆节期间的9,10月份发生。
异常流量处置建议:
1. 可以购买防DDoS设备来防护小型的攻击;
2. 使用cdn来进行流量分散,降低被攻击时所影响的范围;
3. 根据航空公司特殊情况,在特定时期可以购买特定的流量清洗等服务来应对攻击,来保障网站的正常访问。
3.3. 僵尸网络分析
通过分析发现6月份的僵尸网络告警明显提高(214次),占据上半年总告警次数的31%;而且有8家(19%)单位被报有僵尸网络风险。通过具体分析,6月份被报的僵尸网络风险中82%的对外攻击类型为C&C攻击。
僵尸网络处置建议:
1. 针对共享 IP 资产,尽量不要使用。因为共享 IP 资产引起的攻击行为会影响该企业的声誉;
2. 行业机构应该加强网络行为的监控能力,结合内外部的数据对 IP 网络进 行排查,对照日志排查被入侵的主机,及时清楚木马后门,对服务器和办公网络 出口的外连行为进行审计;
3. 建议加强终端安全管理要求,根据实际情况不熟上网行为管理进行控制。
3.4. IP被封分析
通过对数据的分析发现,总共有如下9个IP被封过:
其中上面5个IP(216开头的)属于同一个机构,并报了442次(占72%),211.***.117.***这个IP被报171次(占28%),此6个IP到6月30日为止也是在一些机构被封封状态。此问题主要因两家航空公司引起,除去此两家,其他航空公司几乎没有此类风险或微乎其微。
风险指标说明
根据业内的信息安全风险管理最佳实践,结合风险等级、影响范围、频率、数量、时间各方面要素建立量化风险的计算模型,对整体情况的6个风险域(业务安全、应用安全、隐私安全、主机安全、网络安全和环境安全)进行量化评价。每个风险域里会包涵1个或多个安全风险指标。当前由12项安全风险指标支撑安全评价和分析。
业务安全
域名劫持:域名解析异常,部分用户数据可能被非法劫持;
域名被封:域名被判定为不可信任的域名,部分用户可能无法访问;
邮箱被封:邮件地址被认为垃圾邮件域,发出的邮件可能被认为垃圾邮件;
IP被封:IP被判定为恶意地址,可能影响网络正常通讯。
隐私安全
域名信息泄露:域名未做隐私保护,域名管理员可能会遭受钓鱼攻击;
帐号信息泄露:企业的员工帐号在第三方数据库中被泄露,可能包括密码等敏感信息。
应用安全
漏洞披露:在互联网安全社区上披露了系统的安全漏洞;
Web攻击:在线Web系统遭受了黑客的Web攻击或扫描。
主机安全
恶意代码:信息系统上发现后门、病毒、木马等恶意代码;
僵尸网络:网络内的主机可能已经被入侵,并植入木马、后门程序。
网络安全
异常流量:在线系统或网络遭受DDOS拒绝服务攻击。
环境安全
公有云风险:与恶意网站共用同一个云服务资源。
附表:航空公司采样名单
(字母排序,不分先后)
阿联酋阿提哈德航空 |
阿联酋航空 |
奥凯航空 |
澳门航空 |
北京首都航空 |
春秋航空 |
大韩航空 |
德国汉莎航空 |
东海航空 |
法国航空 |
芬兰航空 |
复兴航空 |
国泰航空 |
海航集团 |
韩亚航空 |
河北航空 |
荷兰皇家航空 |
华夏航空 |
马来西亚航空 |
马来西亚亚洲航空 |
美国达美航空 |
美国航空 |
青岛航空 |
全日本空输 |
日本航空 |
瑞丽航空 |
厦门航空 |
山东航空 |
上海吉祥航空 |
深圳航空 |
四川航空 |
西藏航空 |
香港航空 |
祥鹏航空 |
新加坡航空 |
新西兰航空 |
长荣航空 |
中国东方航空 |
中国国际航空 |
中国联合航空 |
中国南方航空 |
中华航空 |