2016上半年全国航空业网络安全报告
作者:星期五, 七月 15, 20160

报告概述

安全值行业报告是基于信息安全风险评估基本原理,利用大数据的分析方法对行业整体安全状态进行评价和分析,本次对42家航空公司进行数据采集,其中包涵拥有中文页面或网站,并在中国有分制机构以及在中国进行过ICP备案的国外航空公司 ,进行安全评价和量化风险分析(包括业务安全、隐私安全、应用安全、主机安全、网络安全、环境安全6个维度),优化企业信息安全风险管理模式。

通过安全值对上半年的数据分析发现:

根据2016-6-30日安全值数据,航空业的安全值为801分,整体评价为 “一般,共42家航空公司,其中19家(45%)评价为良好”;16家(38%)评价为一般”;7家(17%)评价为较差”。与保险、银行、物流等其他行业比较,航空业安全性算是最低

2016年上半年航空业应用安全(包涵漏洞披露,Web攻击)与上述行业相比问题最多,网络安全(异常流量)相较于上述行业也是最差,需要重视相关方面的安全。

1. 行业总体概况

640

根据2016-01-01日至2016-6-30日安全值数据,航空业2016年6月30日的安全值为801分,整体评价为 “一般”,共42家航空公司(包涵在中国进行备案,并存在中文网站或中文页面的国外航空公司),其中19家(45%)评价为良好”;16家(38%)评价为一般”;7家(17%)评价为较差”。

640

1.1. 总体安全值分布

640-2

从安全值的分布情况来看,其中25家航空公司得分高于或等于平均值801分,17家得分低于平均值,最低分数为397分。

1.2. 互联网资产统计

安全值对互联网资产进行分析统计,包括各机构注册的域名、面向互联网开放的主机服务(不仅限于Web服务的网站)和公网IP地址。

640-2 640-3

本次采集的数据中域名共有120个,公网主机2151个,公网IP地址1808个,平均每个机构有97个互联网资产。

1.3. 存在风险的机构数量

从6个风险域查看存在风险的机构数量:

640-4

应用安全和网络安全占比较高,在42家航空公司中有37(88%)家航空公司存在隐私安全风险,19(45%)家存在应用安全,18(43%)家存在网络安全问题。

从12个风险项查看存在相应风险的机构数量:

640-3 640-4

从12个风险指标来看,在42家航空公司中,域名信息泄露、漏洞披露、异常流僵尸网络占比较高,有37(88%)家航空公司存在域名信息泄露,19(45%)家存在漏洞披露,18(43%)家存在异常流量,11(26%)家存在僵尸网络问题。

2. 各行业数据对比

为了更深入了解航空业与其他行业的安全差距相比,其安全性做的好的方面与差的方面,我们选取与航空关联的保险行业、银行业、物流行业,进行行业数据对比。航空业的运输都会向保险行业投保,航空业会使用大量的银行业的在线支付平台,物流行业中大量规模都会通过航空业来进行运输。

2.1. 安全值分数分布情况

各行业分值获取日期为2016年6月30日,数值是相应分段里所占单位数量的百分比。

640-5

从分数分布情况来看,航空业排名在中等(排名在中间33%)的单位分数主要都在750-899分区间(64%左右),其他行业排名中等的单位在750-899分区间的占比低于40%,大部分在900-949分区间。航空业的600分以下区域占比也是最多,高达17%。航空业的安全性算是最低

2.2. 风险域之间比较

640-6

通过6个风险域横向对比发现,航空业应用安全(包涵漏洞披露,Web攻击)分数最低(51分),网络安全(异常流量)与其他行业相比分数也是最低(73分),主机安全(恶意代码,僵尸网络)分数也在低位(72分)。从这里看出,航空业在应用安全与网络安全,主机安全等方面问题较多,需要加强相关方面的安全。

下图是每个行业过去半年(2016-01-01 - 2016-06-30)之间,相关风险项告警过的企业比例(单位:%):

640-7

根据统计信息来看,2016年上半年航空业在漏洞披露,异常流量风险项出现过问题的单位比例较高(45%、43%),僵尸网络、域名被封、恶意代码、IP被封风险项出现过问题的单位比例也为上述各行业中最高(26%、14%、14%、12%)。

漏洞披露方面,航空业2016年上半年总披露过的漏洞数为132个,共有19个单位被披露过漏洞,平均每个单位漏洞数达到6.95个。

640-8

漏洞披露数据图

异常流量方面,航空业2016年上半年被攻击数据总次数为725次,被报的单位数为18个单位,平均每个单位被攻击40.28次,虽然被报单位比例高,单相较于银行业与物流行业,平均每个单位被攻击次数少很多。涉及面广,但次数相对少。

640-9

异常流量数据图

僵尸网络方面,航空业2016年上半年总僵尸网络告警总次数为697次,被报的单位数11个,平均每个单位告警次数为63.36次,相对于银行、保险行业高,比物流行业平均每单位数低一半左右。

640-10

僵尸网络数据图

域名被封、恶意代码在2016年上半年被报次数均为7次,被报单位数均为6家,平均每家1.17次。出现问题的单位比例虽然最高,但是平均问题发生次数都算最低,在所有行业中属于最低的。

640-11

域名被封数据图

640-12

恶意代码数据图

IP被封方面2016年上半年有5家被披露(12%),总攻有615天次告警数据,平均每家是123个。平均数据比银行业与保险行业相比高出不少,但是比物流行业少出不少。

640-13

IP被封数据图

3. 风险项分析

针对航空业的4个风险项——漏洞披露、异常流量、僵尸网络、IP被封——进行深入分析。

3.1. 漏洞披露分析

漏洞分布

640-14

可以从漏洞分布图看出,逻辑漏洞(设计错误/逻辑缺陷、未授权访问/权限绕过)与SQL注射漏洞还是占最多(51%)。

640-5

逻辑漏洞(设计错误/逻辑缺陷、未授权访问/权限绕过)与SQL注射漏洞,此类问题通常是框架本身问题或者代码不严谨,需要提高开发人员整体水平。

漏洞披露趋势

640-15

从数据上发现,除了在4月份有减少,整体趋势还是增长。漏洞披露数量在不断增长意味着更多的人关注航空业漏洞。航空业需要对应用漏洞进行更多的关注。

漏洞披露处置建议:

1. 加强开发安全编程培训,提高人员安全开发水平和安全意识,了解安全风险的标准应对方案等;
2. 加强对业务风险的识别,对信息系统风险可能的对业务的影响进行分析,为风险处置计划提供输入;
3. 测试过程中从信息系统的安全漏洞中发现,信息系统可能绕过业务流程的管控,确定业务流程与信息系统流程的一致性,加强信息系统设计的风险考虑;
4. 加强应用上线的安全测试机制,建议上线过程中通过黑盒测试,开发过程中加强安全开发管理;
5. 部分已经应用的安全措施能力不足,可能造成安全防护的盲区,建议加强关键点的安全防护保证客户的信息安全及业务的正常开展。

3.2. 异常流量分析

异常流量趋势

640-16

异常流量趋势相对平稳,4月份被攻击次数最多(160次),5月份被攻击单位数(10家航空公司)最多。根据节日等因素相比,异常流量攻击有季节性:2月份(春节),4,5月份(5.1劳动节)。下一次增长可能会是在中秋节与国庆节期间的9,10月份发生。

异常流量处置建议:

1. 可以购买防DDoS设备来防护小型的攻击;
2. 使用cdn来进行流量分散,降低被攻击时所影响的范围;
3. 根据航空公司特殊情况,在特定时期可以购买特定的流量清洗等服务来应对攻击,来保障网站的正常访问。

3.3. 僵尸网络分析

通过分析发现6月份的僵尸网络告警明显提高(214次),占据上半年总告警次数的31%;而且有8家(19%)单位被报有僵尸网络风险。通过具体分析,6月份被报的僵尸网络风险中82%的对外攻击类型为C&C攻击。

640-17

僵尸网络处置建议:

1. 针对共享 IP 资产,尽量不要使用。因为共享 IP 资产引起的攻击行为会影响该企业的声誉;
2. 行业机构应该加强网络行为的监控能力,结合内外部的数据对 IP 网络进 行排查,对照日志排查被入侵的主机,及时清楚木马后门,对服务器和办公网络 出口的外连行为进行审计;
3. 建议加强终端安全管理要求,根据实际情况不熟上网行为管理进行控制。

3.4. IP被封分析

通过对数据的分析发现,总共有如下9个IP被封过:

640-18

其中上面5个IP(216开头的)属于同一个机构,并报了442次(占72%),211.***.117.***这个IP被报171次(占28%),此6个IP到6月30日为止也是在一些机构被封封状态。此问题主要因两家航空公司引起,除去此两家,其他航空公司几乎没有此类风险或微乎其微。

风险指标说明

根据业内的信息安全风险管理最佳实践,结合风险等级、影响范围、频率、数量、时间各方面要素建立量化风险的计算模型,对整体情况的6个风险域(业务安全、应用安全、隐私安全、主机安全、网络安全和环境安全)进行量化评价。每个风险域里会包涵1个或多个安全风险指标。当前由12项安全风险指标支撑安全评价和分析。

业务安全
域名劫持:域名解析异常,部分用户数据可能被非法劫持;
域名被封:域名被判定为不可信任的域名,部分用户可能无法访问;
邮箱被封:邮件地址被认为垃圾邮件域,发出的邮件可能被认为垃圾邮件;
IP被封:IP被判定为恶意地址,可能影响网络正常通讯。

隐私安全
域名信息泄露:域名未做隐私保护,域名管理员可能会遭受钓鱼攻击;
帐号信息泄露:企业的员工帐号在第三方数据库中被泄露,可能包括密码等敏感信息。

应用安全
漏洞披露:在互联网安全社区上披露了系统的安全漏洞;
Web攻击:在线Web系统遭受了黑客的Web攻击或扫描。

主机安全
恶意代码:信息系统上发现后门、病毒、木马等恶意代码;
僵尸网络:网络内的主机可能已经被入侵,并植入木马、后门程序。

网络安全
异常流量:在线系统或网络遭受DDOS拒绝服务攻击。

环境安全
公有云风险:与恶意网站共用同一个云服务资源。

附表:航空公司采样名单

(字母排序,不分先后)

阿联酋阿提哈德航空
阿联酋航空
奥凯航空
澳门航空
北京首都航空
春秋航空
大韩航空
德国汉莎航空
东海航空
法国航空
芬兰航空
复兴航空
国泰航空
海航集团
韩亚航空
河北航空
荷兰皇家航空
华夏航空
马来西亚航空
马来西亚亚洲航空
美国达美航空
美国航空
青岛航空
全日本空输
日本航空
瑞丽航空
厦门航空
山东航空
上海吉祥航空
深圳航空
四川航空
西藏航空
香港航空
祥鹏航空
新加坡航空
新西兰航空
长荣航空
中国东方航空
中国国际航空
中国联合航空
中国南方航空
中华航空

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章