網路安全公司 ImmuniWeb 上週釋出了一份報告,內容是針對百大機場的公共網站、移動 App、以及在公共程式碼儲存庫和暗網上暴露敏感資料的基本安全檢查。
遺憾的是,在 Top100 國際機場中,僅有 3 個通過了基本的安全檢查,分別是荷蘭阿姆斯特丹的史基普機場、芬蘭赫爾辛基的萬塔機場、以及愛爾蘭的都柏林國際機場。
【題圖 來自:ImmuniWeb】
ImmuniWeb 指出,這三座機場不僅可以為航空業、也能夠為其它產業提供值得稱道的實施案例。
【機場位置分佈】
研究涵蓋了 Skytrax 評選的全球六大區域的 Top100 機場(2019 年資料),研究過程中以非侵入性方式對機場外部 IT 資產的安全性、合規性、和隱私性展開了檢測。
【網站安全等級】
Forrester 在最近的研究中指出,應用程式與軟體漏洞,仍是網路罪犯分子在外展開攻擊的常見手段。遺憾的是,Top100 中只有 3 個 www 主網站獲得了 A+ 評級,另有 15 個網站為 A 評級。
【易受攻擊或使用過時軟體】
在子域名中,ImmuniWeb 觀察到只有 17% 的 Web Apps 獲得了 A 級評價,大多數應用程式都在 C ~ F 不等的評價。
【子域網站的安全等級】
Gartner 表示,在採用雲端 Web 應用程式和 API 保護服務的推動下,Web 應用程式的防火牆(WAF)市場正在增長。
【Web Apps 的防火牆使用情況】
然而全球各大機場執行的 Web 應用程式中,很少見到 WAF,其僅能保護 55% 的主網站和 40% 的子域名站點。
主站點 TLS 安全性:15 家主網站拿到了 A+ 評級,38 家為 A,16 家為 B 級。
子域名 TLS 安全性:表現糟糕很多,308 個站點為 F,且有 75 個站點未使用加密連線。
【主站點 PCI DSS 合規性】
儘管 PCI DSS 合規性並非必須,但它和《通用資料保護條例》(GDPR)都涵蓋了對基礎安全性的要求。
自 2018 年 5 月實施以來,已有有超過 16 萬的資料洩露通知,罰款金額為 1.14 億歐元。
讓人震驚的是,只有 27 個主站點符合 PCI DSS 要求。至於 GDPR 合規性,也只有 24% 的主站點(24 / 100)和 12% 的子域(158 / 1364)達標。
【郵件伺服器的 TLS 安全性】
在 147 個用於接收或中繼電子郵件的伺服器中,幾乎一半(48%)不支援 SSL / TLS 加密,使得攻擊者可輕鬆展開中間人攻擊,攔截流量、並以純文字格式閱讀電子郵件通訊。
大約 21% 的郵件伺服器(32)獲得 A 級評價,其餘 44 臺伺服器的 SSL / TLS 實施易受攻擊(較差),且大多數為 C / F 級。
【移動安全漏洞風險等級,基於 CVSSv3 評分】
這項研究中,ImmuniWeb 找到並測試了屬於機場的 36 款官方 App,結果發現了 530 個安全和隱私問題,包括 288 個移動安全漏洞(每個 App 平均 15 個)。
【OWSAP 十大移動風險分佈】
至於移動後端(Web 服務或 API),只有 55% 的傳出連線使用了恰當的 TLS 加密來保護傳輸中的使用者資料。
【移動 App 後端 TLS 加密】
27% 的連線以明文傳送資訊,且根本未使用加密(N 級)。5.7% 使用過時、且易受攻擊的 SSLv3 協議,成績為不合格(F 級)。
【暗網暴露風險等級】
對結果進行篩查後,ImmuniWeb 發現 Top100 機場中有 66 個,以一種或另一種方式在暗網上暴露。如圖所示,有 13 個機場有重大的洩露或暴露風險。
【程式碼儲存庫暴露風險等級】
最後,在 Top100 機場中,有 87 個在某些公共程式碼儲存庫(如 GitHub 或 Bitbucket)中公開了一些敏感或內部資料。其中識別出了 59 個機場,存在著 227 個具有嚴重風險的程式碼洩露。
網路安全公司 ImmuniWeb 上週釋出了一份報告,內容是針對百大機場的公共網站、移動 App、以及在公共程式碼儲存庫和暗網上暴露敏感資料的基本安全檢查。
遺憾的是,在 Top100 國際機場中,僅有 3 個通過了基本的安全檢查,分別是荷蘭阿姆斯特丹的史基普機場、芬蘭赫爾辛基的萬塔機場、以及愛爾蘭的都柏林國際機場。
【題圖 來自:ImmuniWeb】
ImmuniWeb 指出,這三座機場不僅可以為航空業、也能夠為其它產業提供值得稱道的實施案例。
【機場位置分佈】
研究涵蓋了 Skytrax 評選的全球六大區域的 Top100 機場(2019 年資料),研究過程中以非侵入性方式對機場外部 IT 資產的安全性、合規性、和隱私性展開了檢測。
【網站安全等級】
Forrester 在最近的研究中指出,應用程式與軟體漏洞,仍是網路罪犯分子在外展開攻擊的常見手段。遺憾的是,Top100 中只有 3 個 www 主網站獲得了 A+ 評級,另有 15 個網站為 A 評級。
【易受攻擊或使用過時軟體】
在子域名中,ImmuniWeb 觀察到只有 17% 的 Web Apps 獲得了 A 級評價,大多數應用程式都在 C ~ F 不等的評價。
【子域網站的安全等級】
Gartner 表示,在採用雲端 Web 應用程式和 API 保護服務的推動下,Web 應用程式的防火牆(WAF)市場正在增長。
【Web Apps 的防火牆使用情況】
然而全球各大機場執行的 Web 應用程式中,很少見到 WAF,其僅能保護 55% 的主網站和 40% 的子域名站點。
主站點 TLS 安全性:15 家主網站拿到了 A+ 評級,38 家為 A,16 家為 B 級。
子域名 TLS 安全性:表現糟糕很多,308 個站點為 F,且有 75 個站點未使用加密連線。
【主站點 PCI DSS 合規性】
儘管 PCI DSS 合規性並非必須,但它和《通用資料保護條例》(GDPR)都涵蓋了對基礎安全性的要求。
自 2018 年 5 月實施以來,已有有超過 16 萬的資料洩露通知,罰款金額為 1.14 億歐元。
讓人震驚的是,只有 27 個主站點符合 PCI DSS 要求。至於 GDPR 合規性,也只有 24% 的主站點(24 / 100)和 12% 的子域(158 / 1364)達標。
【郵件伺服器的 TLS 安全性】
在 147 個用於接收或中繼電子郵件的伺服器中,幾乎一半(48%)不支援 SSL / TLS 加密,使得攻擊者可輕鬆展開中間人攻擊,攔截流量、並以純文字格式閱讀電子郵件通訊。
大約 21% 的郵件伺服器(32)獲得 A 級評價,其餘 44 臺伺服器的 SSL / TLS 實施易受攻擊(較差),且大多數為 C / F 級。
【移動安全漏洞風險等級,基於 CVSSv3 評分】
這項研究中,ImmuniWeb 找到並測試了屬於機場的 36 款官方 App,結果發現了 530 個安全和隱私問題,包括 288 個移動安全漏洞(每個 App 平均 15 個)。
【OWSAP 十大移動風險分佈】
至於移動後端(Web 服務或 API),只有 55% 的傳出連線使用了恰當的 TLS 加密來保護傳輸中的使用者資料。
【移動 App 後端 TLS 加密】
27% 的連線以明文傳送資訊,且根本未使用加密(N 級)。5.7% 使用過時、且易受攻擊的 SSLv3 協議,成績為不合格(F 級)。
【暗網暴露風險等級】
對結果進行篩查後,ImmuniWeb 發現 Top100 機場中有 66 個,以一種或另一種方式在暗網上暴露。如圖所示,有 13 個機場有重大的洩露或暴露風險。
【程式碼儲存庫暴露風險等級】
最後,在 Top100 機場中,有 87 個在某些公共程式碼儲存庫(如 GitHub 或 Bitbucket)中公開了一些敏感或內部資料。其中識別出了 59 個機場,存在著 227 個具有嚴重風險的程式碼洩露。