网络安全公司 ImmuniWeb 上周发布了一份报告,内容是针对百大机场的公共网站、移动 App、以及在公共代码存储库和暗网上暴露敏感数据的基本安全检查。遗憾的是,在 Top100 国际机场中,仅有 3 个通过了基本的安全检查,分别是荷兰阿姆斯特丹的史基普机场、芬兰赫尔辛基的万塔机场、以及爱尔兰的都柏林国际机场。
(题图 来自:ImmuniWeb)
ImmuniWeb 指出,这三座机场不仅可以为航空业、也能够为其它产业提供值得称道的实施案例。
机场位置分布
研究涵盖了 Skytrax 评选的全球六大区域的 Top100 机场(2019 年数据),研究过程中以非侵入性方式对机场外部 IT 资产的安全性、合规性、和隐私性展开了检测。
网站安全等级
Forrester 在最近的研究中指出,应用程序与软件漏洞,仍是网络罪犯分子在外展开攻击的常见手段。遗憾的是,Top100 中只有 3 个 www 主网站获得了 A+ 评级,另有 15 个网站为 A 评级。
易受攻击或使用过时软件
在子域名中,ImmuniWeb 观察到只有 17% 的 Web Apps 获得了 A 级评价,大多数应用程序都在 C ~ F 不等的评价。
子域网站的安全等级
Gartner 表示,在采用云端 Web 应用程序和 API 保护服务的推动下,Web 应用程序的防火墙(WAF)市场正在增长。
Web Apps 的防火墙使用情况
然而全球各大机场运行的 Web 应用程序中,很少见到 WAF,其仅能保护 55% 的主网站和 40% 的子域名站点。
主站点 TLS 安全性:15 家主网站拿到了 A+ 评级,38 家为 A,16 家为 B 级。
子域名 TLS 安全性:表现糟糕很多,308 个站点为 F,且有 75 个站点未使用加密连接。
主站点 PCI DSS 合规性
尽管 PCI DSS 合规性并非必须,但它和《通用数据保护条例》(GDPR)都涵盖了对基础安全性的要求。
自 2018 年 5 月实施以来,已有有超过 16 万的数据泄露通知,罚款金额为 1.14 亿欧元。
让人震惊的是,只有 27 个主站点符合 PCI DSS 要求。至于 GDPR 合规性,也只有 24% 的主站点(24 / 100)和 12% 的子域(158 / 1364)达标。
邮件服务器的 TLS 安全性
在 147 个用于接收或中继电子邮件的服务器中,几乎一半(48%)不支持 SSL / TLS 加密,使得攻击者可轻松展开中间人攻击,拦截流量、并以纯文本格式阅读电子邮件通信。
大约 21% 的邮件服务器(32)获得 A 级评价,其余 44 台服务器的 SSL / TLS 实施易受攻击(较差),且大多数为 C / F 级。
移动安全漏洞风险等级(基于 CVSSv3 评分)
这项研究中,ImmuniWeb 找到并测试了属于机场的 36 款官方 App,结果发现了 530 个安全和隐私问题,包括 288 个移动安全漏洞(每个 App 平均 15 个)。
OWSAP 十大移动风险分布
至于移动后端(Web 服务或 API),只有 55% 的传出连接使用了恰当的 TLS 加密来保护传输中的用户数据。
移动 App 后端 TLS 加密
27% 的连接以明文发送信息,且根本未使用加密(N 级)。5.7% 使用过时、且易受攻击的 SSLv3 协议,成绩为不合格(F 级)。
暗网暴露风险等级
对结果进行筛查后,ImmuniWeb 发现 Top100 机场中有 66 个,以一种或另一种方式在暗网上暴露。如图所示,有 13 个机场有重大的泄露或暴露风险。
代码存储库暴露风险等级
最后,在 Top100 机场中,有 87 个在某些公共代码存储库(如 GitHub 或 Bitbucket)中公开了一些敏感或内部数据。其中识别出了 59 个机场,存在着 227 个具有严重风险的代码泄露。
推荐阅读:硬盘盒和移动硬盘区别