全球100個最大的機場中有97個存在巨大的網(wǎng)絡(luò)安全風(fēng)險

瑞士網(wǎng)絡(luò)安全公司ImmuniWeb發(fā)布了一份關(guān)于全球各大機場網(wǎng)絡(luò)安全狀況的深度報告，發(fā)現(xiàn)幾乎所有機場都缺乏足夠的系統(tǒng)來保護其網(wǎng)站、移動應(yīng)用程序和公共云。

該公司的研究人員在《全球前100大機場的網(wǎng)絡(luò)安全狀況》報告中匯編了他們的調(diào)查結(jié)果。報告稱，只有阿姆斯特丹史基浦機場、赫爾辛基-凡塔機場和都柏林機場三個機場通過了所有測試，沒有檢測出任何重大問題。

另一方面，數(shù)十個機場未能通過ImmuniWeb的所有測試，原因是它們的web和移動應(yīng)用程序存在漏洞、公共云配置錯誤、暗網(wǎng)暴露或代碼存儲庫泄露。在2020年世界經(jīng)濟論壇強調(diào)了這一主題后，ImmuniWeb決定研究機場網(wǎng)絡(luò)安全。在1月22日發(fā)布的報告中，世界經(jīng)濟論壇呼吁機場應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)安全挑戰(zhàn)

“考慮到每天有那么多的人和組織把他們的數(shù)據(jù)和生活托付給國際機場，這些發(fā)現(xiàn)相當(dāng)令人擔(dān)憂，”ImmuniWeb的首席執(zhí)行官和創(chuàng)始人伊利亞·科洛琴科(Ilia Kolochenko)說。

“作為一個經(jīng)常飛行的人，坦率地說，我更喜歡通過那些關(guān)心網(wǎng)絡(luò)安全的機場。網(wǎng)絡(luò)犯分子很可能會考慮襲擊不知情的航空樞紐，對旅客或貨物運輸進行連鎖攻擊，以及直接針對機場的攻擊，以破壞關(guān)鍵的國家基礎(chǔ)設(shè)施，”Kolochenko說。在主要網(wǎng)站的安全方面，只有3個機場獲得了A+，只有15個機場在ImmuniWeb的報告中獲得了A。近四分之一的機場網(wǎng)站獲得了F級，這意味著它們使用的是過時的軟件，它們的CMS系統(tǒng)(如WordPress)或web組件(如jQuery)存在已知的和可利用的安全漏洞。一些網(wǎng)站甚至有幾個脆弱的組件。ImmuniWeb的研究人員發(fā)現(xiàn)，97%的網(wǎng)站使用過時的網(wǎng)絡(luò)軟件，24%的網(wǎng)站已經(jīng)知道并利用了漏洞，另有76%的網(wǎng)站不符合GDPR。將近25%的人沒有SSL加密或者使用現(xiàn)在已經(jīng)過時的SSLv3。

移動應(yīng)用程序的安全性甚至更差。研究人員調(diào)查了36個機場移動應(yīng)用程序，發(fā)現(xiàn)了500多個安全和隱私問題，以及288個移動安全漏洞，平均每個應(yīng)用程序有15個。

他們查看的所有應(yīng)用程序都至少有5個外部軟件框架和至少兩個漏洞。近34%的移動應(yīng)用的對外流量根本沒有加密。

ImmuniWeb的研究團隊還發(fā)現(xiàn)，排名前100位的機場中，有66家都暴露在黑暗網(wǎng)絡(luò)中，這意味著它們最近泄露了高度機密的數(shù)據(jù)，如身份證件、財務(wù)記錄或生產(chǎn)系統(tǒng)的明文密碼。其他不太重要的風(fēng)險包括最近機密數(shù)據(jù)的泄露以及內(nèi)部敏感數(shù)據(jù)，如源代碼、文檔和記錄。

“鑒于CI/CD和DevOps在全球的無所不在的擴散，100個機場中有87個機場的一些敏感或內(nèi)部數(shù)據(jù)暴露在各種公共代碼庫中，如GitHub或BitBucket。其中，59個機場被查出存在227個關(guān)鍵風(fēng)險代碼泄露。

在325次曝光中，超過70次屬于“嚴(yán)重或高風(fēng)險”，表明存在嚴(yán)重違約。近90%的機場的公共代碼存儲庫存在數(shù)據(jù)泄露，而在3184個泄露的機場中，有503個處于嚴(yán)重或高風(fēng)險狀態(tài)，可能會導(dǎo)致數(shù)據(jù)泄露。3%的被調(diào)查機場擁有不受保護的公共云，而且有敏感數(shù)據(jù)。

在報告的最后，ImmuniWeb的研究人員列出了一份清單，列出了機場可以采取的最佳做法，以解決發(fā)現(xiàn)的一些安全漏洞。他們建議實施一個持續(xù)的安全監(jiān)控系統(tǒng)，通過異常檢測來發(fā)現(xiàn)任何和所有的入侵、釣魚企圖和密碼重用攻擊。

機場應(yīng)該有網(wǎng)絡(luò)安全團隊，他們正在運行持續(xù)的發(fā)現(xiàn)程序，并不斷地對所有的數(shù)字資產(chǎn)進行盤點。如果可能的話，應(yīng)該部署一些程序，使安全團隊能夠看到外部攻擊表面，并使用能夠監(jiān)視暗Web和代碼存儲庫的攻擊表面管理解決方案進行風(fēng)險暴露。

所有web和移動應(yīng)用程序，以及api，都需要有完整的支持devsecop的安全程序，這些程序可以測試和修復(fù)可能出現(xiàn)的任何問題。機場還需要對他們的供應(yīng)商和第三方供應(yīng)商進行深入審計，而不僅僅是傳統(tǒng)的紙質(zhì)調(diào)查問卷，這已經(jīng)不足以降低復(fù)雜的風(fēng)險。

“今天，當(dāng)我們的數(shù)字基礎(chǔ)設(shè)施極其復(fù)雜，并與眾多第三方交織在一起時，全面了解您的數(shù)字資產(chǎn)和攻擊面是確保您的網(wǎng)絡(luò)安全項目成功的關(guān)鍵，”Kolochenko補充說。“沒有它，你所有的努力和花費都是徒勞的。”