全球Top100機場的總體網絡安全性表現如何？

網絡安全公司 ImmuniWeb 上周發布了一份報告，內容是針對百大機場的公共網站、移動 App、以及在公共代碼存儲庫和暗網上暴露敏感數據的基本安全檢查。

遺憾的是，在 Top100 國際機場中，僅有 3 個通過了基本的安全檢查，分別是荷蘭阿姆斯特丹的史基普機場、芬蘭赫爾辛基的萬塔機場、以及愛爾蘭的都柏林國際機場。

【題圖 來自：ImmuniWeb】

ImmuniWeb 指出，這三座機場不僅可以為航空業、也能夠為其它產業提供值得稱道的實施案例。

【機場位置分布】

研究涵蓋了 Skytrax 評選的全球六大區域的 Top100 機場（2019 年數據），研究過程中以非侵入性方式對機場外部 IT 資產的安全性、合規性、和隱私性展開了檢測。

【網站安全等級】

Forrester 在最近的研究中指出，應用程序與軟件漏洞，仍是網絡罪犯分子在外展開攻擊的常見手段。遺憾的是，Top100 中只有 3 個 www 主網站獲得了 A+ 評級，另有 15 個網站為 A 評級。

【易受攻擊或使用過時軟件】

在子域名中，ImmuniWeb 觀察到只有 17% 的 Web Apps 獲得了 A 級評價，大多數應用程序都在 C ~ F 不等的評價。

【子域網站的安全等級】

Gartner 表示，在采用云端 Web 應用程序和 API 保護服務的推動下，Web 應用程序的防火墻（WAF）市場正在增長。

【Web Apps 的防火墻使用情況】

然而全球各大機場運行的 Web 應用程序中，很少見到 WAF，其僅能保護 55% 的主網站和 40% 的子域名站點。

主站點 TLS 安全性：15 家主網站拿到了 A+ 評級，38 家為 A，16 家為 B 級。

子域名 TLS 安全性：表現糟糕很多，308 個站點為 F，且有 75 個站點未使用加密連接。

【主站點 PCI DSS 合規性】

盡管 PCI DSS 合規性并非必須，但它和《通用數據保護條例》（GDPR）都涵蓋了對基礎安全性的要求。

自 2018 年 5 月實施以來，已有有超過 16 萬的數據泄露通知，罰款金額為 1.14 億歐元。

讓人震驚的是，只有 27 個主站點符合 PCI DSS 要求。至于 GDPR 合規性，也只有 24% 的主站點（24 / 100）和 12% 的子域（158 / 1364）達標。

【郵件服務器的 TLS 安全性】

在 147 個用于接收或中繼電子郵件的服務器中，幾乎一半（48%）不支持 SSL / TLS 加密，使得攻擊者可輕松展開中間人攻擊，攔截流量、并以純文本格式閱讀電子郵件通信。

大約 21% 的郵件服務器（32）獲得 A 級評價，其余 44 臺服務器的 SSL / TLS 實施易受攻擊（較差），且大多數為 C / F 級。

【移動安全漏洞風險等級，基于 CVSSv3 評分】

這項研究中，ImmuniWeb 找到并測試了屬于機場的 36 款官方 App，結果發現了 530 個安全和隱私問題，包括 288 個移動安全漏洞（每個 App 平均 15 個）。

【OWSAP 十大移動風險分布】

至于移動后端（Web 服務或 API），只有 55% 的傳出連接使用了恰當的 TLS 加密來保護傳輸中的用戶數據。

【移動 App 后端 TLS 加密】

27% 的連接以明文發送信息，且根本未使用加密（N 級）。5.7% 使用過時、且易受攻擊的 SSLv3 協議，成績為不合格（F 級）。

【暗網暴露風險等級】

對結果進行篩查后，ImmuniWeb 發現 Top100 機場中有 66 個，以一種或另一種方式在暗網上暴露。如圖所示，有 13 個機場有重大的泄露或暴露風險。

【代碼存儲庫暴露風險等級】

最后，在 Top100 機場中，有 87 個在某些公共代碼存儲庫（如 GitHub 或 Bitbucket）中公開了一些敏感或內部數據。其中識別出了 59 個機場，存在著 227 個具有嚴重風險的代碼泄露。