全球100個(gè)最大的機(jī)場(chǎng)中有97個(gè)存在巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

瑞士網(wǎng)絡(luò)安全公司ImmuniWeb發(fā)布了一份關(guān)于全球各大機(jī)場(chǎng)網(wǎng)絡(luò)安全狀況的深度報(bào)告，發(fā)現(xiàn)幾乎所有機(jī)場(chǎng)都缺乏足夠的系統(tǒng)來(lái)保護(hù)其網(wǎng)站、移動(dòng)應(yīng)用程序和公共云。

該公司的研究人員在《全球前100大機(jī)場(chǎng)的網(wǎng)絡(luò)安全狀況》報(bào)告中匯編了他們的調(diào)查結(jié)果。報(bào)告稱(chēng)，只有阿姆斯特丹史基浦機(jī)場(chǎng)、赫爾辛基-凡塔機(jī)場(chǎng)和都柏林機(jī)場(chǎng)三個(gè)機(jī)場(chǎng)通過(guò)了所有測(cè)試，沒(méi)有檢測(cè)出任何重大問(wèn)題。

另一方面，數(shù)十個(gè)機(jī)場(chǎng)未能通過(guò)ImmuniWeb的所有測(cè)試，原因是它們的web和移動(dòng)應(yīng)用程序存在漏洞、公共云配置錯(cuò)誤、暗網(wǎng)暴露或代碼存儲(chǔ)庫(kù)泄露。在2020年世界經(jīng)濟(jì)論壇強(qiáng)調(diào)了這一主題后，ImmuniWeb決定研究機(jī)場(chǎng)網(wǎng)絡(luò)安全。在1月22日發(fā)布的報(bào)告中，世界經(jīng)濟(jì)論壇呼吁機(jī)場(chǎng)應(yīng)對(duì)新出現(xiàn)的網(wǎng)絡(luò)安全挑戰(zhàn)

“考慮到每天有那么多的人和組織把他們的數(shù)據(jù)和生活托付給國(guó)際機(jī)場(chǎng)，這些發(fā)現(xiàn)相當(dāng)令人擔(dān)憂，”ImmuniWeb的首席執(zhí)行官和創(chuàng)始人伊利亞·科洛琴科(Ilia Kolochenko)說(shuō)。

“作為一個(gè)經(jīng)常飛行的人，坦率地說(shuō)，我更喜歡通過(guò)那些關(guān)心網(wǎng)絡(luò)安全的機(jī)場(chǎng)。網(wǎng)絡(luò)犯分子很可能會(huì)考慮襲擊不知情的航空樞紐，對(duì)旅客或貨物運(yùn)輸進(jìn)行連鎖攻擊，以及直接針對(duì)機(jī)場(chǎng)的攻擊，以破壞關(guān)鍵的國(guó)家基礎(chǔ)設(shè)施，”Kolochenko說(shuō)。在主要網(wǎng)站的安全方面，只有3個(gè)機(jī)場(chǎng)獲得了A+，只有15個(gè)機(jī)場(chǎng)在ImmuniWeb的報(bào)告中獲得了A。近四分之一的機(jī)場(chǎng)網(wǎng)站獲得了F級(jí)，這意味著它們使用的是過(guò)時(shí)的軟件，它們的CMS系統(tǒng)(如WordPress)或web組件(如jQuery)存在已知的和可利用的安全漏洞。一些網(wǎng)站甚至有幾個(gè)脆弱的組件。ImmuniWeb的研究人員發(fā)現(xiàn)，97%的網(wǎng)站使用過(guò)時(shí)的網(wǎng)絡(luò)軟件，24%的網(wǎng)站已經(jīng)知道并利用了漏洞，另有76%的網(wǎng)站不符合GDPR。將近25%的人沒(méi)有SSL加密或者使用現(xiàn)在已經(jīng)過(guò)時(shí)的SSLv3。

移動(dòng)應(yīng)用程序的安全性甚至更差。研究人員調(diào)查了36個(gè)機(jī)場(chǎng)移動(dòng)應(yīng)用程序，發(fā)現(xiàn)了500多個(gè)安全和隱私問(wèn)題，以及288個(gè)移動(dòng)安全漏洞，平均每個(gè)應(yīng)用程序有15個(gè)。

他們查看的所有應(yīng)用程序都至少有5個(gè)外部軟件框架和至少兩個(gè)漏洞。近34%的移動(dòng)應(yīng)用的對(duì)外流量根本沒(méi)有加密。

ImmuniWeb的研究團(tuán)隊(duì)還發(fā)現(xiàn)，排名前100位的機(jī)場(chǎng)中，有66家都暴露在黑暗網(wǎng)絡(luò)中，這意味著它們最近泄露了高度機(jī)密的數(shù)據(jù)，如身份證件、財(cái)務(wù)記錄或生產(chǎn)系統(tǒng)的明文密碼。其他不太重要的風(fēng)險(xiǎn)包括最近機(jī)密數(shù)據(jù)的泄露以及內(nèi)部敏感數(shù)據(jù)，如源代碼、文檔和記錄。

“鑒于CI/CD和DevOps在全球的無(wú)所不在的擴(kuò)散，100個(gè)機(jī)場(chǎng)中有87個(gè)機(jī)場(chǎng)的一些敏感或內(nèi)部數(shù)據(jù)暴露在各種公共代碼庫(kù)中，如GitHub或BitBucket。其中，59個(gè)機(jī)場(chǎng)被查出存在227個(gè)關(guān)鍵風(fēng)險(xiǎn)代碼泄露。

在325次曝光中，超過(guò)70次屬于“嚴(yán)重或高風(fēng)險(xiǎn)”，表明存在嚴(yán)重違約。近90%的機(jī)場(chǎng)的公共代碼存儲(chǔ)庫(kù)存在數(shù)據(jù)泄露，而在3184個(gè)泄露的機(jī)場(chǎng)中，有503個(gè)處于嚴(yán)重或高風(fēng)險(xiǎn)狀態(tài)，可能會(huì)導(dǎo)致數(shù)據(jù)泄露。3%的被調(diào)查機(jī)場(chǎng)擁有不受保護(hù)的公共云，而且有敏感數(shù)據(jù)。

在報(bào)告的最后，ImmuniWeb的研究人員列出了一份清單，列出了機(jī)場(chǎng)可以采取的最佳做法，以解決發(fā)現(xiàn)的一些安全漏洞。他們建議實(shí)施一個(gè)持續(xù)的安全監(jiān)控系統(tǒng)，通過(guò)異常檢測(cè)來(lái)發(fā)現(xiàn)任何和所有的入侵、釣魚(yú)企圖和密碼重用攻擊。

機(jī)場(chǎng)應(yīng)該有網(wǎng)絡(luò)安全團(tuán)隊(duì)，他們正在運(yùn)行持續(xù)的發(fā)現(xiàn)程序，并不斷地對(duì)所有的數(shù)字資產(chǎn)進(jìn)行盤(pán)點(diǎn)。如果可能的話，應(yīng)該部署一些程序，使安全團(tuán)隊(duì)能夠看到外部攻擊表面，并使用能夠監(jiān)視暗Web和代碼存儲(chǔ)庫(kù)的攻擊表面管理解決方案進(jìn)行風(fēng)險(xiǎn)暴露。

所有web和移動(dòng)應(yīng)用程序，以及api，都需要有完整的支持devsecop的安全程序，這些程序可以測(cè)試和修復(fù)可能出現(xiàn)的任何問(wèn)題。機(jī)場(chǎng)還需要對(duì)他們的供應(yīng)商和第三方供應(yīng)商進(jìn)行深入審計(jì)，而不僅僅是傳統(tǒng)的紙質(zhì)調(diào)查問(wèn)卷，這已經(jīng)不足以降低復(fù)雜的風(fēng)險(xiǎn)。

“今天，當(dāng)我們的數(shù)字基礎(chǔ)設(shè)施極其復(fù)雜，并與眾多第三方交織在一起時(shí)，全面了解您的數(shù)字資產(chǎn)和攻擊面是確保您的網(wǎng)絡(luò)安全項(xiàng)目成功的關(guān)鍵，”Kolochenko補(bǔ)充說(shuō)。“沒(méi)有它，你所有的努力和花費(fèi)都是徒勞的。”