網絡安全公司ImmuniWeb上週發布了一份報告，內容是針對百大機場的公共網站、移動App、以及在公共代碼存儲庫和暗網上暴露敏感數據的基本安全檢查。遺憾的是，在Top100國際機場中，僅有3個通過了基本的安全檢查，分別是荷蘭阿姆斯特丹的史基普機場、芬蘭赫爾辛基的萬塔機場、以及愛爾蘭的都柏林國際機場。

（題圖來自：ImmuniWeb）

ImmuniWeb 指出，這三座機場不僅可以為航空業、也能夠為其它產業提供值得稱道的實施案例。

機場位置分佈

研究涵蓋了Skytrax 評選的全球六大區域的Top100 機場（2019 年數據），研究過程中以非侵入性方式對機場外部IT 資產的安全性、合規性、和隱私性展開了檢測。

網站安全等級

Forrester 在最近的研究中指出，應用程序與軟件漏洞，仍是網絡罪犯分子在外展開攻擊的常見手段。遺憾的是，Top100 中只有3 個www 主網站獲得了A+ 評級，另有15 個網站為A 評級。

易受攻擊或使用過時軟件

在子域名中，ImmuniWeb 觀察到只有17% 的Web Apps 獲得了A 級評價，大多數應用程序都在C ~ F 不等的評價。

子域網站的安全等級

Gartner 表示，在採用雲端Web 應用程序和API 保護服務的推動下，Web 應用程序的防火牆（WAF）市場正在增長。

Web Apps 的防火牆使用情況

然而全球各大機場運行的Web 應用程序中，很少見到WAF，其僅能保護55% 的主網站和40% 的子域名站點。

主站點TLS 安全性：15 家主網站拿到了A+ 評級，38 家為A，16 家為B 級。

子域名TLS 安全性：表現糟糕很多，308 個站點為F，且有75 個站點未使用加密連接。

主站點PCI DSS 合規性

儘管PCI DSS 合規性並非必須，但它和《通用數據保護條例》（GDPR）都涵蓋了對基礎安全性的要求。

自2018 年5 月實施以來，已有有超過16 萬的數據洩露通知，罰款金額為1.14 億歐元。

讓人震驚的是，只有27 個主站點符合PCI DSS 要求。至於GDPR 合規性，也只有24% 的主站點（24 / 100）和12% 的子域（158 / 1364）達標。

郵件服務器的TLS 安全性

在147 個用於接收或中繼電子郵件的服務器中，幾乎一半（48%）不支持SSL / TLS 加密，使得攻擊者可輕鬆展開中間人攻擊，攔截流量、並以純文本格式閱讀電子郵件通信。

大約21% 的郵件服務器（32）獲得A 級評價，其餘44 台服務器的SSL / TLS 實施易受攻擊（較差），且大多數為C / F 級。

移動安全漏洞風險等級（基於CVSSv3 評分）

這項研究中，ImmuniWeb 找到並測試了屬於機場的36 款官方App，結果發現了530 個安全和隱私問題，包括288 個移動安全漏洞（每個App 平均15 個）。

OWSAP 十大移動風險分佈

至於移動後端（Web 服務或API），只有55% 的傳出連接使用了恰當的TLS 加密來保護傳輸中的用戶數據。

移動App 後端TLS 加密

27% 的連接以明文發送信息，且根本未使用加密（N 級）。5.7% 使用過時、且易受攻擊的SSLv3 協議，成績為不合格（F 級）。

暗網暴露風險等級

對結果進行篩查後，ImmuniWeb 發現Top100 機場中有66 個，以一種或另一種方式在暗網上暴露。如圖所示，有13 個機場有重大的洩露或暴露風險。

代碼存儲庫暴露風險等級

最後，在Top100 機場中，有87 個在某些公共代碼存儲庫（如GitHub 或Bitbucket）中公開了一些敏感或內部數據。其中識別出了59 個機場，存在著227 個具有嚴重風險的代碼洩露。