物聯網漏洞
近幾年,物聯網發展迅速,據美國市場研究公司Gartner預測,到2020年,全球物聯網設備將達260億臺,市場規模將達1.9萬億美元。
對零售企業來說,物聯網技術的應用非常廣泛:提升購物體驗、智能庫存管理、預測設備維護、行人流量分析…許多零售企業已在著手物聯網技術的應用。
同時,這些新的聯網設備也增加了網絡犯罪可能的入口。由於網絡安全監管難以跟上物聯網設備的爆炸式增長,零售企業需更加謹慎,對使用物聯網技術帶來的風險應有更加清晰的認識。在防範方面,對每個物聯網設備補丁的及時更新作為降低風險的措施,必不可少。
禮品卡系統漏洞
2018年9月,北京市西城法院審理了一起電信盜竊案,一名在上海某網絡公司工作的90後男子陳某,利用技術侵入味多美公司網站,盜走價值36萬元的蛋糕電子兌換碼並在網絡平臺上進行售賣,從中獲利。其同事楊某,因幫助陳某進行盜竊,以及涉嫌盜竊公民個人信息,與陳某一併被警方抓獲。
早在2015年,一位網絡安全研究員發現了一個許多零售禮品卡系統都存在的關鍵漏洞,黑客可利用該漏洞盜竊用戶電子賬戶中的餘額。黑客先從零售商店收集一些未加載的禮品卡,並嘗試辨識出卡片號碼的組合模式,通常來說,這些卡片中號碼的可變數字量很小。接下來,黑客登陸零售商的禮品卡系統,通過強制數字組合,找到有價值的號碼組。最終,將盜得的禮品卡進行售賣或用於消費。在這樣一個網絡安全威脅極其複雜的時代,零售企業不應忽視這樣簡單的風險。
供應鏈攻擊
2018年7月,有消息披露,美國全球性票務公司Ticketmaster因第三方服務商遭受數據洩露,包含用戶個人信息和銀行卡數據,事件影響近5%的全球用戶。事件是由第三方服務商Inbenta Technologie引起的,Inbenta Technologies為Ticketmaster提供軟件開發服務,而涉事軟件中含有惡意代碼。事件的背後,是一個名為Magecart的威脅組織發起的攻擊行動。研究人員發現,Magecart通過在第三方組件和服務上安裝惡意代碼攻擊了全球800多家電子商務網站。
當下,大多數行業均依賴供應鏈上合作伙伴提供的多樣服務,零售及電子商務企業更是如此,往往擁有數量龐大的合作伙伴,甚至部分企業合作伙伴的數量超過萬個。因此,零售企業也面臨著一類獨特的挑戰:在其合作的第三方合作伙伴中,即使僅一行代碼被破壞,也可能對其業務帶來嚴重的影響。
BitSight公司的研究人員調查了零售企業所依賴的服務提供商數量。數據顯示,企業規模在5000人以上的零售企業,服務提供商的中位數為52家。並且零售商規模越大,他們擁有的服務提供者越多,因此被攻擊的可能性亦越高。歷史上最大的兩起零售行業數據洩露事件(Target 和Home Depot)都是第三方攻擊導致的,攻擊者通過網絡釣魚郵件或其他方法,竊取第三方服務公司進入零售商供應商門戶網站的登錄憑證,一旦進入系統,攻擊者再獲得更高的訪問權限,在零售商系統安裝惡意軟件,或從POS系統中提取支付卡信息…黑客入侵第三方公司以達到攻擊第一方得目的,並不鮮見。
抵禦供應鏈攻擊並非易事,零售企業需要準確、持續地瞭解其第三方的網絡安全性能。2018年6月,“安全值”聯合“供應鏈安全聯盟”發佈了《第三方安全風險管理能力框架》,文中提到:“第三方是組織的擴展,其行為可以直接影響到合規性和品牌聲譽。這就要求企業對幾十個,幾百個甚至數千個第三方進行調查,評估和後續跟進,並對風險採取行動。第三方風險管理能力將應用於從合同簽訂之前到合同執行過程中一直到合同完成之後整個生命週期,並且在數字化環境下,風險控制需要得到領導充分的重視和支持,經多個業務和職能部門的協同來完成。“
可見,對第三方合作伙伴的風險管理,任重而道遠,過程更需要科學的方法。
閱讀更多 安全牛 的文章
