物联网漏洞
近几年,物联网发展迅速,据美国市场研究公司Gartner预测,到2020年,全球物联网设备将达260亿台,市场规模将达1.9万亿美元。
对零售企业来说,物联网技术的应用非常广泛:提升购物体验、智能库存管理、预测设备维护、行人流量分析…许多零售企业已在着手物联网技术的应用。
同时,这些新的联网设备也增加了网络犯罪可能的入口。由于网络安全监管难以跟上物联网设备的爆炸式增长,零售企业需更加谨慎,对使用物联网技术带来的风险应有更加清晰的认识。在防范方面,对每个物联网设备补丁的及时更新作为降低风险的措施,必不可少。
礼品卡系统漏洞
2018年9月,北京市西城法院审理了一起电信盗窃案,一名在上海某网络公司工作的90后男子陈某,利用技术侵入味多美公司网站,盗走价值36万元的蛋糕电子兑换码并在网络平台上进行售卖,从中获利。其同事杨某,因帮助陈某进行盗窃,以及涉嫌盗窃公民个人信息,与陈某一并被警方抓获。
早在2015年,一位网络安全研究员发现了一个许多零售礼品卡系统都存在的关键漏洞,黑客可利用该漏洞盗窃用户电子账户中的余额。黑客先从零售商店收集一些未加载的礼品卡,并尝试辨识出卡片号码的组合模式,通常来说,这些卡片中号码的可变数字量很小。接下来,黑客登陆零售商的礼品卡系统,通过强制数字组合,找到有价值的号码组。最终,将盗得的礼品卡进行售卖或用于消费。在这样一个网络安全威胁极其复杂的时代,零售企业不应忽视这样简单的风险。
供应链攻击
2018年7月,有消息披露,美国全球性票务公司Ticketmaster因第三方服务商遭受数据泄露,包含用户个人信息和银行卡数据,事件影响近5%的全球用户。事件是由第三方服务商Inbenta Technologie引起的,Inbenta Technologies为Ticketmaster提供软件开发服务,而涉事软件中含有恶意代码。事件的背后,是一个名为Magecart的威胁组织发起的攻击行动。研究人员发现,Magecart通过在第三方组件和服务上安装恶意代码攻击了全球800多家电子商务网站。
当下,大多数行业均依赖供应链上合作伙伴提供的多样服务,零售及电子商务企业更是如此,往往拥有数量庞大的合作伙伴,甚至部分企业合作伙伴的数量超过万个。因此,零售企业也面临着一类独特的挑战:在其合作的第三方合作伙伴中,即使仅一行代码被破坏,也可能对其业务带来严重的影响。
BitSight公司的研究人员调查了零售企业所依赖的服务提供商数量。数据显示,企业规模在5000人以上的零售企业,服务提供商的中位数为52家。并且零售商规模越大,他们拥有的服务提供者越多,因此被攻击的可能性亦越高。历史上最大的两起零售行业数据泄露事件(Target 和Home Depot)都是第三方攻击导致的,攻击者通过网络钓鱼邮件或其他方法,窃取第三方服务公司进入零售商供应商门户网站的登录凭证,一旦进入系统,攻击者再获得更高的访问权限,在零售商系统安装恶意软件,或从POS系统中提取支付卡信息…黑客入侵第三方公司以达到攻击第一方得目的,并不鲜见。
抵御供应链攻击并非易事,零售企业需要准确、持续地了解其第三方的网络安全性能。2018年6月,“安全值”联合“供应链安全联盟”发布了《第三方安全风险管理能力框架》,文中提到:“第三方是组织的扩展,其行为可以直接影响到合规性和品牌声誉。这就要求企业对几十个,几百个甚至数千个第三方进行调查,评估和后续跟进,并对风险采取行动。第三方风险管理能力将应用于从合同签订之前到合同执行过程中一直到合同完成之后整个生命周期,并且在数字化环境下,风险控制需要得到领导充分的重视和支持,经多个业务和职能部门的协同来完成。“
可见,对第三方合作伙伴的风险管理,任重而道远,过程更需要科学的方法。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。