零售企業(yè)面臨的3種新威脅:物聯(lián)網(wǎng)漏洞、系統(tǒng)漏洞、供應鏈攻擊
近幾年,物聯(lián)網(wǎng)發(fā)展迅速,據(jù)美國市場研究公司Gartner預測,到2020年,全球物聯(lián)網(wǎng)設備將達260億臺,市場規(guī)模將達1.9萬億美元。對零售企業(yè)來說,物聯(lián)網(wǎng)技術的應用非常廣泛:提升購物體驗、智能庫存管理、預測設備維護、行人流量分析…許多零售企業(yè)已在著手物聯(lián)網(wǎng)技術的應用。
同時,這些新的聯(lián)網(wǎng)設備也增加了網(wǎng)絡犯罪可能的入口。由于網(wǎng)絡安全監(jiān)管難以跟上物聯(lián)網(wǎng)設備的爆炸式增長,零售企業(yè)需更加謹慎,對使用物聯(lián)網(wǎng)技術帶來的風險應有更加清晰的認識。在防范方面,對每個物聯(lián)網(wǎng)設備補丁的及時更新作為降低風險的措施,必不可少。
禮品卡系統(tǒng)漏洞
2018年9月,北京市西城法院審理了一起電信盜竊案,一名在上海某網(wǎng)絡公司工作的90后男子陳某,利用技術侵入味多美公司網(wǎng)站,盜走價值36萬元的蛋糕電子兌換碼并在網(wǎng)絡平臺上進行售賣,從中獲利。其同事楊某,因幫助陳某進行盜竊,以及涉嫌盜竊公民個人信息,與陳某一并被警方抓獲。
早在2015年,一位網(wǎng)絡安全研究員發(fā)現(xiàn)了一個許多零售禮品卡系統(tǒng)都存在的關鍵漏洞,黑客可利用該漏洞盜竊用戶電子賬戶中的余額。黑客先從零售商店收集一些未加載的禮品卡,并嘗試辨識出卡片號碼的組合模式,通常來說,這些卡片中號碼的可變數(shù)字量很小。接下來,黑客登陸零售商的禮品卡系統(tǒng),通過強制數(shù)字組合,找到有價值的號碼組。最終,將盜得的禮品卡進行售賣或用于消費。在這樣一個網(wǎng)絡安全威脅極其復雜的時代,零售企業(yè)不應忽視這樣簡單的風險。
供應鏈攻擊
2018年7月,有消息披露,美國全球性票務公司Ticketmaster因第三方服務商遭受數(shù)據(jù)泄露,包含用戶個人信息和銀行卡數(shù)據(jù),事件影響近5%的全球用戶。事件是由第三方服務商Inbenta Technologie引起的,Inbenta Technologies為Ticketmaster提供軟件開發(fā)服務,而涉事軟件中含有惡意代碼。事件的背后,是一個名為Magecart的威脅組織發(fā)起的攻擊行動。研究人員發(fā)現(xiàn),Magecart通過在第三方組件和服務上安裝惡意代碼攻擊了全球800多家電子商務網(wǎng)站。
當下,大多數(shù)行業(yè)均依賴供應鏈上合作伙伴提供的多樣服務,零售及電子商務企業(yè)更是如此,往往擁有數(shù)量龐大的合作伙伴,甚至部分企業(yè)合作伙伴的數(shù)量超過萬個。因此,零售企業(yè)也面臨著一類獨特的挑戰(zhàn):在其合作的第三方合作伙伴中,即使僅一行代碼被破壞,也可能對其業(yè)務帶來嚴重的影響。
BitSight公司的研究人員調查了零售企業(yè)所依賴的服務提供商數(shù)量。數(shù)據(jù)顯示,企業(yè)規(guī)模在5000人以上的零售企業(yè),服務提供商的中位數(shù)為52家。并且零售商規(guī)模越大,他們擁有的服務提供者越多,因此被攻擊的可能性亦越高。歷史上最大的兩起零售行業(yè)數(shù)據(jù)泄露事件(Target和Home Depot)都是第三方攻擊導致的,攻擊者通過網(wǎng)絡釣魚郵件或其他方法,竊取第三方服務公司進入零售商供應商門戶網(wǎng)站的登錄憑證,一旦進入系統(tǒng),攻擊者再獲得更高的訪問權限,在零售商系統(tǒng)安裝惡意軟件,或從POS系統(tǒng)中提取支付卡信息…黑客入侵第三方公司以達到攻擊第一方得目的,并不鮮見。
抵御供應鏈攻擊并非易事,零售企業(yè)需要準確、持續(xù)地了解其第三方的網(wǎng)絡安全性能。2018年6月,“安全值”聯(lián)合“供應鏈安全聯(lián)盟”發(fā)布了《第三方安全風險管理能力框架》,文中提到“第三方是組織的擴展,其行為可以直接影響到合規(guī)性和品牌聲譽。這就要求企業(yè)對幾十個,幾百個甚至數(shù)千個第三方進行調查,評估和后續(xù)跟進,并對風險采取行動。第三方風險管理能力將應用于從合同簽訂之前到合同執(zhí)行過程中一直到合同完成之后整個生命周期,并且在數(shù)字化環(huán)境下,風險控制需要得到領導充分的重視和支持,經(jīng)多個業(yè)務和職能部門的協(xié)同來完成。“可見,對第三方合作伙伴的風險管理,任重而道遠,過程更需要科學的方法。
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市