侵權(quán)投訴
訂閱
糾錯
加入自媒體

零售企業(yè)面臨的3種新威脅:物聯(lián)網(wǎng)漏洞、系統(tǒng)漏洞、供應(yīng)鏈攻擊

物聯(lián)網(wǎng)漏洞

近幾年,物聯(lián)網(wǎng)發(fā)展迅速,據(jù)美國市場研究公司Gartner預(yù)測,到2020年,全球物聯(lián)網(wǎng)設(shè)備將達(dá)260億臺,市場規(guī)模將達(dá)1.9萬億美元。對零售企業(yè)來說,物聯(lián)網(wǎng)技術(shù)的應(yīng)用非常廣泛:提升購物體驗(yàn)、智能庫存管理、預(yù)測設(shè)備維護(hù)、行人流量分析…許多零售企業(yè)已在著手物聯(lián)網(wǎng)技術(shù)的應(yīng)用。

同時,這些新的聯(lián)網(wǎng)設(shè)備也增加了網(wǎng)絡(luò)犯罪可能的入口。由于網(wǎng)絡(luò)安全監(jiān)管難以跟上物聯(lián)網(wǎng)設(shè)備的爆炸式增長,零售企業(yè)需更加謹(jǐn)慎,對使用物聯(lián)網(wǎng)技術(shù)帶來的風(fēng)險應(yīng)有更加清晰的認(rèn)識。在防范方面,對每個物聯(lián)網(wǎng)設(shè)備補(bǔ)丁的及時更新作為降低風(fēng)險的措施,必不可少。

禮品卡系統(tǒng)漏洞

2018年9月,北京市西城法院審理了一起電信盜竊案,一名在上海某網(wǎng)絡(luò)公司工作的90后男子陳某,利用技術(shù)侵入味多美公司網(wǎng)站,盜走價值36萬元的蛋糕電子兌換碼并在網(wǎng)絡(luò)平臺上進(jìn)行售賣,從中獲利。其同事楊某,因幫助陳某進(jìn)行盜竊,以及涉嫌盜竊公民個人信息,與陳某一并被警方抓獲。

早在2015年,一位網(wǎng)絡(luò)安全研究員發(fā)現(xiàn)了一個許多零售禮品卡系統(tǒng)都存在的關(guān)鍵漏洞,黑客可利用該漏洞盜竊用戶電子賬戶中的余額。黑客先從零售商店收集一些未加載的禮品卡,并嘗試辨識出卡片號碼的組合模式,通常來說,這些卡片中號碼的可變數(shù)字量很小。接下來,黑客登陸零售商的禮品卡系統(tǒng),通過強(qiáng)制數(shù)字組合,找到有價值的號碼組。最終,將盜得的禮品卡進(jìn)行售賣或用于消費(fèi)。在這樣一個網(wǎng)絡(luò)安全威脅極其復(fù)雜的時代,零售企業(yè)不應(yīng)忽視這樣簡單的風(fēng)險。

供應(yīng)鏈攻擊

2018年7月,有消息披露,美國全球性票務(wù)公司Ticketmaster因第三方服務(wù)商遭受數(shù)據(jù)泄露,包含用戶個人信息和銀行卡數(shù)據(jù),事件影響近5%的全球用戶。事件是由第三方服務(wù)商Inbenta Technologie引起的,Inbenta Technologies為Ticketmaster提供軟件開發(fā)服務(wù),而涉事軟件中含有惡意代碼。事件的背后,是一個名為Magecart的威脅組織發(fā)起的攻擊行動。研究人員發(fā)現(xiàn),Magecart通過在第三方組件和服務(wù)上安裝惡意代碼攻擊了全球800多家電子商務(wù)網(wǎng)站。

當(dāng)下,大多數(shù)行業(yè)均依賴供應(yīng)鏈上合作伙伴提供的多樣服務(wù),零售及電子商務(wù)企業(yè)更是如此,往往擁有數(shù)量龐大的合作伙伴,甚至部分企業(yè)合作伙伴的數(shù)量超過萬個。因此,零售企業(yè)也面臨著一類獨(dú)特的挑戰(zhàn):在其合作的第三方合作伙伴中,即使僅一行代碼被破壞,也可能對其業(yè)務(wù)帶來嚴(yán)重的影響。

BitSight公司的研究人員調(diào)查了零售企業(yè)所依賴的服務(wù)提供商數(shù)量。數(shù)據(jù)顯示,企業(yè)規(guī)模在5000人以上的零售企業(yè),服務(wù)提供商的中位數(shù)為52家。并且零售商規(guī)模越大,他們擁有的服務(wù)提供者越多,因此被攻擊的可能性亦越高。歷史上最大的兩起零售行業(yè)數(shù)據(jù)泄露事件(Target和Home Depot)都是第三方攻擊導(dǎo)致的,攻擊者通過網(wǎng)絡(luò)釣魚郵件或其他方法,竊取第三方服務(wù)公司進(jìn)入零售商供應(yīng)商門戶網(wǎng)站的登錄憑證,一旦進(jìn)入系統(tǒng),攻擊者再獲得更高的訪問權(quán)限,在零售商系統(tǒng)安裝惡意軟件,或從POS系統(tǒng)中提取支付卡信息…黑客入侵第三方公司以達(dá)到攻擊第一方得目的,并不鮮見。

抵御供應(yīng)鏈攻擊并非易事,零售企業(yè)需要準(zhǔn)確、持續(xù)地了解其第三方的網(wǎng)絡(luò)安全性能。2018年6月,“安全值”聯(lián)合“供應(yīng)鏈安全聯(lián)盟”發(fā)布了《第三方安全風(fēng)險管理能力框架》,文中提到“第三方是組織的擴(kuò)展,其行為可以直接影響到合規(guī)性和品牌聲譽(yù)。這就要求企業(yè)對幾十個,幾百個甚至數(shù)千個第三方進(jìn)行調(diào)查,評估和后續(xù)跟進(jìn),并對風(fēng)險采取行動。第三方風(fēng)險管理能力將應(yīng)用于從合同簽訂之前到合同執(zhí)行過程中一直到合同完成之后整個生命周期,并且在數(shù)字化環(huán)境下,風(fēng)險控制需要得到領(lǐng)導(dǎo)充分的重視和支持,經(jīng)多個業(yè)務(wù)和職能部門的協(xié)同來完成。“可見,對第三方合作伙伴的風(fēng)險管理,任重而道遠(yuǎn),過程更需要科學(xué)的方法。

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號