零售企業(yè)面臨的3種新威脅:物聯(lián)網(wǎng)漏洞、系統(tǒng)漏洞、供應(yīng)鏈攻擊
近幾年,物聯(lián)網(wǎng)發(fā)展迅速,據(jù)美國市場研究公司Gartner預(yù)測,到2020年,全球物聯(lián)網(wǎng)設(shè)備將達(dá)260億臺,市場規(guī)模將達(dá)1.9萬億美元。對零售企業(yè)來說,物聯(lián)網(wǎng)技術(shù)的應(yīng)用非常廣泛:提升購物體驗(yàn)、智能庫存管理、預(yù)測設(shè)備維護(hù)、行人流量分析…許多零售企業(yè)已在著手物聯(lián)網(wǎng)技術(shù)的應(yīng)用。
同時,這些新的聯(lián)網(wǎng)設(shè)備也增加了網(wǎng)絡(luò)犯罪可能的入口。由于網(wǎng)絡(luò)安全監(jiān)管難以跟上物聯(lián)網(wǎng)設(shè)備的爆炸式增長,零售企業(yè)需更加謹(jǐn)慎,對使用物聯(lián)網(wǎng)技術(shù)帶來的風(fēng)險應(yīng)有更加清晰的認(rèn)識。在防范方面,對每個物聯(lián)網(wǎng)設(shè)備補(bǔ)丁的及時更新作為降低風(fēng)險的措施,必不可少。
禮品卡系統(tǒng)漏洞
2018年9月,北京市西城法院審理了一起電信盜竊案,一名在上海某網(wǎng)絡(luò)公司工作的90后男子陳某,利用技術(shù)侵入味多美公司網(wǎng)站,盜走價值36萬元的蛋糕電子兌換碼并在網(wǎng)絡(luò)平臺上進(jìn)行售賣,從中獲利。其同事楊某,因幫助陳某進(jìn)行盜竊,以及涉嫌盜竊公民個人信息,與陳某一并被警方抓獲。
早在2015年,一位網(wǎng)絡(luò)安全研究員發(fā)現(xiàn)了一個許多零售禮品卡系統(tǒng)都存在的關(guān)鍵漏洞,黑客可利用該漏洞盜竊用戶電子賬戶中的余額。黑客先從零售商店收集一些未加載的禮品卡,并嘗試辨識出卡片號碼的組合模式,通常來說,這些卡片中號碼的可變數(shù)字量很小。接下來,黑客登陸零售商的禮品卡系統(tǒng),通過強(qiáng)制數(shù)字組合,找到有價值的號碼組。最終,將盜得的禮品卡進(jìn)行售賣或用于消費(fèi)。在這樣一個網(wǎng)絡(luò)安全威脅極其復(fù)雜的時代,零售企業(yè)不應(yīng)忽視這樣簡單的風(fēng)險。
供應(yīng)鏈攻擊
2018年7月,有消息披露,美國全球性票務(wù)公司Ticketmaster因第三方服務(wù)商遭受數(shù)據(jù)泄露,包含用戶個人信息和銀行卡數(shù)據(jù),事件影響近5%的全球用戶。事件是由第三方服務(wù)商Inbenta Technologie引起的,Inbenta Technologies為Ticketmaster提供軟件開發(fā)服務(wù),而涉事軟件中含有惡意代碼。事件的背后,是一個名為Magecart的威脅組織發(fā)起的攻擊行動。研究人員發(fā)現(xiàn),Magecart通過在第三方組件和服務(wù)上安裝惡意代碼攻擊了全球800多家電子商務(wù)網(wǎng)站。
當(dāng)下,大多數(shù)行業(yè)均依賴供應(yīng)鏈上合作伙伴提供的多樣服務(wù),零售及電子商務(wù)企業(yè)更是如此,往往擁有數(shù)量龐大的合作伙伴,甚至部分企業(yè)合作伙伴的數(shù)量超過萬個。因此,零售企業(yè)也面臨著一類獨(dú)特的挑戰(zhàn):在其合作的第三方合作伙伴中,即使僅一行代碼被破壞,也可能對其業(yè)務(wù)帶來嚴(yán)重的影響。
BitSight公司的研究人員調(diào)查了零售企業(yè)所依賴的服務(wù)提供商數(shù)量。數(shù)據(jù)顯示,企業(yè)規(guī)模在5000人以上的零售企業(yè),服務(wù)提供商的中位數(shù)為52家。并且零售商規(guī)模越大,他們擁有的服務(wù)提供者越多,因此被攻擊的可能性亦越高。歷史上最大的兩起零售行業(yè)數(shù)據(jù)泄露事件(Target和Home Depot)都是第三方攻擊導(dǎo)致的,攻擊者通過網(wǎng)絡(luò)釣魚郵件或其他方法,竊取第三方服務(wù)公司進(jìn)入零售商供應(yīng)商門戶網(wǎng)站的登錄憑證,一旦進(jìn)入系統(tǒng),攻擊者再獲得更高的訪問權(quán)限,在零售商系統(tǒng)安裝惡意軟件,或從POS系統(tǒng)中提取支付卡信息…黑客入侵第三方公司以達(dá)到攻擊第一方得目的,并不鮮見。
抵御供應(yīng)鏈攻擊并非易事,零售企業(yè)需要準(zhǔn)確、持續(xù)地了解其第三方的網(wǎng)絡(luò)安全性能。2018年6月,“安全值”聯(lián)合“供應(yīng)鏈安全聯(lián)盟”發(fā)布了《第三方安全風(fēng)險管理能力框架》,文中提到“第三方是組織的擴(kuò)展,其行為可以直接影響到合規(guī)性和品牌聲譽(yù)。這就要求企業(yè)對幾十個,幾百個甚至數(shù)千個第三方進(jìn)行調(diào)查,評估和后續(xù)跟進(jìn),并對風(fēng)險采取行動。第三方風(fēng)險管理能力將應(yīng)用于從合同簽訂之前到合同執(zhí)行過程中一直到合同完成之后整個生命周期,并且在數(shù)字化環(huán)境下,風(fēng)險控制需要得到領(lǐng)導(dǎo)充分的重視和支持,經(jīng)多個業(yè)務(wù)和職能部門的協(xié)同來完成。“可見,對第三方合作伙伴的風(fēng)險管理,任重而道遠(yuǎn),過程更需要科學(xué)的方法。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市