網路普及,電子商務產業快速發展,成長的同時,駭客威脅也隨之而來,如何保護手中龐大的客戶資料,是電子商務業者最重要的營運課題。
威脅與控制措施
最大威脅:
電子商務營運模式不同於實體店面,客戶必須留下姓名、電話、地址等個人資料,才能進行交易,也因此,許多電子商務業者的營運規模雖然不大,手中擁有的客戶資料筆數卻不少,對這些業者來說,最主要的資安威脅就是客戶資料外洩。
客戶資料外洩分成兩種情況,第一種是由外到內的攻擊,EC網站因為擁有大量個人資料,容易成為駭客攻擊的目標,駭客經由網站漏洞進入資料庫或內網並取得資料;第二種情況則是由內到外流出資料,也就是內部員工有意或無意地洩露客戶資料,目前,EC產業較常面臨的是第一種情況,原因在於網頁應用程式本身的安全性不足。
根據國外調查報告,在所有電子商務產業資料外洩事件裡,有80%是因為Web AP的漏洞,而最常見的駭客攻擊手法為SQL Injection。然而,無論學校或企業都不會要求程式開發者寫一隻安全程式,程式開發人員有能力寫出功能豐富、介面友善的應用程式,卻不知道如何降低AP被駭客攻破的機率。
建議控制措施:安全程式、源碼檢測、滲透測試、WAF
改善之道就是將安全觀念融入軟體開發生命週期裡(System Development Lifecycle for Security),可分成以下幾個階段來說明:
第一、 系統規格開立:一開始就要將安全融入系統規格中,如:控制資料輸入格式、防範OWSAP所列10大安全風險、防範跨網站指令碼(Cross-site scripting, XSS)的攻擊;
第二、 系統需求分析:此時要考量資料輸入或輸出的安全疑慮;
第三、 程式設計:程式開發完成後必須進行源碼檢測(Code Review),針對原始碼(Source Code)做靜態掃描。通常有兩種做法,一個是用人工方式,由不同程式設計師檢測原始碼,成本低但花時間,容易拖累系統上線速度,另一個則是透過專屬工具,成本較高但可以加快檢測及系統上線的速度。此外,應用源碼檢測工具後會產出一份報告,指出哪一個模組的第幾行程式有問題,並建議應有的改善措施,也或者EC業者可以委由顧問公司協助,提供程式碼的修正建議。
第四、 系統上線前:當網站AP通過測試準備上線前,EC業者必須應用滲透測試(工具+服務)再做一次安全檢測,這是避免Code Review可能的人為誤差,再加上其乃依據Template和Signature進行檢測,找到的都是已知問題,無法找到那些未被發現以及因為商業邏輯謬誤而產生的問題。
第五、 系統上線後:EC平台提供的服務或促銷模式經常在改變,最好使用網頁應用程式防火牆(WAF)持續監控有無資安風險。
優先順序:先做滲透測試 快速找出弱點並改善
對電子商務而言,理想的做法是從系統開發源頭做好安全防護,然而,業者實際面臨的狀況卻是,AP已經上線且運作一段時間,才發現程式有安全問題,此時已經無法回到源頭的系統規格開立階段,比較好的做法是先應用滲透測試工具,找出AP的安全漏洞並予以改善,可能的改善方式有修正程式碼、WAF、IPS、系統安全組態設定(Configuration)等,之後再應用源碼檢測工具對AP進行總體檢。
舉例來說,如果一次找出200多個SQL的問題,可以先在WAF設定相對應的policy補強漏洞,之後再來思考解決之道,但如果找到的問題不多,也許直接修改程式碼就可以。
資安問題背後的原因:只想解決眼前問題 沒有做長遠考量
即便如此,我們仍然可以在大眾媒體上看到EC網站資料外洩的新聞,最常發生的狀況是,民眾在某家EC網站消費後,隔沒幾天就接到詐騙電話,這是因為多數企業主只把眼光放在當下、沒有做長遠考量。
EC業者通常不會主動發現駭客正在竊取資料,而是等到接獲客戶抱怨電話時,才有所警惕、開始找資安廠商協助解決問題,但是,他們想解決的只有引發這次資料外洩事件的問題,假設是網站AP漏洞所引起,把這個漏洞補強就好,不會一併改善其他潛藏在AP裡的漏洞,這種只治標不治本的結果就是,有50%的企業又會再一次發生資料外洩事件。
其實,網站被駭客入侵是難免的,沒有一個百分之百安全的網站,重點是網站被駭之後的態度,企業主有沒有想要解決問題,讓類似的事件不再發生,除了前述所提在SDLC中納入安全觀念,還要搭配以下兩套管理制度:
第一、 定期教育訓練:定期對程式開發者進行安全程式的教育訓練,使其明白如何撰寫一隻安全程式;
第二、 建構安全的基礎環境:亦即控制網站AP安裝環境的安全性,包括網路的存取控制、主機及網路服務(如:IIS、Apache)在安裝設定時,必須要有相對應的安全考量,如:磁碟分割、Log保存的強度等。避免駭客利用主機安全漏洞取得管理者權限,進入企業內網竊取資料。
個資法提醒:
個資法通過後,企業不能再輕忽保護客戶個資這件事,電子商務最主要的資料外洩風險來自於外部駭客,故應從落實SDLC開始,降低外部駭客竊取資料的風險,之後再考慮DLP之類的解決方案來管控內部員工,最後則是需求具有舉證功能的資安設備,像是日誌管理(LM)、資料庫稽核等解決方案,甚至有可能需要數位鑑識服務,確認證據的有效性,在未來發生個資外洩爭議時,才能將證據化為保護自身的利器。
EC產業安全小提醒 1. EC網站資料外洩事件,有80%是由網站AP漏洞所引起,EC業者應該將「安全」納入對網站程式的要求。 2. 將安全觀念融入軟體開發生命週期裡,在開發一支新程式時,從系統規格、需求分析、開發完成、到上線前,都必須兼顧安全的基本要求。 3. 已經上線的AP,先透過滲透測試快速找出弱點並補強,之後再應用源碼檢測工具進行總體檢,改善所有潛藏在AP裡的漏洞。 4. 建構安全的基礎環境,例如網路的存取控制、主機及網路服務在安裝設定時,也要有相對應的安全考量。 5. 強化舉證能力,在未來發生個資外洩爭議時,才能將證據化為保護自身的利器。 |
◎資安需求總表請至 資安二手市集 下載
◎相關系列文章:
企業資安需求─2011資安地圖 使用說明
企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多
企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效
企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要
企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險
企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料
企業資安需求(七) 學術機構-校園好多洞 最少應好好遵循ISMS和加密