企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站

網路普及，電子商務產業快速發展，成長的同時，駭客威脅也隨之而來，如何保護手中龐大的客戶資料，是電子商務業者最重要的營運課題。

威脅與控制措施

最大威脅：

電子商務營運模式不同於實體店面，客戶必須留下姓名、電話、地址等個人資料，才能進行交易，也因此，許多電子商務業者的營運規模雖然不大，手中擁有的客戶資料筆數卻不少，對這些業者來說，最主要的資安威脅就是客戶資料外洩。

客戶資料外洩分成兩種情況，第一種是由外到內的攻擊，EC網站因為擁有大量個人資料，容易成為駭客攻擊的目標，駭客經由網站漏洞進入資料庫或內網並取得資料；第二種情況則是由內到外流出資料，也就是內部員工有意或無意地洩露客戶資料，目前，EC產業較常面臨的是第一種情況，原因在於網頁應用程式本身的安全性不足。

根據國外調查報告，在所有電子商務產業資料外洩事件裡，有80%是因為Web AP的漏洞，而最常見的駭客攻擊手法為SQL Injection。然而，無論學校或企業都不會要求程式開發者寫一隻安全程式，程式開發人員有能力寫出功能豐富、介面友善的應用程式，卻不知道如何降低AP被駭客攻破的機率。

建議控制措施：安全程式、源碼檢測、滲透測試、WAF

改善之道就是將安全觀念融入軟體開發生命週期裡(System Development Lifecycle for Security)，可分成以下幾個階段來說明：
第一、 系統規格開立：一開始就要將安全融入系統規格中，如：控制資料輸入格式、防範OWSAP所列10大安全風險、防範跨網站指令碼(Cross-site scripting, XSS)的攻擊；
第二、 系統需求分析：此時要考量資料輸入或輸出的安全疑慮；
第三、 程式設計：程式開發完成後必須進行源碼檢測(Code Review)，針對原始碼(Source Code)做靜態掃描。通常有兩種做法，一個是用人工方式，由不同程式設計師檢測原始碼，成本低但花時間，容易拖累系統上線速度，另一個則是透過專屬工具，成本較高但可以加快檢測及系統上線的速度。此外，應用源碼檢測工具後會產出一份報告，指出哪一個模組的第幾行程式有問題，並建議應有的改善措施，也或者EC業者可以委由顧問公司協助，提供程式碼的修正建議。
第四、 系統上線前：當網站AP通過測試準備上線前，EC業者必須應用滲透測試（工具+服務）再做一次安全檢測，這是避免Code Review可能的人為誤差，再加上其乃依據Template和Signature進行檢測，找到的都是已知問題，無法找到那些未被發現以及因為商業邏輯謬誤而產生的問題。
第五、 系統上線後：EC平台提供的服務或促銷模式經常在改變，最好使用網頁應用程式防火牆(WAF)持續監控有無資安風險。

優先順序：先做滲透測試 快速找出弱點並改善

對電子商務而言，理想的做法是從系統開發源頭做好安全防護，然而，業者實際面臨的狀況卻是，AP已經上線且運作一段時間，才發現程式有安全問題，此時已經無法回到源頭的系統規格開立階段，比較好的做法是先應用滲透測試工具，找出AP的安全漏洞並予以改善，可能的改善方式有修正程式碼、WAF、IPS、系統安全組態設定(Configuration)等，之後再應用源碼檢測工具對AP進行總體檢。

舉例來說，如果一次找出200多個SQL的問題，可以先在WAF設定相對應的policy補強漏洞，之後再來思考解決之道，但如果找到的問題不多，也許直接修改程式碼就可以。

資安問題背後的原因：只想解決眼前問題 沒有做長遠考量

即便如此，我們仍然可以在大眾媒體上看到EC網站資料外洩的新聞，最常發生的狀況是，民眾在某家EC網站消費後，隔沒幾天就接到詐騙電話，這是因為多數企業主只把眼光放在當下、沒有做長遠考量。

EC業者通常不會主動發現駭客正在竊取資料，而是等到接獲客戶抱怨電話時，才有所警惕、開始找資安廠商協助解決問題，但是，他們想解決的只有引發這次資料外洩事件的問題，假設是網站AP漏洞所引起，把這個漏洞補強就好，不會一併改善其他潛藏在AP裡的漏洞，這種只治標不治本的結果就是，有50%的企業又會再一次發生資料外洩事件。

其實，網站被駭客入侵是難免的，沒有一個百分之百安全的網站，重點是網站被駭之後的態度，企業主有沒有想要解決問題，讓類似的事件不再發生，除了前述所提在SDLC中納入安全觀念，還要搭配以下兩套管理制度：
第一、 定期教育訓練：定期對程式開發者進行安全程式的教育訓練，使其明白如何撰寫一隻安全程式；
第二、 建構安全的基礎環境：亦即控制網站AP安裝環境的安全性，包括網路的存取控制、主機及網路服務（如：IIS、Apache）在安裝設定時，必須要有相對應的安全考量，如：磁碟分割、Log保存的強度等。避免駭客利用主機安全漏洞取得管理者權限，進入企業內網竊取資料。

個資法提醒：

個資法通過後，企業不能再輕忽保護客戶個資這件事，電子商務最主要的資料外洩風險來自於外部駭客，故應從落實SDLC開始，降低外部駭客竊取資料的風險，之後再考慮DLP之類的解決方案來管控內部員工，最後則是需求具有舉證功能的資安設備，像是日誌管理(LM)、資料庫稽核等解決方案，甚至有可能需要數位鑑識服務，確認證據的有效性，在未來發生個資外洩爭議時，才能將證據化為保護自身的利器。