電子商務常發生資安問題的原因

2018 / 11 / 12

編輯部

台灣許多具實體店面的小型企業，都想透過網路進行販售，然而受限於產業規模與型態，企業員工通常不具資訊及資安相關背景，因此其線上購物網站普遍委託網站開發廠商建置，企業對於系統架構與網站設計皆無法掌握，開發商因人力、技術及成本考量，相關的安全測試與檢查常被忽略，普遍存在許多問題。沈紀威分析師表示，常見的問題包括網站原始碼存在安全漏洞，相同網站開發商所建置之網站，可能使用相同開發框架，若網站開發商對於網站資訊安全不重視，容易導致企業遭遇類似的資安風險。

此外，許多網站並無防火牆保護或防火牆設定為預設值或設定不正確，且網站伺服器的作業系統及應用程式未安全更新至最新版，防毒軟體未安裝或未更新至最新病毒碼，網站資料庫存取未即時監控異常連線，都讓網站暴露在資安風險之中。另外還包括網站未採用SSL加密機制，委外廠商不處理（合約沒寫、合約過期了不保固）、網站的管理權限無有效的控管，一般僅使用帳號/密碼管理，無限制管理者的來源，內部員工電腦遭入侵（社交工程、惡意郵件）等，都是駭客最常利用的漏洞攻擊途徑。

蒐集情資聯防第一步
台灣電子商務所面對的資安風險相當多樣，從資安事件中分析，最常見的主導攻擊者為外部駭客，最常受到攻擊的單位則是小型電商，辦公室內網潛伏惡意軟體、網站的弱點、著名軟體

弱點遭利用等，則是駭客最常採用的攻擊點。EC-CERT正工程師林耕宇表示，資安攻擊可以分成四大階段，分別是感染、持續（維持被感染狀態）、報到、控制，最常見的手法則是利用網站弱點、網頁弱點、APT郵件攻擊、撞庫攻擊等，POS與加密貨幣遭受連環攻擊，則已經成為下一波資安威脅重點。林耕宇表示，建立智慧情資與通報聯防機制是當前最重要的資安重點，蒐集情資則是聯防第一步，必須從SIEM（Security Information Event Management，安全性資訊與事件管理）、網路行為監控、入侵偵測、資產盤點、弱點掃描等不同面向處理通報應變事件，並從攻擊、弱點／威脅、重要資產之間找出有效的威脅分析，建構出關聯的分析模組，然後從政策與管理、情資與通報、鑑識與杜絕、應變與處理四個面向，落實電商資安事件的處理。

依據2018賽門鐵克網路威脅分析報告，最常見的各種網路威脅形式，包括網頁威脅、電子郵件、物聯網、漏洞、惡意軟體、勒索軟體、行動設備、工業控制系統相關漏洞增長等，賽門鐵克首席資深技術顧問張士龍表示，要做好資訊安全防護，必須做好資安監控服務、基礎架構防護、資安顧問服務等工作，在基礎架構防護上，做好四個維度思考：端點、閘道、郵件防護、雲端，包括威脅防護、資料保護、安全聯防與行為鑑識分析；在即時監控安全分析方面，事前應做好安全情資通報，事中則應在攻擊當下時即偵測；在資安顧問服務方面則應做好系統服務漏洞與威脅檢測，產品系統參數優化與IT成熟度分析。

電商六大安全面向
電商系統除了被動地在資安事件發生之後，進行漏洞修補與災害停損之外，其實

更應該積極地進行主動的安全防禦策略，工研院資通所卓傳育博士／副組長表示，電子商務安全可以包括六個面向，包括完整性、不可否認性、真實性、機密性、隱私、可用性。電子商務威脅包括客戶端電腦威脅、通訊通道威脅，以及伺務器威脅等，若想要最小化電子商務威脅，則必須要執行風險評估，接著要制定安全政策，然後制定實施計劃，並創建安全組織，執行安全審核，如此才能將電子商務威脅降到最低。

卓傳育表示，要追求電子商務的安全性，必須採用主動安全防禦的概念，用基於白名單概念的安全系統設計架構，建立網路白名單、程式行為白名單、作業系統、虛擬化管理層、硬體、CPU、BIOS，針對Windows / Linux提供白名單保護，在程式將執行時，攔截並檢查程式完整性，阻擋未授權的程式執行。面對未知資安威脅，針對封閉環境、固定功能系統提供高度保護，檢查待執行的程式、函式庫、Script與驅動程式完整性，提供二階段安裝與更新，嚴格管理白名單資料庫，杜絕「未知」的惡意程式，來進行主動式安全防禦。

結語
電子商務安全是電商平台不可迴避的責任，目前大型的電商平台通常都已經做了資安系統的投入，雖然容易受到駭客的攻擊，但也相對擁有抵抗駭客入侵的能力，反而是小型的電商平台或是企業內建的電商平台，由於資金、人力不足，容易成為駭客的攻擊目標。想要電子商務平台穩定的發展，仍有賴業者在資安方面加大投入的力度，另一方面，消費者也應建立提防詐騙的常識，慎選購物平台，也對可疑的詐騙行為有所警覺，方能讓電子商務能夠長期永續的發展。

電子商務資安風險