觀點

電子商務 常發生資安問題的原因

2018 / 11 / 12
編輯部
電子商務 常發生資安問題的原因
台灣許多具實體店面的小型企業,都想透過網路進行販售,然而受限於產業規模與型態,企業員工通常不具資訊及資安相關背景,因此其線上購物網站普遍委託網站開發廠商建置,企業對於系統架構與網站設計皆無法掌握,開發商因人力、技術及成本考量,相關的安全測試與檢查常被忽略,普遍存在許多問題。沈紀威分析師表示,常見的問題包括網站原始碼存在安全漏洞,相同網站開發商所建置之網站,可能使用相同開發框架,若網站開發商對於網站資訊安全不重視,容易導致企業遭遇類似的資安風險。

此外,許多網站並無防火牆保護或防火牆設定為預設值或設定不正確,且網站伺服器的作業系統及應用程式未安全更新至最新版,防毒軟體未安裝或未更新至最新病毒碼,網站資料庫存取未即時監控異常連線,都讓網站暴露在資安風險之中。另外還包括網站未採用SSL加密機制,委外廠商不處理(合約沒寫、合約過期了不保固)、網站的管理權限無有效的控管,一般僅使用帳號/密碼管理,無限制管理者的來源,內部員工電腦遭入侵(社交工程、惡意郵件)等,都是駭客最常利用的漏洞攻擊途徑。

蒐集情資 聯防第一步
台灣電子商務所面對的資安風險相當多樣,從資安事件中分析,最常見的主導攻擊者為外部駭客,最常受到攻擊的單位則是小型電商,辦公室內網潛伏惡意軟體、網站的弱點、著名軟體弱點遭利用等,則是駭客最常採用的攻擊點。EC-CERT正工程師林耕宇表示,資安攻擊可以分成四大階段,分別是感染、持續(維持被感染狀態)、報到、控制,最常見的手法則是利用網站弱點、網頁弱點、APT郵件攻擊、撞庫攻擊等,POS與加密貨幣遭受連環攻擊,則已經成為下一波資安威脅重點。林耕宇表示,建立智慧情資與通報聯防機制是當前最重要的資安重點,蒐集情資則是聯防第一步,必須從SIEM(Security Information Event Management,安全性資訊與事件管理)、網路行為監控、入侵偵測、資產盤點、弱點掃描等不同面向處理通報應變事件,並從攻擊、弱點/威脅、重要資產之間找出有效的威脅分析,建構出關聯的分析模組,然後從政策與管理、情資與通報、鑑識與杜絕、應變與處理四個面向,落實電商資安事件的處理。

依據2018賽門鐵克網路威脅分析報告,最常見的各種網路威脅形式,包括網頁威脅、電子郵件、物聯網、漏洞、惡意軟體、勒索軟體、行動設備、工業控制系統相關漏洞增長等,賽門鐵克首席資深技術顧問張士龍表示,要做好資訊安全防護,必須做好資安監控服務、基礎架構防護、資安顧問服務等工作,在基礎架構防護上,做好四個維度思考:端點、閘道、郵件防護、雲端,包括威脅防護、資料保護、安全聯防與行為鑑識分析;在即時監控安全分析方面,事前應做好安全情資通報,事中則應在攻擊當下時即偵測;在資安顧問服務方面則應做好系統服務漏洞與威脅檢測,產品系統參數優化與IT成熟度分析。


電商六大安全面向
電商系統除了被動地在資安事件發生之後,進行漏洞修補與災害停損之外,其實更應該積極地進行主動的安全防禦策略,工研院資通所卓傳育博士/副組長表示,電子商務安全可以包括六個面向,包括完整性、不可否認性、真實性、機密性、隱私、可用性。電子商務威脅包括客戶端電腦威脅、通訊通道威脅,以及伺務器威脅等,若想要最小化電子商務威脅,則必須要執行風險評估,接著要制定安全政策,然後制定實施計劃,並創建安全組織,執行安全審核,如此才能將電子商務威脅降到最低。

卓傳育表示,要追求電子商務的安全性,必須採用主動安全防禦的概念,用基於白名單概念的安全系統設計架構,建立網路白名單、程式行為白名單、作業系統、虛擬化管理層、硬體、CPU、BIOS,針對Windows / Linux提供白名單保護,在程式將執行時,攔截並檢查程式完整性,阻擋未授權的程式執行。面對未知資安威脅,針對封閉環境、固定功能系統提供高度保護,檢查待執行的程式、函式庫、Script與驅動程式完整性,提供二階段安裝與更新,嚴格管理白名單資料庫,杜絕「未知」的惡意程式,來進行主動式安全防禦。

結語
電子商務安全是電商平台不可迴避的責任,目前大型的電商平台通常都已經做了資安系統的投入,雖然容易受到駭客的攻擊,但也相對擁有抵抗駭客入侵的能力,反而是小型的電商平台或是企業內建的電商平台,由於資金、人力不足,容易成為駭客的攻擊目標。想要電子商務平台穩定的發展,仍有賴業者在資安方面加大投入的力度,另一方面,消費者也應建立提防詐騙的常識,慎選購物平台,也對可疑的詐騙行為有所警覺,方能讓電子商務能夠長期永續的發展。