物聯(lián)網(wǎng)漏洞

近幾年，物聯(lián)網(wǎng)發(fā)展迅速，據(jù)美國市場研究公司Gartner預測，到2020年，全球物聯(lián)網(wǎng)設備將達260億臺，市場規(guī)模將達1．9萬億美元。對零售企業(yè)來說，物聯(lián)網(wǎng)技術的應用非常廣泛：提升購物體驗、智能庫存管理、預測設備維護、行人流量分析…許多零售企業(yè)已在著手物聯(lián)網(wǎng)技術的應用。

同時，這些新的聯(lián)網(wǎng)設備也增加了網(wǎng)絡犯罪可能的入口。由于網(wǎng)絡安全監(jiān)管難以跟上物聯(lián)網(wǎng)設備的爆炸式增長，零售企業(yè)需更加謹慎，對使用物聯(lián)網(wǎng)技術帶來的風險應有更加清晰的認識。在防范方面，對每個物聯(lián)網(wǎng)設備補丁的及時更新作為降低風險的措施，必不可少。

禮品卡系統(tǒng)漏洞

2018年9月，北京市西城法院審理了一起電信盜竊案，一名在上海某網(wǎng)絡公司工作的90后男子陳某，利用技術侵入味多美公司網(wǎng)站，盜走價值36萬元的蛋糕電子兌換碼并在網(wǎng)絡平臺上進行售賣，從中獲利。其同事楊某，因幫助陳某進行盜竊，以及涉嫌盜竊公民個人信息，與陳某一并被警方抓獲。

早在2015年，一位網(wǎng)絡安全研究員發(fā)現(xiàn)了一個許多零售禮品卡系統(tǒng)都存在的關鍵漏洞，黑客可利用該漏洞盜竊用戶電子賬戶中的余額。黑客先從零售商店收集一些未加載的禮品卡，并嘗試辨識出卡片號碼的組合模式，通常來說，這些卡片中號碼的可變數(shù)字量很小。接下來，黑客登陸零售商的禮品卡系統(tǒng)，通過強制數(shù)字組合，找到有價值的號碼組。最終，將盜得的禮品卡進行售賣或用于消費。在這樣一個網(wǎng)絡安全威脅極其復雜的時代，零售企業(yè)不應忽視這樣簡單的風險。

供應鏈攻擊

2018年7月，有消息披露，美國全球性票務公司Ticketmaster因第三方服務商遭受數(shù)據(jù)泄露，包含用戶個人信息和銀行卡數(shù)據(jù)，事件影響近5％的全球用戶。事件是由第三方服務商Inbenta Technologie引起的，Inbenta Technologies為Ticketmaster提供軟件開發(fā)服務，而涉事軟件中含有惡意代碼。事件的背后，是一個名為Magecart的威脅組織發(fā)起的攻擊行動。研究人員發(fā)現(xiàn)，Magecart通過在第三方組件和服務上安裝惡意代碼攻擊了全球800多家電子商務網(wǎng)站。

當下，大多數(shù)行業(yè)均依賴供應鏈上合作伙伴提供的多樣服務，零售及電子商務企業(yè)更是如此，往往擁有數(shù)量龐大的合作伙伴，甚至部分企業(yè)合作伙伴的數(shù)量超過萬個。因此，零售企業(yè)也面臨著一類獨特的挑戰(zhàn)：在其合作的第三方合作伙伴中，即使僅一行代碼被破壞，也可能對其業(yè)務帶來嚴重的影響。

BitSight公司的研究人員調(diào)查了零售企業(yè)所依賴的服務提供商數(shù)量。數(shù)據(jù)顯示，企業(yè)規(guī)模在5000人以上的零售企業(yè)，服務提供商的中位數(shù)為52家。并且零售商規(guī)模越大，他們擁有的服務提供者越多，因此被攻擊的可能性亦越高。歷史上最大的兩起零售行業(yè)數(shù)據(jù)泄露事件（Target和Home Depot）都是第三方攻擊導致的，攻擊者通過網(wǎng)絡釣魚郵件或其他方法，竊取第三方服務公司進入零售商供應商門戶網(wǎng)站的登錄憑證，一旦進入系統(tǒng)，攻擊者再獲得更高的訪問權限，在零售商系統(tǒng)安裝惡意軟件，或從POS系統(tǒng)中提取支付卡信息…黑客入侵第三方公司以達到攻擊第一方得目的，并不鮮見。

抵御供應鏈攻擊并非易事，零售企業(yè)需要準確、持續(xù)地了解其第三方的網(wǎng)絡安全性能。2018年6月，“安全值”聯(lián)合“供應鏈安全聯(lián)盟”發(fā)布了《第三方安全風險管理能力框架》，文中提到“第三方是組織的擴展，其行為可以直接影響到合規(guī)性和品牌聲譽。這就要求企業(yè)對幾十個，幾百個甚至數(shù)千個第三方進行調(diào)查，評估和后續(xù)跟進，并對風險采取行動。第三方風險管理能力將應用于從合同簽訂之前到合同執(zhí)行過程中一直到合同完成之后整個生命周期，并且在數(shù)字化環(huán)境下，風險控制需要得到領導充分的重視和支持，經(jīng)多個業(yè)務和職能部門的協(xié)同來完成�！翱梢�，對第三方合作伙伴的風險管理，任重而道遠，過程更需要科學的方法。