圖片來源: 

周峻佑攝

一般來說,論及業者自行架設的購物網站安全性,企業採取的措施,往往只集中針對網站本身著手,而實際上,也應該將本地的辦公室,一併納入防護的範圍。在10月3日舉行的臺灣資安通報應變年會上,電子商務資安服務中心(EC-CERT)正工程師林耕宇認為,落實政策與管理,並適時清除線上資料庫的內容,是企業做好電商網站資安的基本要件。

林耕宇說,臺灣的電商業者,大多是中小企業,為了透過網路銷售產品,自行架設或是委託網站開發業者建置了購物網站,但礙於預算與人力的考量,往往無法投入更多資源,導入較為嚴謹的資安防護機制。然而,來自電商網站的資安威脅,林耕宇引用了警政署165反詐騙的統計,去年因消費者個資外洩造成的詐騙案件,總共有2,182件之多。因此,企業必須正視自己購物網站的安全。

中小企業的購物網站是攻擊者主要下手目標

這些企業普遍存在缺乏資安資源的情況,而且,他們建置的賣場網站通常為求快速上架,或是基於預算等考量,導致上線前沒有經過滲透測試,以及並未採用相關防護機制。林耕宇表示,他遇過企業因為某些因素,將之前購買的應用程式防火牆下線,沒有多久,這間公司架設的購物網站就遭到攻擊,導致資料外洩。

此外,不光是資源的缺乏,上述企業的員工,也多半身兼數職。林耕宇說,他曾經說服一間公司雇用專職的資安人員,過了大約一年之後,該公司雇用的資安專家,由於網站開發廠商難以及時因應公司修改需求,主管竟要求他同時兼任網站開發的工作。

因此,許多臺灣的中小企業購物網站,存在著許多弱點,像是SQL Injection、或是偽冒的跨網站請求等。林耕宇引用了美國電信業者Verizon今年的資料外洩調查報告,該報告中指出,大部分的受害者都是小型企業(98%),而駭客發動攻擊的管道,不只利用網站本身的弱點,從辦公室內網滲透的做法,也占有極高的比例。

因此,辦公室的內部網路,其實也是企業防範購物網站遭受攻擊的防線。尤其是許多小型企業沒有網路隔離措施,導致駭客滲透到辦公室的內部網路後,就能對購物網站上下其手,竊取客戶個資。

應將辦公環境也納入防護範圍

林耕宇指出,即使中小企業的資源有限,但落實良好的防護政策,也能杜絕大部分能讓駭客攻擊的機會。像是網站前臺與後臺分離,就很重要,避免後臺的資料庫直接曝露,成為下手的目標。再者,對於管理的層面來說,他建議密碼要定期變更,並且應該限制弱密碼的使用,但與其要求字串的複雜程度,導致員工難以記憶,衍生其他的問題,林耕宇認為,要求密碼字串的長度更為務實。

而對於客戶的資料,或是購物的歷史記錄,則要假設網站可能會被入侵的情況,因此,林耕宇說,最好能適時清空線上資料庫的內容,轉移到公司內部或是異地備存,減少網站遭到攻擊時,資料外洩損害的程度。

除了購物網站本身之外,其實辦公室內部網路的資安防護也很重要,其中,林耕宇認為,不要使用來路不明的未經授權軟體,不只是避免與軟體廠商之間的法律訴訟,更重要的是,免除使用這些軟體可能會產生的資安風險。


Advertisement

更多 iThome相關內容