隨著企業數位化程度越深,資安風險就越高,尤其握有大量會員資料和交易記錄的電商,更是駭客眼中的肥羊,幾乎每年都會傳出電商平台遭受資安攻擊的新聞。
如何強化資安防禦網,避免自己成為駭客攻擊的頭號目標,成為電商經營重中之重。有鑑於此,全球智慧開店平台 SHOPLINE 持續與資安領域專業夥伴合作,攜手 AWS、數聯資安及如梭世代諸位資安專家,從雲端、攻擊與防禦三個面向,共同探討電商經營必知的資安防禦指南。
雲端面》把資安視為一段持續前進的旅程
Amazon Web Services(AWS)從雲平台角度,分享電商與其他產業如何強化雲端安全。並強調在雲端與地端架構差異下,打造資安防禦網時應有不同的關注重點。因此,AWS 基於 CIS 全球網路安全專家與 NIST 美國國家標準技術研究院的安全框架,結合 AWS Well-Architected 最佳實踐,來協助客戶雲端與資安服務,並發展出廣泛雲端資訊安全服務如:身分識別存取管理、監控偵測、基礎保護、資料保護、調查分析及合規檢視等多個面向。
在廣泛雲端資訊安全服務外,AWS 也提出了資安成熟度模型(AWS Security Maturity Model),強調資安成熟是一整個旅程,每一個步驟的進步與發展,都將協助客戶在資訊安全上越做越好。
AWS 主要透過四階段循序漸進的方式,協助企業建立雲端資安架構。其中第一階段重點在協助客戶快速檢視設定與具備基礎保護力。第二階段則針對重要服務強化資安設定。第三階段為有效管理與其他強化建議。第四階段是持續優化的進階措施,讓整體雲端架構與數據更安全。資訊安全是重中之重任務,AWS 持續秉持以客戶為核心的領導原則,協助企業保護雲端資產與穩健業務發展。
攻擊面》解析電商業者最常遇到的資安威脅
如梭世代技術長何宜霖、數聯資安售前支援部資深經理朱宇豐則從資安攻擊的角度,探討電商產業最容易遇到哪些資安風險。
何宜霖認為,因為會員個資相當值錢,所以商家遇到勒索軟體攻擊的機率比較小,大部分攻擊都是為了竊取會員個資與交易記錄,再拿去黑市販售。
就攻擊手法來看,商家最常遇到的資安攻擊可分為以下 3 種,其一是弱密碼攻擊,人員使用 Admin、123456 等容易被破解的弱密碼,或是將密碼記錄在電腦裡或辦公桌面上,導致駭客或惡意人員可以輕易登入後台系統、竊走會員個資。其二是社交工程攻擊,當人員資安意識不足時,很容易點開駭客寄來的釣魚郵件,使駭客得以輕易竊走瀏覽器記錄、密碼等資訊。其三是漏洞攻擊,駭客利用已知漏洞發動攻擊進而竊走重要資料。
朱宇豐則強調社交工程攻擊的嚴重性高,商家若是沒有做好社交工程防範,很可能會造成主機被駭客控制,用來進行挖礦、跳板或殭屍等操作,同時會員個資被駭客竊走,不只造成顧客損失也會影響商譽。
據統計目前有高達 90% 資安攻擊來自電子郵件社交工程,主要分成 4 種類型,一是垃圾郵件,透過各種方式誘導使用者開啟電子郵件,如:使用令人感興趣的話題作為郵件主旨、具煽動性的郵件內容或假冒寄件者寄出郵件。二為釣魚網站,駭客偽造合法網站並將連結置放在郵件內文中,企圖獲取使用者的個資或金融帳號。三是惡意程式,信件內含有惡意程式附件,利用應用程式之弱點,達到遠端控制、勒索病毒索取贖金等目的。四為變臉詐騙攻擊,駭客通常會鎖定經手交易之相關人員,例如財務長、採購人員等,再假造寄件者與回覆地址,誘騙收件者上當。
防禦面》SHOPLINE 提供商家雙重保障
面對層出不窮的詐騙與資安攻擊事件,SHOPLINE 一直積極致力於提升資安規格,不只強化開店平台自身安全性,讓商家可以放心使用平台架設網路商店,亦針對網店提供各種安全機制,希望帶給店家更有效且安全的資安防護。
SHOPLINE 資安官黄咨詠指出,針對開店平台而言,SHOPLINE 從產品安全測試、員工與端點、系統防護及國際認證四個方向來強化資安。在產品安全測試上,SHOPLINE 定期執行弱點掃描與滲透測試,主動找出潛在的資安風險,此外在新功能上版前亦會執行原始碼掃描,從開發端就找出程式問題,確保上線後的安全性。
在員工與端點上,SHOPLINE 除了部署統一端點管理(UEM)系統與防毒軟體並定期掃描,亦會定期舉辦社交工程演練和資安通識教育訓練,不斷強化員工資安意識。
在系統防護上,SHOPLINE 使用 SSL / TLS1.2(含)以上等級的安全憑證來進行傳輸加密協定、建立可疑 IP 判斷阻擋機制,並將資料儲存於 AWS 新加坡伺服器且所有用戶資料皆遵循最小權限原則進行存取,以最高規格保障商家資料。
在國際認證上,SHOPLINE 不只符合台灣個人資料保護法與數發部規範、遵守 APEC 跨境隱私保護規則(CBPR),自有金流服務 SHOPLINE Payments 亦符合「台灣金融法規與安全規範」與「支付卡產業資料安全標準(PCI DSS)Level 1」的最高安全準則,並支援 3D 驗證,有效降低信用卡詐騙風險,保障商家與顧客的交易過程。
至於網店安全機制,主要分成權限管理、訂單檔案管理、資安意識建立三大類(如表1)。黄咨詠以 2023 年某訂房網資安攻擊事件為例,說明 SHOPLINE網店安全機制如何保障商家。在該事件中,駭客寄發帶有惡意連結的釣魚郵件給訂房網合作飯店,當飯店員工點擊連結後,駭客就可以藉此機會取得登入憑證,並偽裝成飯店人員發信給消費者,如果當時該訂房網有多重驗證機制,此類攻擊手法就不會成功,由此來看,建議商家應立即開啟後台的多重驗證機制,以強化安全防禦能力。
安全性與便利性是一體兩面,越安全的機制往往意味越不便利,黄咨詠建議,商家做好平台資安防護的同時,也可於商店前台設置反詐騙警語、持續與消費者宣導資安觀念,例如收到送貨單據需妥善銷毀後再丟棄、接獲自稱品牌方電話時再查證等教育資訊。在這過程中,SHOPLINE 將成為商家最堅強的後盾,與業界專業資安夥伴合作、協助商家做好資安防禦,也讓商家能夠安心發展電商業務,為公司再創營運高峰。
想要了解更多 SHOPLINE 資安保護策略,歡迎下載最新《品牌電商資安保護入門指南》。
