Aggregator
When Securing Your Applications, Seeing Is Believing
Linux.Agent malware sample - data stealer
用IRC协议与PHP木马“聊天”
"i am lady" Linux.Lady trojan samples
Is HEIST a Risk or a Threat?
牛逼的你,速来!
白帽赌城演讲记:Trend, Tech, Team,还有打枪 (Blackhat篇 - 1)
第二十一期 电子数据取证的培训和认证(一)
CompuCom Launches Cloud-Based Managed Service Powered by McAfee
This blog was written by Richard Steranka. Today, from Black Hat 2016 in Las Vegas, CompuCom announced the expansion of...
The post CompuCom Launches Cloud-Based Managed Service Powered by McAfee appeared first on McAfee Blog.
面对SWIFT孟加拉银行劫案怎么破?(附视频)
We Expected SSL Everywhere, and It’s Well on the Way
Cybersecurity to become a major employment generator – Are you ready?
Hi There! In November 2014, the United Nations Organization (UNO) declared 15th July as World Youth Skills Day. The purpose...
The post Cybersecurity to become a major employment generator – Are you ready? appeared first on McAfee Blog.
電商業者的資安困境?
台灣電商網站蓬勃發展,豐富的個資、金流都吸引了攻擊者。近期刑事局 165 反詐騙網站上常看到很多電商網站面臨個資外洩的問題,新聞也不斷報導民眾因為個資外洩被詐騙集團騙取錢財。資安問題是電商業者面臨到最大的危機,民眾也很憤怒為什麼這些企業都不肯把資安做好。但我相信,電商網站的業主也是有苦難言。不少企業知道該把資安做好,有些可能不得其法,也可能什麼都做了,卻還是無法防止自己的網站出現在 165 詐騙排行的榜單上。
- 內政部警政署 165 反詐騙諮詢專線 民眾通報高風險賣場排名 http://165.gov.tw/loss_rank.aspx
對於無心於資安的業者來說,被揭露這樣的資訊會有一定程度的力量迫使他們把資安做好。但對於已經顧全資安的業者來說,則是摸不著頭緒到底個資從哪邊外洩的。今天我們就來談談,到底電商網站的資安問題是什麼,民眾的個資又是怎麼外洩的。
電商網站的困境目前電商網站常見的困境有幾點:
- 自行開發網站存在漏洞
- 委外開發網站存在漏洞,但承包商不處理
- 內部員工電腦遭入侵外洩個資
- 配合廠商個資外洩,如金流商、物流商
- 攻擊者用已外洩帳號密碼登入電商網站
- 買家在詐騙集團的賣場交易
黑色產業的發展比大家想像中都還要盛行,若企業對攻擊者來說有利可圖,駭客組織會不擇手段入侵取得資料。因此對網站本身、網站周遭系統、企業內部員工、或者以社交工程手法,只要能取得資料都會是他們下手的目標。
自行開發網站存在漏洞這是目前企業最需要先解決的問題。若網站本身資安體質不好,則會輕易被攻擊者入侵。資安問題往往都是企業內部最難解的問題,道高一尺魔高一丈,若沒有經過完整的滲透測試,則難以找出問題的根源。找到了問題之後,開發人員的教育訓練、資安機制、資安設備,都會是企業接下來要面對的課題。
解決方案:滲透測試、資安顧問、教育訓練
委外開發網站存在漏洞,但承包商不處理不少企業沒有自己開發網站,而是發包給外部廠商開發、維運。承包商的品質通常難以掌控,價格戰的業界生態,更讓開發的品質難以提升。但業者最頭大的是:承包商拒絕處理漏洞。若沒有在一開始的委外合約就明訂資安維護標準,在日後發生資安事件時則難以要求承包商修補漏洞。因此建議業者在日後的委外開發案,明訂資安標準、驗收時檢附第三方滲透測試報告,並且將日後資安維護合約獨立於一般維護約之外,強制執行。
解決方案:選商標準、開標規格、驗收標準、資安維護合約
內部員工電腦遭入侵外洩個資除了伺服器之外,客戶端也是攻擊者下手的目標。當網站難以被入侵,攻擊者就會轉往員工電腦下手。透過社交工程、搭配惡意郵件等 APT 攻擊,入侵個人電腦後取得消費者個資,甚至做為跳板滲透企業內部擴大攻擊成果。若沒有足夠的資安意識,員工將會是企業最大的資安缺口。
解決方案:強化資安思維、權限最小化、APT 防禦
配合廠商個資外洩,如金流商、物流商當企業裡裡外外都防禦好了,個資還在外洩,到底發生什麼事情了呢?別忘了一個電商網站有各種與外界橋接的服務,例如交易的金流、運輸的物流。若搭配的外部系統遭到入侵,個資一樣會被取得。但民眾、媒體只會覺得「我在這家電商平台買東西被詐騙」,而怪罪到企業本身。企業有責任要求配合的廠商一同將資安、個資把關好。
解決方案:配合廠商的資安規範、滲透測試
攻擊者用已外洩帳號密碼登入電商網站資安的責任並不僅在企業,有的時候消費者本身帳號的安全也會影響到電商網站的清譽。目前民眾只要接收到詐騙電話,直覺都會是在某個店家的交易被駭,被取得資料後販售給詐騙集團,因而回報給 165 等反詐騙專線。這種案例也會算在電商網站的帳上,但卻不一定是電商網站的問題。這樣的攻擊手法也俗稱「撞庫」。
解決方案:企業間的聯防、提供使用者帳號保護
買家在詐騙集團的賣場交易只要有利可圖,詐騙集團就會無所不用其極的想獲取利益。當系統已經達成基本的安全、使用者外洩的帳號也已經無法利用之後,詐騙集團將再攻擊人性的漏洞,開設販賣熱門商品的賣場,吸引無辜的受害者購買。或者在賣場的留言區塊假冒賣家,留下自己的 LINE 與消費者溝通,進行詐騙。
解決方案:消費者安全宣導
電商業者該如何自保?只要有利益的地方,就會有資安危機。雖說道高一尺魔高一丈,但業者並非只能等著被宰。經營網站最重要的就是保護顧客的資料,明白風險的所在。盤點手上的個資位置、機制、措施,謹慎安排資安規劃,確保將安全的風險降到最低。更進一步也可以建立與資安人員良好的關係,公開漏洞通報管道及獎勵機制,鼓勵資安人員優先通報漏洞給企業,避免流入黑色產業。當然,身為消費者的我們,也應該給予負責的企業掌聲。
在未來我們的文章將提到企業應該採取的具體作為,敬請期待!
第二届华为IT安全技术峰会回顾
分析重装系统也无法清除的鬼影病毒
No More Ransom: A New Initiative to Battle Ransomware
This blog was written by Bruce Snell. Ransomware has seen a huge increase over the past couple of years. According...
The post No More Ransom: A New Initiative to Battle Ransomware appeared first on McAfee Blog.
Web Injection Threats: The Cost of Community Engagement on Your Site
QMP简介
NZ Institute of Intelligence Professional Annual Conference
Speaking notes for Andrew Hampton, Director, GCSB. 21 July 2016.