零售及Web应用安全:零售商面临应用层安全威胁

2018-01-19 16:54:00 作者:ym 出处 : 比特网

  受技术进步和突破推动,作为“增权型”消费者,零售行业正处于转型期,影响到了零售商的市场、传播和销售方式。零售商们通过移动应用、社交媒体交易和可以与消费者沟通的人工智能等大量的新技术,来提高人们的消费意欲。他们可以利用人工智能来分析买家行为并优化买家偏好。即使是“传统”的零售商也已经对可以追踪线下和店内行为的技术进行了投资,以便进一步减少销售障碍。

  为了尽可能多地与消费者深入联系,零售技术就必须依赖机器人自动化。计算机机器人程序已经从根本上改变了消费者与零售商和消费品公司之间的联系方式。在零售领域,计算机机器人程序是无处不在的,从电子优惠券到价格聚合器,从广告购买计划到应用间通信(聊天机器人)。

  为了了解首席安全高管们如何在管理过程和人员的同时克服这些技术挑战,Radware对来自六大洲的600多名首席信息安全官(CISO)及其他安全领袖进行了调查。本文概述了Radware Web应用安全:数字连接领域的Web安全报告中的主要发现。

  随计算机机器人程序崛起而来的是辨别不良计算机机器人程序和良性计算机机器人程序的安全风险。Radware研究显示,70%的网络流量都来自于计算机机器人程序,然而只有不到20%的受访者能区分良性计算机机器人程序和不良计算机机器人程序(见图1)。不良计算机机器人程序会通过Web刮取窃取知识产权,降低或窃取报价并扰乱库存管理,给零售商带来严重的经济损失。例如,“sneakerbots1”已经遍历了运动鞋市场,目前正在全部买下各类备受期待的产品,之后再在网上进行售卖。

good-bad-bots-distinction

  由于消费者希望他们购物的网站和商店拥有最高安全级别,因此,为了确保零售商能够保护个人数据和财务数据,零售商必须适应日益加快的技术变革和不断增加的安全风险,进而实现高水准的客户忠诚度,品牌声誉和客户满意度。现在我们回顾一下当前零售商面临的安全问题,看看这些受访者目前为何会对能否为客户提供他们所需和期望的安全水平缺乏信心。

  计算机机器人程序和新兴技术

  如前所述,计算机机器人程序是受访者需要认真对待的关键技术问题。对那些能够区分良性计算机机器人程序和不良计算机机器人程序的受访者而言,不良计算机机器人程序通常会以Web专区攻击的形式攻击零售商。事实上,75%的零售商称,Web刮取对他们的知识产权是一个很大的风险。Radware研究指出,72%的零售商都表示遭受了Web抓取攻击的影响,包括采集报价信息(56%)、冻结库存(45%)、网站复制(39%)和耗尽库存(32%) (见图2)。

web-scraping-attack-types-960x373

  此外,L7层DDoS等加密Web攻击以及暴力破解与数据安全漏洞等其他攻击矢量的风险越来越大,这也是那些还没有部署可以缓解此风险的解决方案的零售商面临的主要问题。在过去的12个月里,尽管零售应用和Web服务器都遭受了暴力破解(36%)攻击和L7层DDoS (25%)攻击,但只有16%的受访者有信心可以快速检测到其中一种攻击,只有21%的人对快速缓解攻击充满信心。

  信心及缓解风险

  关于零售商是否有信心缓解风险的调查显示,零售商并不确信拥有可以解决这些问题的工具、解决方案和恰当投资。只有32%的人很有信心可以保护敏感数据(如信用卡),而在数据离开公司网络之后,60%以上的企业都无法追踪与第三方共享的数据(见图3)。

  也有越来越多的人担心,这种信心的缺乏可能基于这样一个事实:只有五分之一的受访者完全意识到了企业软件开发环境中不断变化的内部应用和API。尽管有33%的企业必须遵守PCI标准,但仍有近60%的企业不会检查通过API传输/返回的数据,不到40%的企业会在整合之前分析API漏洞。

ability-to-secure-sensitive-data-320x256

  与医疗和金融服务等其他行业相比,接受调查的零售商并没有通过在安全控制方面进行投资的方式对全行业的安全违规行为做出回应,其中只有33%的企业大幅增加了投资。这情况很令人担忧,原因是60%以上的受访者正采集客户数据进行分析和个性化营销;缺少相关投资可能会让零售商更容易遭受到威胁和攻击。

  以下是对零售商受访者的统计分析,表明了为什么这些企业会成为潜在应用层攻击的受害者,即缺乏全面的安全框架来识别或缓解这些攻击。只有25%的零售商表示,他们可以完全将安全集成到Web应用的交付中,而只有三分之一的零售商能够快速检测到各类威胁和攻击。这可能也是世界各地的零售商都遭受到了针对应用的频繁攻击的原因,让他们极易遭受到各类威胁侵扰,并在竞争中处于劣势(顾客很快就会放弃购物车或购物篮中的商品,严重影响销售和客户忠诚度)。

retail-data-breaches-320x238

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。