English/英文

【安全资讯】2019年零售业网络安全现状报告
2019-11-11
[摘要] 分析2017年1月至2019年9月底,零售行业的漏洞提交量是最多的,并且严重漏洞数量也是排名靠前的行业。
 
概述和关键结论
 
 

虽然2019年后半年出现贸易关税、行业数据泄露以及经济下行威胁等不利因素,但零售业仍然在增长。2019年第三季度的商品和服务增长了3.5%。要在2020年继续确保这一趋势,零售商必须克服其它两个挑战:一是技术,二是用户体验。

创新型零售商已经通过全渠道体验更侧重服务和可用性,但随着数据泄露事件不断增多、零售商成为节日季的精选目标,零售商还必须应对安全问题,或许这也是为什么2019年第三季度 Bugcrowd 零售计划在所有行业计划中收到的漏洞提交数量排名第二的原因。

零售业安全格局的影响
 
 

报告认为零售业的趋势是:顾客行为发生改变、数字化转型提高可访问性、安全性成为差异性以及安全合规。

具体而言,2019年第二季度,美国迎来四年来第二次商品和服务消费最强劲的季度增长,意味着零售业仍然有机会安全地在对消费者影响最大的领域进行投资,这种趋势对整个行业有何影响?
对于希望在顾客消费过程中实现差异化的很多零售商而言,它意味着特征和功能优先的模型已经转向为了保护和扩展自己手中的美元而奋斗的人们所拥有的价值点:耐用性、可访问性和安全性。
对于竞争激烈的商品和服务而言,业务大头由通过多渠道营销和购买策略提高可访问性的零售商拿走。
福布斯最近开展的一项调查研究显示,79%的零售商认为交付无缝的消费者体验是决定他们数字化转型的成败关键。
而这一目标要求融合新旧系统,而这一过程可能会增加现有漏洞并引入新漏洞。例如 PoC 系统因其操作系统过时而易遭恶意攻击。
同样,随着组织机构采用新的工作流程连接不同的系统,他们也越来月容易通过云迁移和错误的访问配置而不断受到安全漏洞的影响。
 
虽然数字化转型是必要的,但为全球消费者提高可获得性的数字化转型计划也增加了暴露和攻陷风险。
Shape Security 最近开展的调查显示80%到90%的电商网站登录实际上是通过凭证填充实现的。数据泄露对于直接的受害者而言是灾难性的,但对于企业本身而言也会失去消费者的信任。
最近有报告显示,仅有11%的消费者对零售商正确响应新型网络攻击有信心。近20%的消费者据称将终结和零售商的连接,而超过30%的消费者在几个月时间内将暂停消费。
随着消费者把握数字化世界真实风险变得更加容易,以前还是无形的安全观念对于未将安全视作购买要求的企业而言变得非常真实。

不管企业选择何种方式扩大消费者群体,很多零售商必须注意几个合规要求:PCI-DSS(《支付卡行业数据安全标准》)、SOX(《Sarbanes-Oxley 法案》)以及 HIPAA(《健康保险携带和责任法案 (HIPAA》)以及 GDPR(《通用数据保护条例》)。

数字中的零售业网络安全现状
 
 

如下是收集自2017年1月1日至2019年9月30日期间的零售业计划数据,涵盖Bugcrowd 漏洞披露计划、漏洞奖励计划和下一代渗透测试计划。

提交的漏洞情况

2017年以来,零售计划经历了持续增长,但我们发现所有行业第一季度和第二季度之间同比显著增长,它通常是在传统的“冻结”期(在此期间,优先级较低的测试和之后的代码更改被推迟)结束时发生的。
2019年零售业趋势也是如此,如图1所示单个季度的提交量增长了176%。
几大行业中严重漏洞所占的比例

在2017年1月1日至2019年9月29日期间,零售业漏洞的提交量是最多的(图2的 X轴),其中“严重”级别(P1和P2)的漏洞(Y轴)是占比最高的行业之一,在Bugcrowd 最活跃的行业(零售业、学校和教育、银行、金融服务和电信)样本中,其增长率(气泡的大小)排名第二位,为同比137%。
根据优先级提交的漏洞

打补丁的优先级排序为P1到P5:P1为优先级最高,P5为最低。研究人员和企业可据此来修复漏洞并发放奖励金。
报告指出,Bugcrowd 按照漏洞类型确定漏洞的优先级。从“冻结”期趋势来看,被零售业组织机构在第四季度列为影响力低的漏洞在第一季度往往出现在两级。
在所有提交的零售业漏洞中,超过18%的漏洞级别是 P1 和 P2(图3),这种划分也为零售商所接受。
按目标类型提交的严重漏洞所占比例(P1和P2)

很多电商和零售商是基于 web 和移动应用攻击面最“容易下手”的目标。由于攻击门槛低,和其它行业相比,所提交的零售类漏洞数量明显要多。
相比之下,硬件目标收到的漏洞数量更少,但它在零售业中的影响要远超在其它资产类型中的影响力。
向零售业提交的90%的硬件漏洞级别是“严重”级别(图4)。
这种失衡可能是每个零售商不同的程式化因素造成的,但也有一些宏观经济因素在起作用。
采购被认为是一次性测试环境的设备成本为很多研究人员造成很高的门槛,并使得漏洞提交的整体数量在减少。
另外一方面,硬件的分散相使得难以打补丁,很多通过近年来加速上市策略交付的新兴硬件和物联网设备也缺少正确的安全测试。
这两种情况都是高影响力漏洞产生的原因所在。
对于零售业而言,PoS 和硬件资产仍然是主要的攻击目标之一,原因如下:
  • 1、 遗留物联网设备的开发生命周期通常缺少内置的安全考虑因素。

  • 2、这些设备通常缺乏处理能力和内存,这意味着标准的加密协议经常被放弃。

  • 3、知道如何下手的黑客会查找联网的 PoS 设备。

  • 4、很多设备要求手动更新,但通常无法大规模进行,从而使得易受攻击的系统成为进入其它网络的入口。


平均奖励金
2019年,所有零售目标为P1级别的漏洞支付的奖励金平均是981美元,而零售业硬件目标为单个 P1 漏洞支付的奖励金平均是2750美元。
相比之下,所有行业对所有目标的奖励金平均为2925美元,为硬件 P1漏洞支付的奖励金平均为6200美元。
虽然乍一看我们认为零售业计划应当增加奖励金计划(在某种情况下为了在竞争激烈的市场中留住顶尖人才,这种做法可能是正确的),但实际上,零售商是最先实施漏洞奖励计划的群体之一,而且由于开始时支付得较低,因此其奖励金增长率是正常的。
此外,很多零售业的目标是 web 和移动应用,它们本身的奖励金确实是较低的。
 
按季度支付的奖励金

奖励金支付不仅出色地说明了漏洞提交的数量,而且还说明了漏洞的严重程度。在2017年1月1日至2019年第三季度期间所有的零售业计划中,支付的奖励金总额为698,577美元;和2018年第三季度相比,2019年第三季度支付的奖励金增长了79%。
漏洞的市场率受多种因素影响,包括零售企业不断扩大的攻击面、越来越多的组织机构参与众筹安全计划以及具有特定技能的安全研究人员的可获得性。
零售业的十大漏洞类型
按提交有效漏洞总数占比划分的前十大漏洞类型

虽然跨站点脚本漏洞通常被认为是众筹安全计划中占主导地位的漏洞类型,但零售行业的唯一性证明事实并非如此。
虽然跨站点脚本漏洞确实以18%的比例跻身前十,但近50%的漏洞是服务器安全配置错误和身份验证失败,而且漏洞严重程度涵盖P1到P5级别。
零售商响应时间
捕获 P1 漏洞后的平均响应时间

相比全行业所有公开和私密计划的平均水平,零售计划在2019年对严重漏洞(P1)的响应速度更慢。

虽然造成这种结果的原因很多,包括唯一的安全和开发生命周期,零售计划所有者或许可以通过审视相近行业的最佳实践来获益,确定是否在所在机构中采用或者改编新的框架。

影响及未来
 
 

零售市场复杂多变,他对社会经济变量的依赖程度要高于其它很多行业的总和。位于物联网、金融、制造业和航海/交通行业的交叉口,它跨越了多个动荡的行业,而且不得不兼顾同等数量的独特安全性和合规性考量。然而,它仍然在增长。

 
为了满足不断扩张的全球社区客户不断变化的需求,零售业必须寻求能够快速扩张其业务的创新型解决方案并无缝适应其现有的开发生命周期。
报告提到,Bugcrowd 的众筹安全计划使得零售组织机构能够使用可能存在的真实风险的最有机的衡量方式及黑客思维来评估生产前和生产后的数字化风险。