零售業數位轉型的3大資安盲點，你知道幾個？

_{零售業在數位轉型過程中，普遍會遇到網站安全、電子郵件安全及網路控管三大資安盲點，唯有從技術、管理、和教育訓練三個面向著手，才能全面強化資安防禦能力。(圖：中華資安國際 技術副總經理 王信富；圖片來源：數位時代)}

因應全通路及虛實融合（Online Merge Offline；OMO）的發展趨勢，越來越多零售業者在電商平台開店，或自行架設購物官網，希望為顧客提供更好的購物體驗。於此同時，部份零售業者也順應數位轉型趨勢，引進雲服務、數據分析等各種新科技應用。

這些數位化的腳步，加重了IT人員肩上的責任，使其必須同時兼顧新科技應用導入及做好資安防護兩大課題，對人力資源有限的零售業者而言，著實是個相當艱鉅的挑戰，容易陷入顧此失彼的窘境，也就是導入了新科技，卻疏忽了資安防禦。

零售業資安防禦三大盲點

中華資安國際副總經理王信富進一步指出，從過往協助客戶進行資安檢測與資安事件應變處理的經驗來看，零售業者常見的資安盲點有三個：

第一、網站系統的安全防護不夠完善，例如：電商後台管理系統直接曝露在Internet上、網站有檔案/文件上傳漏洞、使用具有弱點的網站套件等，導致駭客可藉此管道進入內網，竊取顧客的姓名、電話、消費及付款資料等個資。

第二、與電子郵件相關的安全配置不夠嚴謹，造成內部員工容易誤點擊社交工程的惡意郵件。

第三、缺乏集中控管網路的機制。由於分支據點眾多的特性，使得零售業所面對的資安威脅以及暴露風險皆較其他產業高，在缺乏集中管控、沒有妥善切割內外部網路的情況下，各分支據點各自上網的做法，反倒形成了資安破口。

面對三大資安盲點，王信富建議，零售業者應該從技術、管理、和教育訓練三個面向著手，全面強化資安防禦能力。

技術面：從網站、網路管控到郵件安全，逐步強化資安防禦網

先就技術面來說，零售業者應針對上述盲點選擇合適的資安解決方案，倘若人力或資安人才不足，亦可適度引入外部資安專業夥伴，以完善的資安機制做為推動數位轉型的基礎。

至於各項解決方案在導入時的優先順序，王信富認為，第一要專注於核心業務、也就是網站系統安全防護，包含在系統上線前，無論自行開發或委外開發都要遵循SSDLC要求並進行黑白箱檢測，系統上線後，則要導入網站應用防火牆（WAF）、部署MDR服務偵測惡意活動，以便在第一時間切斷攻擊鏈、持續監控風險（SOC）、定期進行弱點掃描與滲透測試等安全檢測，持續發現與修補資安弱點。

其次則是集中管理各分支據點的網路使用行為，例如：透過MPLS VPN或Internet VPN架構出一個封閉式環境，將網路出口集中到同一處統一管理，而不是每個分支據點都是一個網路出口，同時還要進行邏輯上的切割，將POS收銀服務、門市行政應用等內部員工的網路使用，與門市顧客上網等外部使用行為區隔開來，才能降低分支據點的資安風險。

第三為加強電子郵件安全，可善用郵件安全解決方案，阻擋惡意郵件，降低被社交工程攻擊的風險。

管理面：以NIST為最高原則

再就管理面而言，零售業可以參考由美國國家標準與技術研究所（NIST）提出的網路安全框架，規劃資安管控措施，並由上而下貫徹與落實資安政策，有效強化及提高資安防護效果。

王信富另外提醒零售業者，應注意遠距辦公模式下的資安風險管理，尤其當混合辦公逐漸成為未來趨勢後，零售業在面對遠端存取的使用者和連網裝置時，應該採取零信任機制，亦即一律進行身份識別和權限管理，並提高端點活動的可視性，避免遠距辦公成為企業新的資安破口。

教育訓練面：兼顧員工與IT人員的訓練

至於教育訓練面，則需把握兩個重點，第一是強化整體員工的資安意識，使其認知到資安攻擊的手法與嚴重性，避免落入社交工程攻擊的陷阱中，第二則是鼓勵IT人員持續關注新技術與新威脅，畢竟駭客攻擊手法不斷翻新，IT人員唯有知己知彼，才能做好應對之道。

從服務到產品，中華資安國際化身零售業最佳資安夥伴

王信富認為，面對數位轉型過程中的資安挑戰，零售業者必須善用外界資源，讓資安防禦能收事半功倍之效，而中華資安國際擁有相當豐富的資安經驗與實績，更是業界唯一連續3年獲得行政院資安服務廠商評鑑五項資安服務全數「A級」最高評價，專業能力無庸置疑，可以協助零售業者安全地推動數位轉型。

目前，中華資安國際的服務範疇包含資安檢測、資安管理及資安顧問三大領域，同時也整合中華電信既有企業資安服務，讓零售業可以用最低的投資成本享有專業資安服務。

例如，中華資安國際的MDR威脅偵測應變服務可搭配中華電信HiNet WAF網站應用防火牆服務，加強電商網站系統的縱深防禦效果，除了能夠大幅降低資安風險，還可因應零售業者促銷活動檔期，動態調整防護能量，滿足臨時性大量需求。又如中華資安國際安全託管服務可搭配中華電信資安艦隊，為企業提供Secure SD-WAN解決方案，且採月租計價模式，企業不需一次投入大筆資金，就可以達成WAN頻寬使用最佳化、強化網路安全性與遠端辦公安全性等多重效益。

迎向未來，中華資安國際正規劃由資安服務公司延伸為資安產品公司，以SecuTex品牌名陸續推出多個自主研發產品，同時也將順應雲端趨勢，推出雲端安全解決方案，用全方位的產品和服務，成為零售業數位轉型時的最佳夥伴。

________________________________________

想瞭解更多零售業數據轉型的「眉角」，現在就報名7月27日中華電信舉辦的「2022掌握數據洞察 佈局零售新趨勢」，輕鬆踏上數據轉型之路。

文章來源：數位時代