说到“信息安全”，大多数人可能首先想考察的是一般企业、学校甚至公共单位的安全，但其实与民生息息相关的百货商场的信息安全能力也是需要考察的。今天，检测品牌Cymetrics发布了台湾省百货商店安全暴露调查报告，对台湾省10家知名百货商店的外部安全暴露进行了评级和分析。 说到“信息安全”，大多数人可能首先想考察的是一般企业、学校甚至公共单位的安全，但其实与民生息息相关的百货商场的信息安全能力也是需要考察的。今天，检测品牌Cymetrics发布了台湾省百货商店安全暴露调查报告，对台湾省10家知名百货商店的外部安全暴露进行了评级和分析。 Cymetrics指出，最近，大型百货公司纷纷推出自己的电子支付工具和电子商务平台，以应对数字化转型的浪潮和疫情带来的消费者行为变化，这给互联网带来了更多的数字化足迹。因此，Cymetrics将其暴露评估作为一项服务，对台湾省10大百货商店的外部安全暴露进行评级和分析，以帮助企业了解自身的安全状况。为了提高其可能的对外曝光率，一半的企业忽视了对电子邮件安全的管理，其中40%的企业甚至出现了帐户密码泄露，包括微风广场、新光三越、诚品和远东百货。 Cymetrics指出，最近，大型百货公司纷纷推出自己的电子支付工具和电子商务平台，以应对数字化转型的浪潮和疫情带来的消费者行为变化，这给互联网带来了更多的数字化足迹。因此，Cymetrics将其暴露评估作为一项服务，对台湾省10大百货商店的外部安全暴露进行评级和分析，以帮助企业了解自身的安全状况。为了提高其可能的对外曝光率，一半的企业忽视了对电子邮件安全的管理，其中40%的企业甚至出现了帐户密码泄露，包括微风广场、新光三越、诚品和远东百货。 为什么百货商店的安全如此重要？根据经济部统计署的公开数据，综合零售业的网上销售额从疫情前到2021年底翻了一倍多。同时，每年5月的母亲节都是百货公司的重要时期，大量的营销活动曝光，后续的网络浏览带来了日交易。与此同时，最近千人确诊成为新常态。在诸多因素的共同作用下，百货商店将更加依赖在线销售和非接触式电子支付等数字工具。 为什么百货商店的安全如此重要？根据经济部统计署的公开数据，综合零售业的网上销售额从疫情前到2021年底翻了一倍多。同时，每年5月的母亲节都是百货公司的重要时期，大量的营销活动曝光，后续的网络浏览带来了日交易。与此同时，最近千人确诊成为新常态。在诸多因素的共同作用下，百货商店将更加依赖在线销售和非接触式电子支付等数字工具。 因此，百货公司所拥有的客户数据规模、现金流和商誉价值，必然是攻击者普遍关注并认为有利可图的目标。在尝试建立企业防御架构之前，建议企业先检查本企业必要的防御范围，再划定可能被视为相对薄弱环节而遭受攻击的部分。 因此，百货公司所拥有的客户数据规模、现金流和商誉价值，必然是攻击者普遍关注并认为有利可图的目标。在尝试建立企业防御架构之前，建议企业先检查本企业必要的防御范围，再划定可能被视为相对薄弱环节而遭受攻击的部分。 (来源：cymetrics提供) (s 网络服务 网络服务 台湾省95%以上的百货公司对外部服务有控制权，其安全等级平均落在A以上，即无法从外部角度收集数据，因此很难收集数据并攻击企业的外部服务。 台湾省95%以上的百货公司对外部服务有控制权，其安全等级平均落在A以上，即无法从外部角度收集数据，因此很难收集数据并攻击企业的外部服务。 网站 网站 对此，台湾省百货公司的安全等级平均降至B~ C-，即具有对外暴露的弱点，可能成为攻击者攻击链中的一环。企业的问题大多来自于网站相关组件和应用设置不正确，或者没有更新到安全版本等常见弱点，可能导致攻击者知道旧版本弱点的攻击脚本，或者绕过网站的安全验证，甚至通过简单的跨站攻击获取客户信息。 对此，台湾省百货公司的安全等级平均降至B~ C-，即具有对外暴露的弱点，可能成为攻击者攻击链中的一环。企业的问题大多来自于网站相关组件和应用设置不正确，或者没有更新到安全版本等常见弱点，可能导致攻击者知道旧版本弱点的攻击脚本，或者绕过网站的安全验证，甚至通过简单的跨站攻击获取客户信息。 电子邮件 电子邮件 在这方面，台湾省内的百货公司差距较大，安全评级分别为A~C-。一半的企业没有妥善管理电子邮件的安全，大多数企业没有正确设置DMARC和SPF，这可能导致攻击者通过企业的同一电子邮件域名向人和员工发送恶意邮件，他们可能会遭受社会工程，导致数据泄漏。 在这方面，台湾省内的百货公司差距较大，安全评级分别为A~C-。一半的企业没有妥善管理电子邮件的安全，大多数企业没有正确设置DMARC和SPF，这可能导致攻击者通过企业的同一电子邮件域名向人和员工发送恶意邮件，他们可能会遭受社会工程，导致数据泄漏。 帐户密码 帐户密码 台湾省百货公司的安全评级是两极的，主要集中在A和c，其中有4家公司的账户密码泄露过，包括员工的个人账户和系统，或者用于对外服务的公共账户。与此同时，在那些泄露了账户密码的企业中，已经有多组账户密码被泄露，这将使攻击者能够准确地锁定目标，钓鱼或直接渗透到各种系统中。 台湾省百货公司的安全评级是两极的，主要集中在A和c，其中有4家公司的账户密码泄露过，包括员工的个人账户和系统，或者用于对外服务的公共账户。与此同时，在那些泄露了账户密码的企业中，已经有多组账户密码被泄露，这将使攻击者能够准确地锁定目标，钓鱼或直接渗透到各种系统中。 云计算安全 云计算安全 台湾省百货商店的评级得分均在a以上，本次调查中，未发现其域名下的百货商店有公共云计算存储服务或公共程序库。然而，Cymetrics预计，在数字化转型的驱动下，越来越多的企业将逐步采用公共云服务，企业在通过公共云企业协助新服务快速扩展的同时，应始终关注是否安全使用相关资源。 台湾省百货商店的评级得分均在a以上，本次调查中，未发现其域名下的百货商店有公共云计算存储服务或公共程序库。然而，Cymetrics预计，在数字化转型的驱动下，越来越多的企业将逐步采用公共云服务，企业在通过公共云企业协助新服务快速扩展的同时，应始终关注是否安全使用相关资源。 (第一张图pixabay) (第一张图pixabay)