企业的电子商务平台或内容管理系统,不论是一个综合开发的系统,还是将不同的系统集成在一起,都可能有潜在的风险点。一个被利用的安全漏洞或网络钓鱼攻击就可能让网络犯罪分子一举搞定,获得的信息从商业机密(如库存和价格折扣表)、合作伙伴和供应商列表、折扣代码,甚至有关客户的敏感信息。
企业除了遵循完善的网络安全实践,例如及时打补丁并修复操作系统、应用程序和库,并对所传输的数据采用先进的加密技术,采用安全级别更高的密码,还可以采取哪些步骤,来增加安全性呢?
1、尽可能少地收集客户信息选择更加安全的地方存储这些数据,如果客户信息被窃取,可能面临民事诉讼或声誉损失,同时还会因为违反相关法律法规而受到惩罚。
2、注意联网服务器上存储的内容电子商务平台需要了解库存水平及定价折扣等信息进行营销。当这些信息被竞争对手获取时,对企业可能造成业务上的压力。
3、监控0 day威胁和其他漏洞列表关注最新的网络安全信息,并检查软件系统中可能存在的安全漏洞。不久前在流行的Log4j库中出现影响非常大的问题,企业需要及时进行更新。此外,在软件开发期间,通过静态测试能有效发现代码中的缺陷及潜在安全问题,避免将缺陷引入软件当中。
4、使用渗透测试工具和服务无论软件时定制还是自己开发的,进行必要的测试有助于第一时间了解其安全性。定期进行测试可以发现系统运行时的安全问题。也能避免因为维护不当使系统出现漏洞,增加被攻击者入侵的风险。
5、审查软件供应商,并确认是否遵循安全编码软件供应链攻击已经成为当前网入侵者常用且影响极大的手段。通过审查软件供应商提供的软件安全性,包括代码审访问控制权限、异常检测及严格的安全测试,增强来自第三方软件安全性及对其安全掌握的透明度。
6、记录并分析日志中的异常、攻击模式每笔交易,每一次对 CMS 或电子商务平台的特权登录,每一个因输入错误密码而导致的错误,都应该被记录下来。现代网络攻击既快速又微妙,并且有太多数据无法与模式相关联。使用机器学习工具来监控事件和日志。
文章来源:
https://www.darkreading.com/application-security/7-smart-ways-to-secure-your-ecommerce-site