撰文:叡揚資訊 資訊安全事業處 郭俐佳經理
我是資安顧問Fenny,在軟體安全與網路安全領域已有十年工作經驗,很榮幸與你們分享我們所觀察到的資安動態,這些是現在正在發生的議題,無論是在台灣或全世界。這些議題探討了關於電子商務以及隨之而來的網路犯罪,還有業者需面臨的快速數位轉型。
COVID-19疫情對實體商店帶來了許多嚴重的衝擊,特別是許多中小規模的店家。在亞洲,許多零售品牌商如雜貨店、零售商、還有小餐館被迫關閉實體店面以避免疫情傳播,開始了轉型電子商務的契機。這個現象不只發生在台灣跟亞洲,甚至是全世界。許多品牌希望能夠繼續服務忠實的老客戶並且避免疫情影響帶來的成本損失,業者們很快地開始了它們的網路商店,在這個快速且競爭的網路商場上跨出第一步。你可以發現許多台灣的本地品牌正在與亞馬遜的大品牌競爭!同時,對於已經有線上通路經驗的業者而言,他們也力求拓展事業版圖來滿足顧客需求。
去年我們接到很多電商的諮詢,不論是新客戶與舊客戶他們都想了解如何快速交付軟體且顧及安全性。我們還發現到每家業者都在這波電商的成長趨勢中努力守住漂亮營收,而他們也都面臨三件關鍵挑戰:
1. 滿足新舊顧客的高度期望
由於電商產業龍頭,如亞馬遜(Amazon)、阿里巴巴(Alibaba)、蝦皮(Shopee)、MoMo購物網與PChome等帶給消費者優良的網購體驗,提升了消費者對於網路購物的期待。因此電商的應用系統(Application),必須更加細緻、客製化與值得信賴,才能在消費者心目中占有一席之地。然而,自疫情爆發以來,部份顧客才開始轉向網路購物,而他們過去可能都是以實體購物為主,並未接觸過網路購物。業者應逐步引導這些網購新鮮人擁抱網路購物。
Google、新加坡淡馬錫控股、還有美國貝恩策略公司所發布的研究預測:在東南亞,電子商務領域的網站成交金額(GMV)增加了63%。在2025年之前,線上購物的展望達到了1,720億美元(超過了原本估計的1,530億美元)。根據這份研究,2020年有4千萬的新用戶加入了網路購物,其中1/3的用戶是在疫情前從未使用過網購的新用戶。對於這些新顧客,應用系統需要更易於操作、熟悉且值得信任,才能複製顧客先前的實體消費體驗。
2. 成功防護資安威脅
電子商務的應用系統所收集到的會員個資與財務金流資料往往是網路犯罪者覬覦的目標。這個情況在疫情爆發後更加嚴重了。2020年的〈Verizon資料外洩調查報告〉發現:截至目前,針對應用系統的攻擊是造成零售業電子商務資料外洩的主因。當店家持續把營運轉移到網路上,犯罪者也跟著將目標轉移到線上。
該報告也發現這些外洩事件中還增加了POS(point-of-sale)攻擊。顯然,這批天真的新顧客帶來交易量的成長,卻也成為駭客的目標,這些駭客善於攻擊應用系統漏洞,而駭客最想要的就是攻擊系統,竊取個資。除了提升顧客資料外洩的風險之外,網路惡意攻擊也可能造成電商業者被迫停機,直接影響營收。在這樣的環境下,有些零售商的確承擔不起這樣的風險。
3. 法規與商譽風險
資安議題也讓業者暴露在法規的風險之中,如果顧客資料外洩,業者也須受罰。在台灣,《資通安全管理法》是具有重大影響力的法規。如果業者因疏失讓客戶資料遭外洩或被竊取,這些法規會祭出罰款。對於中小型的業者,這些罰款足以造成嚴重後果。在歐美也有一樣的立法進程,歐盟的《一般資料保護規範》(GDPR),美國的《加州消費者隱私保護法》(CCPA)都確保了電子商務的應用程式安全應為當務之急。
快速開發為應用系統安全帶來壓力
儘管如此,需求單位也是促使軟體頻繁更新發佈的主因。為了要交付具競爭力的特色功能來吸引客戶,軟體上線甚至會在一天之內改版很多次。這又回歸到消費者的高度期望,大家都習慣了Amazon所樹立的標準,然而只有很少的開發者跟資安資源跟得上Amazon的應用程式團隊水準。(據說在Amazon平均每11.6秒部一次版)
這個現況為產出程式碼的開發人員帶來很多壓力。開發人員發現:執行全部掃描(full security scan) 太耗時,不僅延誤軟體上線,也間接影響營收。在這背景下,現今的軟體在上線之前不一定能完全落實全部掃描。ESG最近的研究報告指出: 有79%的受訪者的程式碼被偵測到漏洞。現今的業者正面臨著前所未有的困難挑戰,無論是主管單位的法規要求還是外在虎視耽耽的攻擊者們正不斷的探詢資安漏洞。
化解資安的疑慮vs.快速交付
透過部署整合程式碼掃描方案,開發人員無論是版控源碼管理、CI/CD流程或是IDEs都可自動執行檢測,提升工作效率、增加安全性,更可減少延遲交付的情況。版控作業中無論是pull/push/merge request等事件都可以在工作流程中設定自動觸發靜態分析工具(SAST)的差異掃描與軟體組成分析(SCA)。因此,可於開發初期階段辨識漏洞,開發人員就可以邊開發邊進行漏洞修復。此外,AST的解決方案也可以被整合Bug Trackingsystems,可自動建單、更新與結案。
AST解決方案需具有高精準度、低誤報(False Positive)的特性,才能夠避免干擾整體開發流程。如果可以指出在茫茫程式大海中最佳修復點,開發人員就可以減少求助資安專家。同時也可以在開發者社群中建立資安意識與增進資安防禦的技巧。這個解決方案也對剛進入電子商務的零售業者非常有幫助。因為在一開始就建立了DevSecOps的思維,確保企業在數化轉型的開始就具備資安意識,而非事後才去補足。而對於消費者而言,這意味他們可以一如往昔地繼續信任這些他們所熟知且熱愛的店家。因為他們的機敏資料與個資已經得到了妥善保護。
GSS是Checkmarx超過五年的合作夥伴,忠誠且值得信賴
叡揚資訊(GSS)是台灣企業e化應用軟體開發與服務領導廠商,專精於企業應用程式的系統整合,企業軟體開發與商業化流程,還有提供顧問服務。叡揚設立於1987年,是東亞地區提供SaaS/雲端運算服務的領導廠商。憑藉先進的資訊技術,精密的軟體開發還有卓越的框架設計,叡揚發展出了創新的e化流程(e-process)和作業系統,可以滿足超過2000個來自不同產業的客戶,服務範圍涵蓋政府機關、金融、電信、製造業、物流、醫院以及學校。
Fenny Kuo
Fenny在台灣資安領域已有10年的工作經驗,主要負責安全程式開發教育訓練、應用程式安全配置與設計與漏洞修復;同時也協助數十間企業導入SAST/DAST工具並為其設計、調整企業制度,擁有豐富的知識與經驗。