零售及Web应用安全：零售商面临的应用层安全威胁

至顶网安全频道 09月27日 综合消息： 受技术进步和突破推动，作为“增权型”消费者，零售行业正处于转型期，影响到了零售商的市场、传播和销售方式。零售商们通过移动应用、社交媒体交易和可以与消费者沟通的人工智能等大量的新技术，来提高人们的消费意欲。他们可以利用人工智能来分析买家行为并优化买家偏好。即使是“传统”的零售商也已经对可以追踪线下和店内行为的技术进行了投资，以便进一步减少销售障碍。

为了尽可能多地与消费者深入联系，零售技术就必须依赖机器人自动化。计算机机器人程序已经从根本上改变了消费者与零售商和消费品公司之间的联系方式。在零售领域，计算机机器人程序是无处不在的，从电子优惠券到价格聚合器，从广告购买计划到应用间通信(聊天机器人)。

为了了解首席安全高管们如何在管理过程和人员的同时克服这些技术挑战，Radware对来自六大洲的600多名首席信息安全官(CISO)及其他安全领袖进行了调查。本文概述了Radware Web应用安全：数字连接领域的Web安全报告中的主要发现。

随计算机机器人程序崛起而来的是辨别不良计算机机器人程序和良性计算机机器人程序的安全风险。Radware研究显示，70%的网络流量都来自于计算机机器人程序，然而只有不到20%的受访者能区分良性计算机机器人程序和不良计算机机器人程序(见图1)。不良计算机机器人程序会通过Web刮取窃取知识产权，降低或窃取报价并扰乱库存管理，给零售商带来严重的经济损失。例如，“sneakerbots1”已经遍历了运动鞋市场，目前正在全部买下各类备受期待的产品，之后再在网上进行售卖。

由于消费者希望他们购物的网站和商店拥有最高安全级别，因此，为了确保零售商能够保护个人数据和财务数据，零售商必须适应日益加快的技术变革和不断增加的安全风险，进而实现高水准的客户忠诚度，品牌声誉和客户满意度。现在我们回顾一下当前零售商面临的安全问题，看看这些受访者目前为何会对能否为客户提供他们所需和期望的安全水平缺乏信心。

计算机机器人程序和新兴技术

如前所述，计算机机器人程序是受访者需要认真对待的关键技术问题。对那些能够区分良性计算机机器人程序和不良计算机机器人程序的受访者而言，不良计算机机器人程序通常会以Web专区攻击的形式攻击零售商。事实上，75%的零售商称，Web刮取对他们的知识产权是一个很大的风险。Radware研究指出，72%的零售商都表示遭受了Web抓取攻击的影响，包括采集报价信息(56%)、冻结库存(45%)、网站复制(39%)和耗尽库存(32%) (见图2)。

此外，L7层DDoS等加密Web攻击以及暴力破解与数据安全漏洞等其他攻击矢量的风险越来越大，这也是那些还没有部署可以缓解此风险的解决方案的零售商面临的主要问题。在过去的12个月里，尽管零售应用和Web服务器都遭受了暴力破解(36%)攻击和L7层DDoS (25%)攻击，但只有16%的受访者有信心可以快速检测到其中一种攻击，只有21%的人对快速缓解攻击充满信心。

信心及缓解风险

关于零售商是否有信心缓解风险的调查显示，零售商并不确信拥有可以解决这些问题的工具、解决方案和恰当投资。只有32%的人很有信心可以保护敏感数据(如信用卡)，而在数据离开公司网络之后，60%以上的企业都无法追踪与第三方共享的数据(见图3)。

也有越来越多的人担心，这种信心的缺乏可能基于这样一个事实：只有五分之一的受访者完全意识到了企业软件开发环境中不断变化的内部应用和API。尽管有33%的企业必须遵守PCI标准，但仍有近60%的企业不会检查通过API传输/返回的数据，不到40%的企业会在整合之前分析API漏洞。

与医疗和金融服务等其他行业相比，接受调查的零售商并没有通过在安全控制方面进行投资的方式对全行业的安全违规行为做出回应，其中只有33%的企业大幅增加了投资。这情况很令人担忧，原因是60%以上的受访者正采集客户数据进行分析和个性化营销；缺少相关投资可能会让零售商更容易遭受到威胁和攻击。

以下是对零售商受访者的统计分析，表明了为什么这些企业会成为潜在应用层攻击的受害者，即缺乏全面的安全框架来识别或缓解这些攻击。只有25%的零售商表示，他们可以完全将安全集成到Web应用的交付中，而只有三分之一的零售商能够快速检测到各类威胁和攻击。这可能也是世界各地的零售商都遭受到了针对应用的频繁攻击的原因，让他们极易遭受到各类威胁侵扰，并在竞争中处于劣势(顾客很快就会放弃购物车或购物篮中的商品，严重影响销售和客户忠诚度)。