网上购物节期间保护个人信息的重要性

关键要点

• 漏洞存在：网上零售商处理客户个人和财务数据的方式令人担忧，潜在的隐私问题在黑色星期五和网络星期一期间尤为突出。
• 安全缺口：2%的电商应用程序未采用HTTPS，28%缺乏网络应用防火墙（WAF）。
• 重要性不足：研究表明，大多数组织在应用程序安全性上关注不够，测试覆盖率低于5%。
• 监控需求：持续的监控和威胁情报对于维护客户和企业安全至关重要。

随着假日网上购物的临近，针对在线零售商如何处理客户个人和财务数据的研究显示，消费者在购物时需要更加谨慎。

对在线零售商网络应用安全实践的调查揭示了在在线购物过程中，一系列隐私警示信号。

本周发布的一项应用程序安全研究发现，在处理客户支付的电商应用中，许多会被不必要地存储。此外，CyCognito的研究显示，电商相关应用存在配置错误或未及时打补丁等隐私和安全隐患。

尽管这些问题应该在全年度引起关注，但研究人员强调，节日购物的激增使得安全隐患更加严重。国家零售联合会和Adobe分析指出，仅在2022年的网络星期一，就有超过7700万人花费超过110亿美元。

以下是研究的一些发现：

“这项研究清楚地表明，传统的网络安全方法及其相关技术继续在企业的攻击面上留下越来越大的空白，”CyCognito首席执行官RobGurzeev表示。“它还显示出组织测试的频率不足。实际上，即便是每年投入数亿美元于安全解决方案的公司，其应用程序测试覆盖率仍不足5%。”

Weidman补充道，对于2%未采用HTTPS的应用程序，缺乏这一基本的安全最佳实践以保护数据的传输令人担忧。她表示，如果开发者没有采取这种基础的安全措施，很难相信他们真的在用户的安全和隐私上进行了投资。

她还发现，2%应用程序中存在的其他关键安全问题，且很大一部分易于被利用，是一个令人担忧的信号。

“根据已知的漏洞进行测试是行业的标准做法，而未做到这一点意味着开发者/供应商缺乏尽职调查，”Weidman说。“最后，7%的应用程序至少有一个来自OWASP前十的安全问题进一步表明，遵循知名安全最佳实践的意识不足。”

Salt Security的现场首席技术官NickRago补充说，CyCognito的发现显示，大多数组织在安全态势管理上仍显得很不成熟。他表示，全球许多企业匆忙追求现代化和微服务的好处，却没有将适当的安全态势控制整合到生命周期中，甚至没有记录公司安全态势标准。

“令人残酷的现实是，对于许多组织而言，应用安全态势在节假日购物季节到来时被置于次要地位，”Rago说。“一个良好且经过深思熟虑的态势治理程序确保从开发者到架构师，再到DevSecOps的所有利益相关者都了解并与合规、最佳实践和公司标准保持同步，因为业务关键应用在其生命周期内不断发展。”

网络犯罪分子可能会利用网络星期一的紧迫感，但电商网站普遍存在的漏洞使消费者和企业在全年度面临风险，Cyware的总监EmilyPhelps指出。Phelps表示，尽管许