概述和關(guān)鍵結(jié)論

雖然2019年后半年出現(xiàn)貿(mào)易關(guān)稅、行業(yè)數(shù)據(jù)泄露以及經(jīng)濟(jì)下行威脅等不利因素，但零售業(yè)仍然在增長。2019年第三季度的商品和服務(wù)增長了3.5%。要在2020年繼續(xù)確保這一趨勢，零售商必須克服其它兩個(gè)挑戰(zhàn)：一是技術(shù)，二是用戶體驗(yàn)。

創(chuàng)新型零售商已經(jīng)通過全渠道體驗(yàn)更側(cè)重服務(wù)和可用性，但隨著數(shù)據(jù)泄露事件不斷增多、零售商成為節(jié)日季的精選目標(biāo)，零售商還必須應(yīng)對安全問題，或許這也是為什么2019年第三季度 Bugcrowd 零售計(jì)劃在所有行業(yè)計(jì)劃中收到的漏洞提交數(shù)量排名第二的原因。

零售業(yè)安全格局的影響

報(bào)告認(rèn)為零售業(yè)的趨勢是：顧客行為發(fā)生改變、數(shù)字化轉(zhuǎn)型提高可訪問性、安全性成為差異性以及安全合規(guī)。

具體而言，2019年第二季度，美國迎來四年來第二次商品和服務(wù)消費(fèi)最強(qiáng)勁的季度增長，意味著零售業(yè)仍然有機(jī)會(huì)安全地在對消費(fèi)者影響最大的領(lǐng)域進(jìn)行投資，這種趨勢對整個(gè)行業(yè)有何影響？

對于希望在顧客消費(fèi)過程中實(shí)現(xiàn)差異化的很多零售商而言，它意味著特征和功能優(yōu)先的模型已經(jīng)轉(zhuǎn)向?yàn)榱吮Ｗo(hù)和擴(kuò)展自己手中的美元而奮斗的人們所擁有的價(jià)值點(diǎn)：耐用性、可訪問性和安全性。

對于競爭激烈的商品和服務(wù)而言，業(yè)務(wù)大頭由通過多渠道營銷和購買策略提高可訪問性的零售商拿走。

福布斯最近開展的一項(xiàng)調(diào)查研究顯示，79%的零售商認(rèn)為交付無縫的消費(fèi)者體驗(yàn)是決定他們數(shù)字化轉(zhuǎn)型的成敗關(guān)鍵。

而這一目標(biāo)要求融合新舊系統(tǒng)，而這一過程可能會(huì)增加現(xiàn)有漏洞并引入新漏洞。例如 PoC 系統(tǒng)因其操作系統(tǒng)過時(shí)而易遭惡意攻擊。

同樣，隨著組織機(jī)構(gòu)采用新的工作流程連接不同的系統(tǒng)，他們也越來月容易通過云遷移和錯(cuò)誤的訪問配置而不斷受到安全漏洞的影響。

雖然數(shù)字化轉(zhuǎn)型是必要的，但為全球消費(fèi)者提高可獲得性的數(shù)字化轉(zhuǎn)型計(jì)劃也增加了暴露和攻陷風(fēng)險(xiǎn)。

Shape Security 最近開展的調(diào)查顯示80%到90%的電商網(wǎng)站登錄實(shí)際上是通過憑證填充實(shí)現(xiàn)的。數(shù)據(jù)泄露對于直接的受害者而言是災(zāi)難性的，但對于企業(yè)本身而言也會(huì)失去消費(fèi)者的信任。

最近有報(bào)告顯示，僅有11%的消費(fèi)者對零售商正確響應(yīng)新型網(wǎng)絡(luò)攻擊有信心。近20%的消費(fèi)者據(jù)稱將終結(jié)和零售商的連接，而超過30%的消費(fèi)者在幾個(gè)月時(shí)間內(nèi)將暫停消費(fèi)。

隨著消費(fèi)者把握數(shù)字化世界真實(shí)風(fēng)險(xiǎn)變得更加容易，以前還是無形的安全觀念對于未將安全視作購買要求的企業(yè)而言變得非常真實(shí)。

不管企業(yè)選擇何種方式擴(kuò)大消費(fèi)者群體，很多零售商必須注意幾個(gè)合規(guī)要求：PCI-DSS（《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》）、SOX（《Sarbanes-Oxley 法案》）以及 HIPAA（《健康保險(xiǎn)攜帶和責(zé)任法案 (HIPAA》）以及 GDPR（《通用數(shù)據(jù)保護(hù)條例》）。

數(shù)字中的零售業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

如下是收集自2017年1月1日至2019年9月30日期間的零售業(yè)計(jì)劃數(shù)據(jù)，涵蓋Bugcrowd 漏洞披露計(jì)劃、漏洞獎(jiǎng)勵(lì)計(jì)劃和下一代滲透測試計(jì)劃。

提交的漏洞情況

2017年以來，零售計(jì)劃經(jīng)歷了持續(xù)增長，但我們發(fā)現(xiàn)所有行業(yè)第一季度和第二季度之間同比顯著增長，它通常是在傳統(tǒng)的“凍結(jié)”期（在此期間，優(yōu)先級較低的測試和之后的代碼更改被推遲）結(jié)束時(shí)發(fā)生的。

2019年零售業(yè)趨勢也是如此，如圖1所示單個(gè)季度的提交量增長了176%。

幾大行業(yè)中嚴(yán)重漏洞所占的比例

在2017年1月1日至2019年9月29日期間，零售業(yè)漏洞的提交量是最多的（圖2的 X軸），其中“嚴(yán)重”級別（P1和P2）的漏洞（Y軸）是占比最高的行業(yè)之一，在Bugcrowd 最活躍的行業(yè)（零售業(yè)、學(xué)校和教育、銀行、金融服務(wù)和電信）樣本中，其增長率（氣泡的大?。┡琶诙?，為同比137%。

根據(jù)優(yōu)先級提交的漏洞

打補(bǔ)丁的優(yōu)先級排序?yàn)镻1到P5：P1為優(yōu)先級最高，P5為最低。研究人員和企業(yè)可據(jù)此來修復(fù)漏洞并發(fā)放獎(jiǎng)勵(lì)金。

報(bào)告指出，Bugcrowd 按照漏洞類型確定漏洞的優(yōu)先級。從“凍結(jié)”期趨勢來看，被零售業(yè)組織機(jī)構(gòu)在第四季度列為影響力低的漏洞在第一季度往往出現(xiàn)在兩級。

在所有提交的零售業(yè)漏洞中，超過18%的漏洞級別是 P1 和 P2（圖3），這種劃分也為零售商所接受。

按目標(biāo)類型提交的嚴(yán)重漏洞所占比例（P1和P2）

很多電商和零售商是基于 web 和移動(dòng)應(yīng)用攻擊面最“容易下手”的目標(biāo)。由于攻擊門檻低，和其它行業(yè)相比，所提交的零售類漏洞數(shù)量明顯要多。

相比之下，硬件目標(biāo)收到的漏洞數(shù)量更少，但它在零售業(yè)中的影響要遠(yuǎn)超在其它資產(chǎn)類型中的影響力。

向零售業(yè)提交的90%的硬件漏洞級別是“嚴(yán)重”級別（圖4）。

這種失衡可能是每個(gè)零售商不同的程式化因素造成的，但也有一些宏觀經(jīng)濟(jì)因素在起作用。

采購被認(rèn)為是一次性測試環(huán)境的設(shè)備成本為很多研究人員造成很高的門檻，并使得漏洞提交的整體數(shù)量在減少。

另外一方面，硬件的分散相使得難以打補(bǔ)丁，很多通過近年來加速上市策略交付的新興硬件和物聯(lián)網(wǎng)設(shè)備也缺少正確的安全測試。

這兩種情況都是高影響力漏洞產(chǎn)生的原因所在。

對于零售業(yè)而言，PoS 和硬件資產(chǎn)仍然是主要的攻擊目標(biāo)之一，原因如下：

1、 遺留物聯(lián)網(wǎng)設(shè)備的開發(fā)生命周期通常缺少內(nèi)置的安全考慮因素。

2、這些設(shè)備通常缺乏處理能力和內(nèi)存，這意味著標(biāo)準(zhǔn)的加密協(xié)議經(jīng)常被放棄。

3、知道如何下手的黑客會(huì)查找聯(lián)網(wǎng)的 PoS 設(shè)備。

4、很多設(shè)備要求手動(dòng)更新，但通常無法大規(guī)模進(jìn)行，從而使得易受攻擊的系統(tǒng)成為進(jìn)入其它網(wǎng)絡(luò)的入口。

平均獎(jiǎng)勵(lì)金

2019年，所有零售目標(biāo)為P1級別的漏洞支付的獎(jiǎng)勵(lì)金平均是981美元，而零售業(yè)硬件目標(biāo)為單個(gè) P1 漏洞支付的獎(jiǎng)勵(lì)金平均是2750美元。

相比之下，所有行業(yè)對所有目標(biāo)的獎(jiǎng)勵(lì)金平均為2925美元，為硬件 P1漏洞支付的獎(jiǎng)勵(lì)金平均為6200美元。

雖然乍一看我們認(rèn)為零售業(yè)計(jì)劃應(yīng)當(dāng)增加獎(jiǎng)勵(lì)金計(jì)劃（在某種情況下為了在競爭激烈的市場中留住頂尖人才，這種做法可能是正確的），但實(shí)際上，零售商是最先實(shí)施漏洞獎(jiǎng)勵(lì)計(jì)劃的群體之一，而且由于開始時(shí)支付得較低，因此其獎(jiǎng)勵(lì)金增長率是正常的。

此外，很多零售業(yè)的目標(biāo)是 web 和移動(dòng)應(yīng)用，它們本身的獎(jiǎng)勵(lì)金確實(shí)是較低的。

按季度支付的獎(jiǎng)勵(lì)金

獎(jiǎng)勵(lì)金支付不僅出色地說明了漏洞提交的數(shù)量，而且還說明了漏洞的嚴(yán)重程度。在2017年1月1日至2019年第三季度期間所有的零售業(yè)計(jì)劃中，支付的獎(jiǎng)勵(lì)金總額為698,577美元；和2018年第三季度相比，2019年第三季度支付的獎(jiǎng)勵(lì)金增長了79%。

漏洞的市場率受多種因素影響，包括零售企業(yè)不斷擴(kuò)大的攻擊面、越來越多的組織機(jī)構(gòu)參與眾籌安全計(jì)劃以及具有特定技能的安全研究人員的可獲得性。

零售業(yè)的十大漏洞類型

按提交有效漏洞總數(shù)占比劃分的前十大漏洞類型

雖然跨站點(diǎn)腳本漏洞通常被認(rèn)為是眾籌安全計(jì)劃中占主導(dǎo)地位的漏洞類型，但零售行業(yè)的唯一性證明事實(shí)并非如此。

雖然跨站點(diǎn)腳本漏洞確實(shí)以18%的比例躋身前十，但近50%的漏洞是服務(wù)器安全配置錯(cuò)誤和身份驗(yàn)證失敗，而且漏洞嚴(yán)重程度涵蓋P1到P5級別。

零售商響應(yīng)時(shí)間

捕獲 P1 漏洞后的平均響應(yīng)時(shí)間

相比全行業(yè)所有公開和私密計(jì)劃的平均水平，零售計(jì)劃在2019年對嚴(yán)重漏洞（P1）的響應(yīng)速度更慢。

雖然造成這種結(jié)果的原因很多，包括唯一的安全和開發(fā)生命周期，零售計(jì)劃所有者或許可以通過審視相近行業(yè)的最佳實(shí)踐來獲益，確定是否在所在機(jī)構(gòu)中采用或者改編新的框架。

影響及未來

零售市場復(fù)雜多變，他對社會(huì)經(jīng)濟(jì)變量的依賴程度要高于其它很多行業(yè)的總和。位于物聯(lián)網(wǎng)、金融、制造業(yè)和航海/交通行業(yè)的交叉口，它跨越了多個(gè)動(dòng)蕩的行業(yè)，而且不得不兼顧同等數(shù)量的獨(dú)特安全性和合規(guī)性考量。然而，它仍然在增長。

為了滿足不斷擴(kuò)張的全球社區(qū)客戶不斷變化的需求，零售業(yè)必須尋求能夠快速擴(kuò)張其業(yè)務(wù)的創(chuàng)新型解決方案并無縫適應(yīng)其現(xiàn)有的開發(fā)生命周期。

報(bào)告提到，Bugcrowd 的眾籌安全計(jì)劃使得零售組織機(jī)構(gòu)能夠使用可能存在的真實(shí)風(fēng)險(xiǎn)的最有機(jī)的衡量方式及黑客思維來評估生產(chǎn)前和生產(chǎn)后的數(shù)字化風(fēng)險(xiǎn)。