物流行業的5大安全風險
物流行業網絡安全意識到底有多差?有網絡安全專家表示:未來黑客會更恐怖,物流行業應把數據庫安全放在首位,數字化為物流公司在效率,成本節約和服務質量方面提供了巨大的機遇。它為物流管理人員提供24/7全天候在線洞察其運營情況,并允許客戶直接在客戶門戶中下訂單。但數字化也有一個反面之處:隨之而來的安全風險。考慮到最近發生的惡意軟件襲擊對快遞公司和海運公司的黑客攻擊。在這篇文章中,網絡安全專家討論了物流行業的5大安全風險。 
風險1:安全意識不足 最大的安全風險是你和你的員工。因此,安全意識應成為每項業務的重要組成部分。每個人都需要了解強密碼的重要性并使用它們。人們還需要了解使用USB記憶棒并登錄到免費WiFi網絡時不加區別地打開附件的潛在后果。
風險2:在線解鎖數字系統 客戶門戶網站有很多優勢,不幸的是也有惡意黑客。如果您的系統在線提供,即使您的門戶網站僅以HTTPS提供,并且每個用戶都使用強密碼進行登錄,您也將面臨安全風險。軟件本身可能包含漏洞和/或IT基礎設施中的其他地方可能存在漏洞。這些可能被利用來深入到系統中。根據黑客的目標,信息可能會被更改或被盜,或者破壞者可能會將您的業務連續性置于風險之中。
風險3:對個人數據的保護不足 2018年5月,新的GDPR立法生效。存儲個人數據的公司需要進行保護。并非所有的物流公司都在為這項立法做準備,但罰款可能會增至2000萬人民幣, 即全球年營業額的4%。如果您還不熟悉這項法律,請務必閱讀并采取措施。然而,關于GDPR的結論是沒有人是100%安全的:即使您已經按照所有步驟將風險降到最低,數據泄漏仍然是可能的。
風險4:機器人化和物聯網的影響越來越大 從機器人手臂和自動駕駛卡車到知識產權鏈接的空調和傳感器,可以指出哪些系泊裝置在港口占用,物流領域的物聯網影響力一直在增加。由于這些應用程序或物聯網設備可通過互聯網直接訪問公司網絡,因此也增加了黑客發動攻擊的機會。此外,黑客教父郭盛華表示:近年來已經發現了許多安全問題,公司通常完全不知道哪些設備連接到其公司網絡。簡而言之,物聯網和機器人不僅讓你的公司變得更容易,黑客也知道如何利用它們。 風險5:鏈中的依賴 物流鏈本身也是一種安全風險。大量數據被共享,系統被鏈接并且訂單被帶有附件的電子郵件觸發。這使得惡意軟件,勒索軟件或病毒易于傳播。因此,即使您的所有系統都已經過全面測試,您立即實施了所有軟件和系統更新,并且組織內部存在安全意識,但您仍然可能成為網絡犯罪的受害者。畢竟,你只是和最薄弱的環節一樣強大。黑客教父郭盛華認為,物流公司應該先建立黑名單制度,才能切實保護快遞信息安全。 
CWE威脅類別漏洞 另外,物聯網和庫漏洞在2017年中逐漸增多。在2016年10月1日至2017年9月30日期間發現224個新漏洞,其中40個漏洞(17.86%)與產品中包含的第三方軟件庫有關,74個(33.04%)與物聯網設備有關。然而,盡管物聯網的漏洞日益增多,很多漏洞修復速度很慢,甚至完全沒有被修復。組織需要像對待其他計算設備那樣對待物聯網設備,確保他們的固件按時更新。 同時,思科提醒,盡管常見漏洞嚴重性較低,但風險依然較高,一 二、防御形勢 攻擊者是永遠不會停止攻擊的腳步的,他們會不斷發展和調整他們的技術,并在實際場景中進行各種實驗。而面對越來越繁多的攻擊,防御方是否做好準備了呢? 數據泄露帶來的損失已經不是一個假想的情況,而是能在企業的賬本上明確反映出來的情況:根據思科對受訪者的調查,53%的攻擊會導致超過50萬美元(約314萬人民幣)的損失。 然而,相對于攻擊者只需要找到一個弱點,進行單點突破,企業的防御卻需要做到全方位的保護——從而對整個安全防御帶來極大的挑戰。為了應對各種挑戰,安全人才逐漸成為了極大的需求。根據思科調查,在2017年,有27%的受訪者認為缺乏人才是一大障礙(2016年為25%,2015年為22%)。而缺乏人才帶來的問題之一,就是企業無法協調、理解并修復來自不同安全供應商的風險通告。 盡管管理多個安全供應商會帶來極大的混亂,企業為了追求最佳的效果,依然會為了滿足一些特定的需求而選擇購買最佳單點解決方案。企業已經逐漸意識到公眾對于信息泄露的敏感,而信息泄露一旦被曝光,將給企業帶來巨大的損失。因此,企業為了確保安全,已經越來越愿意把錢花在安全供應商上。 思科指出,企業需要同時解決三大問題以應對即將到來的威脅:策略、技術以及人員。而安全漏洞促使企業需要加大對技術和人員培訓的投資。 在思科這份報告中,我們可以發現,從攻擊形勢的角度,攻擊模式越來越多:“老”式的攻擊依然奏效,“新”式的攻擊也在逐漸增加。老式的蠕蟲型惡意程序以及郵件攻擊依然是攻擊者的寵兒,甚至隨著結合新的攻擊元素能夠進一步變化。而新式的攻擊則針對于企業新開展的業務以及利用的設備和服務展開攻擊——比如越來越多的云辦公以及飛速發展的物聯網。 另外,攻擊者也擅長學習:安全技術不僅僅能用于防御,也能用于攻擊。因此,攻擊者會利用合法服務進行攻擊,甚至采用加密技術——這一傳統意義上被認為是加強安全性的技術,進行發送攻擊指令。 思科的攻擊形勢分析給我們帶來了三個啟示性問題:舊式的攻擊手段是否真的過時了?飛速的技術發展是否真的安全?既然攻擊者開始利用安全技術了,那么防御者是否有機會從攻擊手段角度進行防御? 最后,從防御者角度,企業逐漸加強的安全意識固然值得稱贊,但是企業如何將有限的資源更好的利用于安全,如何更好地利用安全產品的功能,似乎依然有很長的路要走。而其中的重點,依然在人員上——不僅僅是技術上的人才,也需要整個公司的員工安全意識的增強,管理人員對安全更好的利用和部署。 來源:IT八卦陣
