البيع بالتجزئة في خطر: أهم التهديدات التي تواجه تجار التجزئة في موسم العطلات هذا

البيع بالتجزئة في خطر: أهم التهديدات التي تواجه تجار التجزئة في موسم العطلات هذا

الطابع الزمني: 28 نوفمبر 2023 الساعة 5:30 صباحًا

أمن الأعمال

على الرغم من أنه قد يكون الوقت قد فات لإجراء تغييرات شاملة على سياساتك الأمنية، إلا أنه لا يضر إلقاء نظرة جديدة على أماكن وجود أكبر التهديدات وأفضل الممارسات التي يمكن أن تساعد في تحييدها

فيل مونكاستر

فيل مونكاستر

28 نوفمبر 2023  •  , 6 دقيقة. اقرأ

البيع بالتجزئة في خطر: أهم التهديدات التي تواجه تجار التجزئة في موسم العطلات هذا

لقد بدأ موسم التسوق في العطلات بشكل جدي. بينما يركز تجار التجزئة على المنافسة من أجل ما يقدر بنحو 1.5 تريليون دولار في المبيعات هذا العام (وهذا بالنسبة للولايات المتحدة فقط)، قد يذهب عملهم الشاق إلى لا شيء إذا لم يتم إيلاء الاهتمام الكافي للأمن السيبراني. 

لماذا؟ لأن هذا هو أفضل الأوقات وأسوأ الأوقات بالنسبة لفرق تكنولوجيا المعلومات بالتجزئة. الوقت الأكثر ازدحامًا في السنة للعملاء هو أيضًا مغناطيس لمجرمي الإنترنت. وعلى الرغم من أنه قد يكون الوقت قد فات في هذه المرحلة لإجراء تغييرات شاملة على سياساتك الأمنية، فلا يضر إلقاء نظرة جديدة على أماكن وجود أكبر التهديدات، وأفضل الممارسات التي يمكن أن تساعد في تحييدها.

لماذا البيع بالتجزئة، لماذا الآن؟

لقد تم تمييز تجار التجزئة منذ فترة طويلة بمعاملة خاصة من قبل مجرمي الإنترنت. ولطالما مثلت فترة التسوق الأكثر ازدحامًا خلال العام فرصة ذهبية لتحقيق النجاح. لكن لماذا؟

  • يحتفظ تجار التجزئة بمعلومات شخصية ومالية يمكن تحقيق الدخل منها بشكل كبير عن عملائهم. مجرد التفكير في كل تلك التفاصيل البطاقة. ليس من المستغرب أن يتم تحليل جميع خروقات بيانات البيع بالتجزئة (100%) بواسطة فيريزون خلال العام الماضي كانت مدفوعة بدافع مالي.
  • يعد موسم التسوق أثناء العطلات أهم وقت في السنة بالنسبة لتجار التجزئة من حيث الإيرادات. ولكن هذا يعني أنهم أكثر عرضة للتهديدات الإلكترونية مثل برامج الفدية أو رفض الخدمة الموزعة (DDoS) المصممة لابتزاز الأموال عن طريق رفض الخدمة. وبدلاً من ذلك، قد يشن المنافسون هجمات DDoS لحرمان منافسيهم من المخصصات والإيرادات الحيوية.
  • كوننا أكثر الأوقات ازدحامًا في العام يعني أن الموظفين، وخاصة فرق تكنولوجيا المعلومات الممتدة، يركزون بشكل أكبر على دعم الأعمال لتحقيق أكبر قدر ممكن من الإيرادات بدلاً من البحث عن التهديدات السيبرانية. وقد يقومون أيضًا بتعديل مرشحات الاحتيال الداخلية للسماح بالموافقة على عمليات الشراء الكبيرة دون تدقيق.
  • يعتمد تجار التجزئة بشكل متزايد على الأنظمة الرقمية لبناء تجارب تجارية متعددة القنوات، بما في ذلك برامج الأعمال المستندة إلى السحابة وأجهزة إنترنت الأشياء داخل المتجر وتطبيقات الهاتف المحمول التي تواجه العملاء. ومن خلال القيام بذلك، فإنهم (في كثير من الأحيان عن غير قصد) يقومون بتوسيع سطح الهجوم المحتمل.

دعونا لا ننسى أن واحدا من أكبر خروقات البيانات المسجلة في العالم تم الإعلان عنه خلال موسم العطلات في عام 2013، عندما سرق المتسللون 110 مليون سجل عميل من شركة التجزئة الأمريكية Target.

ما هي أكبر التهديدات الإلكترونية التي يتعرض لها تجار التجزئة في موسم العطلات هذا؟

لا يتعين على تجار التجزئة فقط الدفاع عن منتج أكبر سطح الهجوميجب عليهم أيضًا التعامل مع مجموعة كبيرة ومتنوعة من التكتيكات والتقنيات والإجراءات (TTPs) من مجموعة محددة من الخصوم. أهداف المهاجمين إما أن سرقة بيانات العملاء والموظفينأو ابتزاز/تعطيل أعمالك من خلال DDoS، أو ارتكاب الاحتيال، أو استخدام الروبوتات للحصول على ميزة تنافسية. فيما يلي بعض التهديدات الإلكترونية الرئيسية للبيع بالتجزئة:

  • خروقات البيانات يمكن أن تنبع من بيانات اعتماد الموظفين المسروقة/المخترقة/المخادعة أو استغلال الثغرات الأمنية، خاصة في تطبيقات الويب. والنتيجة هي أضرار مالية كبيرة وأضرار في السمعة قد تؤدي إلى عرقلة خطط النمو والإيرادات.
  • القشط الرقمي (على سبيل المثال، هجمات Magecart) تحدث عندما تستغل الجهات الفاعلة في التهديد نقاط الضعف لإدراج تعليمات برمجية للقشط مباشرة على صفحات الدفع الخاصة بك أو عبر مورد/أداة برامج تابعة لجهة خارجية. غالبًا ما يكون من الصعب اكتشاف مثل هذه الهجمات، مما يعني أنها قد تلحق ضررًا لا يحصى بالسمعة. وقد شكلت هذه الانتهاكات 18% من خروقات بيانات التجزئة في العام الماضي، وفقًا لـ فيريزون.  
  • الفدية يعد أحد أكبر التهديدات التي تواجه تجار التجزئة، وخلال هذا الموسم المزدحم، قد تقوم الجهات الفاعلة في مجال التهديد بتكثيف هجماتها على أمل أن تكون المزيد من الشركات مستعدة للدفع مقابل استعادة بياناتها وفك تشفيرها. الشركات الصغيرة والمتوسطة على وجه الخصوص هي في مرمى النيران، لأن ضوابط الأمان الخاصة بهم قد تكون أقل فعالية.
  • دوس تظل وسيلة شائعة لابتزاز و/أو تعطيل تجار التجزئة. العام الماضي، وكان القطاع في الطرف المتلقي ما يقرب من خمس (17%) هذه الهجمات – وهو ارتفاع بنسبة 53% على أساس سنوي، مع رصد الذروة خلال يوم الجمعة الأسود.
  • هجمات سلسلة التوريد قد يكون تستهدف المورد الرقمي مثل شركة برمجيات أو حتى مستودع مفتوح المصدر. أو قد تستهدف المزيد من الشركات التقليدية في مجال الخدمات المهنية أو حتى خدمات التنظيف. خرق الهدف أصبح ممكنا عندما سرق المتسللون بيانات اعتماد الشبكة من مورد HVAC.
  • عمليات الاستيلاء على الحساب (ATOs) يتم تمكينها عادةً بواسطة بيانات الاعتماد المسروقة أو المخادعة أو المتصدعة. قد تكون هذه بداية لمحاولة كبرى لاختراق البيانات، أو يمكن أن تستهدف العملاء، في حشو بيانات الاعتماد أو غيرها من حملات القوة الغاشمة. عادةً ما يتم استخدام الروبوتات الضارة هنا.
  • هجمات الروبوت السيئة الأخرى تشمل المضاربة (حيث يشتري المنافسون السلع المطلوبة لإعادة بيعها بسعر أعلى)، والاحتيال على بطاقات الدفع/الهدايا، وتجريف الأسعار (تمكين المنافسين من خفض أسعارك). تشتمل الروبوتات الضارة على حول 30٪ من كل حركة المرور على الإنترنت اليوم، مع ثلثي المواقع في المملكة المتحدة غير قادر على منع حتى الهجمات البسيطة. هناك وكانت الزيادة المقدرة بنسبة 50٪ في حركة مرور الروبوتات السيئة في موسم العطلات لعام 2022.
  • واجهات برمجة التطبيقات (واجهة برمجة التطبيقات) هي جوهر التحول الرقمي للبيع بالتجزئة، مما يتيح تجارب عملاء أكثر اتصالاً وسلاسة. لكن نقاط الضعف والتكوينات الخاطئة يمكن أن توفر أيضًا حلاً طريق سهل للمتسللين للوصول إلى بيانات العملاء.

كيف يمكن لتجار التجزئة الدفاع عن أنفسهم ضد المخاطر السيبرانية

واستجابة لذلك، يحتاج تجار التجزئة إلى الموازنة بين الأمان وإنتاجية الموظفين ونمو الأعمال. وهذا ليس حسابًا سهلاً دائمًا، خاصة وأن ارتفاع تكاليف المعيشة يضع ضغوطًا متزايدة على الباحثين عن الربح. ولكن يمكن القيام به. فيما يلي 10 أفضل الممارسات التي يجب مراعاتها:

  • التدريب المنتظم للموظفين: وهذا ينبغي أن يذهب دون أن يقول. تأكد من الخاص بك ويمكن للموظفين اكتشاف هجمات التصيد الاحتيالي المعقدة وسيكون لديك خط دفاع أخير مفيد في مكانه.
  • تدقيق البيانات: افهم ما لديك وأين يتم تخزينه وأين يتدفق وكيفية حمايته. يجب أن يتم ذلك على أي حال كجزء من الامتثال للقانون العام لحماية البيانات (GDPR).
  • تشفير قوي للبيانات: بمجرد اكتشاف بياناتك وتصنيفها، قم بتطبيق تشفير قوي على المعلومات الأكثر حساسية. ويجب أن يتم ذلك بشكل مستمر.
  • إدارة التصحيح على أساس المخاطر: لا يمكن التقليل من أهمية تصحيح البرامج. لكن العدد الهائل من نقاط الضعف الجديدة المنشورة كل عام يمكن أن يكون هائلاً. يجب أن تساعد الأنظمة الآلية القائمة على المخاطر في تبسيط العملية وتحديد أولويات الأنظمة ونقاط الضعف الأكثر أهمية.
  • أمان وقائي متعدد الطبقات: فكر في مكافحة البرامج الضارة والإمكانيات الأخرى في الخادم ونقطة النهاية وشبكة البريد الإلكتروني والطبقة السحابية، كحاجز وقائي أمام التهديدات السيبرانية.
  • إكس دي آر: بالنسبة للتهديدات التي تمكنت من التحايل على الضوابط الوقائية، تأكد من وجود كشف واستجابة قوية موسعة (XDR) تعمل عبر طبقات متعددة، بما في ذلك دعم البحث عن التهديدات والاستجابة للحوادث.
  • أمن سلسلة التوريد: قم بتدقيق جميع الموردين، بما في ذلك الشركاء الرقميين وبائعي البرامج، للتأكد من أن وضعهم الأمني ​​يتماشى مع رغبتك في المخاطرة.
  • ضوابط الوصول القوية: يعد مديرو كلمات المرور الخاصة بكلمات المرور القوية والفريدة والمصادقة متعددة العوامل أمرًا ضروريًا لجميع الحسابات الحساسة. إلى جانب XDR، يشكل التشفير وفصل الشبكة والضوابط الوقائية أساسًا لـ نهج أمان الثقة المعدومة.
  • التعافي من الكوارث / تخطيط استمرارية الأعمال: ستساعد مراجعة الخطط على ضمان وجود العمليات التجارية الصحيحة والأدوات التكنولوجية.
  • تخطيط الاستجابة للحوادث: تأكد من أن خططك محكمة ومختبرة بانتظام، حتى يعرف كل صاحب مصلحة ما يجب فعله في أسوأ السيناريوهات ولا يضيع أي وقت في الاستجابة للتهديد واحتوائه.

بالنسبة للغالبية العظمى من تجار التجزئة، إن لم يكن جميعهم، سيكون الامتثال لـ PCI DSS أيضًا متطلبًا أساسيًا للأعمال. اعتبر هذه فرصة وليس عبئا. ستساعدك متطلباتها التفصيلية على بناء وضع أمني أكثر نضجًا وتقليل التعرض للمخاطر. يمكن أن تساعد تقنيات مثل التشفير القوي أيضًا في تقليل التكلفة والعبء الإداري للامتثال. اجازة سعيدة.

الطابع الزمني:

اكثر من نحن نعيش الأمن