Mens ferien sniger sig rundt om hjørnet, er forbrugere og forhandlere ikke de eneste, der forbereder sig på sæsonen. Cyberkriminelle er lige på halen. Det er ingen hemmelighed, at store forbrugerferier - fra Amazon Prime Day til slutningen af året feriesprint - har store mål for trusselsaktører. Fremskrivninger for dette års Black Friday viser, at onlineforbruget når ud $ 13 milliarder.
Det er en lukrativ mulighed for dårlige skuespillere.
I år står detailhandlere allerede over for inflation, en forestående recession og truende lovgivning om databeskyttelse. De har simpelthen ikke råd til en $ 4.35 millioner brud.
Begrænset sikkerhed Ho-Ho-Ho i år?
Forhandlere skal holde deres sikkerhedsposition øverst i sindet. Det betyder implementering af effektiv detektion og respons; at finde sårbarheder før fastfrysningen af detailændringer, der markerer denne tid af året; styring af tredjepartsrisici; og sørge for, at medarbejderne får den uddannelse, de har brug for.
At finde det svageste led før det gale hastværk
Det er almindeligt, at detailhandlere implementerer hårde ændringsfrysninger en til to måneder før ferierushet gennem anden eller tredje uge af januar. Dette forhindrer større systemændringer (som påvirker forbrugernes oplevelser) i at blive implementeret i løbet af årets travleste og vigtigste salgsdage.
I ugerne op til den hårde ændringsfrysning forsøger udviklere ofte at presse en sidste ændring af kode eller infrastruktur ind. Denne rush før deadline kan nogle gange omfatte fejl, hvilket efterlader upatchede og utestede systemer sårbare over for angreb. Cyberkriminelle er alt for fortrolige med disse hårde ændringsfrysningssæsoner og tager ofte tid på deres angreb i løbet af dette vindue.
At køre statiske og dynamiske applikationssikkerhedstests (SAST og DAST) som en del af almindelige app-testprogrammer er de bedste måder at identificere sårbarheder på, før den årlige kode fryser. Disse to tests undersøger ansøgninger fra forskellige sider. SAST fokuserer på softwarefejl såsom SQL-injektion, mens DAST finder svagheder, som dårlige aktører kan udnytte.
Detailhandlere bør fokusere test på kritiske og meget trafikerede applikationer såsom betalingsgateways, inputfelter og endda kernewebkoder.
Hold øje med tredjepartsleverandører
Tidligere i år, bilproducenten Toyota stoppede sin produktion efter at en plastik- og elektronikleverandør blev ramt af et cyberangreb. Den indstillede produktion kostede virksomheden omkring 13,000 biler. Selvom produktionstabet kan virke dyrt, er det en lille pris at betale sammenlignet med et faktisk brud.
Dette viser det tredjeparts risikostyring (TPRM) er fortsat et undertjent område inden for sikkerhed for mange organisationer, og forhandlere skal stadig prioritere TPRM og lære af casestudiet.
TPRM og risikostyringsspørgeskemaer til leverandører hjælper med at vurdere sikkerhedspositionen i partnerorganisationer. Mange undersøgelser på virksomhedsniveau har op til 1,000 spørgsmål, men de primære områder, der bør behandles, er: informationssikkerhed, datacentersikkerhed, webapplikationssikkerhed, infrastrukturbeskyttelse og sikkerhedskontrol og -teknologi.
Mens detailhandlere regelmæssigt kører test på deres egen kode, som inkluderer tredjeparts integrationer, strækker det sig ikke ud over grænserne for deres egne netværk. Detailhandlere bør kræve, at deres leverandører kører fuld kodepenetrationstest på halvårlig basis og natlig test, når deres partnere opdaterer eller ændrer koder.
Vedligeholdelse af sikkerhedstræninger på trods af talentets svingdør
Træning er uden tvivl den sværeste del for detailhandlere. Det Stor resignation har tvunget virksomheder til at revurdere deres trænings- og onboardingprocesser, hvor cybersikkerhed er en lille del af det. Men 82% af overtrædelserne analyseret af Verizons "Rapport om databrudsundersøgelser" involverede et menneskeligt element. Dette gør medarbejderuddannelse vigtigere end nogensinde.
Etablerede detailhandlere har sandsynligvis en form for cybersikkerhedsbevidsthedsprogram på plads. Men de kan (og bør) udvide det. Når cybersikkerhedsteams identificerer huller fra penetrationstest, kan de dele disse resultater med medarbejdere og forklare, hvordan disse sårbarheder kan manipuleres. Dette niveau af gennemsigtighed hjælper medarbejderne til at forstå deres rolle i at beskytte virksomheden og forbrugernes data.
Adgangskodesikkerhed Paramount
Og sidst, men bestemt ikke mindst, i medarbejderprogrammet: adgangskoder. Adgangskodesikkerhed er stadig et kerneproblem fører til eller spiller en nøglefaktor i en svimlende mængde af databrud, der forekommer i dag. Stjålne legitimationsoplysninger er en af de nemmeste måder for trusselsaktører at få adgang til information. Kompromitterede legitimationsoplysninger er årsagen til 19% af dataovertrædelser (PDF). Den triste del er 45% af forbrugerne se ikke deling af adgangskode som et alvorligt problem. Detailhandlere bør styrke prioriteringen af god adgangskodehygiejne, men lige så vigtigt bør de implementere multifaktorautentificering (MFA) overalt og hvor som helst, det er muligt.
Mange detailhandlere har allerede startet feriesalg for at komme på forkant med inflation og personaleproblemer. Men de må ikke glemme deres sikkerhedsstilling i dette hastværk til årets slutning. Organisationer skal gøre cybersikkerhed til en prioritet lige så vigtig som at drive salg ved at inkorporere SAST og DAST i deres app-testning; overvågning og styring af tredjepartsrisici; og sikring af legitimationsoplysninger gennem træning og korrekt autentificering ved hjælp af MFA.
