वर्ष के सबसे अद्भुत समय के दौरान खुदरा विक्रेता कैसे सुरक्षित रह सकते हैं प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

वर्ष के सबसे अद्भुत समय के दौरान खुदरा विक्रेता कैसे सुरक्षित रह सकते हैं

समय टिकट: 1 नवंबर, 2022 1:00 बजे

जैसे-जैसे छुट्टियाँ नजदीक आ रही हैं, केवल उपभोक्ता और खुदरा विक्रेता ही सीजन की तैयारी में नहीं हैं। साइबर अपराधी बिल्कुल अपनी पकड़ में हैं। यह कोई रहस्य नहीं है कि प्रमुख उपभोक्ता छुट्टियां - अमेज़ॅन प्राइम डे से लेकर साल के अंत की छुट्टियों तक - खतरे वाले अभिनेताओं के लिए बड़े लक्ष्य लेकर आती हैं। इस साल के ब्लैक फ्राइडे के अनुमान से पता चलता है कि ऑनलाइन खर्च पहुंच रहा है 13 $ अरब.

बुरे अभिनेताओं के लिए यह एक आकर्षक अवसर है।

इस साल, खुदरा विक्रेता पहले से ही मुद्रास्फीति, आसन्न मंदी और आसन्न डेटा गोपनीयता कानून का सामना कर रहे हैं। वे इसे वहन नहीं कर सकते 4.35 $ मिलियन भंग।

इस वर्ष सीमित सुरक्षा हो-हो-हो?

खुदरा विक्रेताओं को अपनी सुरक्षा स्थिति को सबसे ऊपर रखना चाहिए। इसका मतलब है प्रभावी पहचान और प्रतिक्रिया लागू करना; कमजोरियाँ ढूँढना से पहले वर्ष के इस समय में खुदरा परिवर्तन रुक जाता है; तीसरे पक्ष के जोखिमों का प्रबंधन; और यह सुनिश्चित करना कि कर्मचारियों को वह प्रशिक्षण मिले जिसकी उन्हें आवश्यकता है।

मैड रश से पहले सबसे कमजोर कड़ी ढूँढना

खुदरा विक्रेताओं के लिए छुट्टियों की भीड़ से एक से दो महीने पहले जनवरी के दूसरे या तीसरे सप्ताह तक कठोर परिवर्तन रोक लागू करना आम बात है। यह वर्ष के सबसे व्यस्त और सबसे महत्वपूर्ण बिक्री दिनों के दौरान किसी भी बड़े सिस्टम परिवर्तन (जो उपभोक्ता अनुभवों को प्रभावित करता है) को लागू होने से रोकता है।

कठिन बदलावों पर रोक लगने से पहले के हफ्तों में, डेवलपर्स अक्सर कोड या बुनियादी ढांचे में एक आखिरी बदलाव लाने की कोशिश कर रहे होते हैं। समय सीमा से पहले की इस हड़बड़ी में कभी-कभी त्रुटियां शामिल हो सकती हैं, जिससे अप्रकाशित और अप्रयुक्त सिस्टम हमलों के प्रति संवेदनशील हो जाते हैं। साइबर अपराधी इन कठिन परिवर्तन वाले फ़्रीज़ सीज़न से बहुत परिचित हैं, और अक्सर इस विंडो के दौरान अपने हमलों का समय निर्धारित करते हैं।

नियमित ऐप-परीक्षण कार्यक्रमों के हिस्से के रूप में स्थिर और गतिशील एप्लिकेशन सुरक्षा परीक्षण (एसएएसटी और डीएएसटी) चलाना वार्षिक कोड फ़्रीज़ होने से पहले कमजोरियों की पहचान करने का सबसे अच्छा तरीका है। ये दोनों परीक्षण विभिन्न पक्षों से अनुप्रयोगों की जांच करते हैं। SAST SQL इंजेक्शन जैसी सॉफ्टवेयर खामियों पर ध्यान केंद्रित करता है, जबकि DAST उन कमजोरियों का पता लगाता है जिनका फायदा बुरे अभिनेता उठा सकते हैं।

खुदरा विक्रेताओं को भुगतान गेटवे, इनपुट फ़ील्ड और यहां तक ​​कि कोर वेब कोड जैसे महत्वपूर्ण और उच्च-ट्रैफ़िक अनुप्रयोगों पर परीक्षण पर ध्यान केंद्रित करना चाहिए।

तृतीय-पक्ष विक्रेताओं पर नज़र रखना

इस साल के शुरू, ऑटो निर्माता टोयोटा ने अपना उत्पादन रोक दिया एक प्लास्टिक और इलेक्ट्रॉनिक्स आपूर्तिकर्ता पर साइबर हमले के बाद। निलंबित उत्पादन से कंपनी को लगभग 13,000 कारों का नुकसान हुआ। हालांकि उत्पादन का नुकसान महंगा लग सकता है, वास्तविक उल्लंघन की तुलना में यह एक छोटी सी कीमत है।

यह दर्शाता है कि तीसरे पक्ष के जोखिम प्रबंधन (टीपीआरएम) कई संगठनों के लिए सुरक्षा में एक वंचित क्षेत्र बना हुआ है और खुदरा विक्रेताओं को अभी भी टीपीआरएम को प्राथमिकता देनी चाहिए और केस स्टडी से सीखना चाहिए।

टीपीआरएम और विक्रेता जोखिम प्रबंधन प्रश्नावली भागीदार संगठनों की सुरक्षा स्थिति का आकलन करने में मदद करते हैं। कई उद्यम-स्तरीय सर्वेक्षणों में 1,000 प्रश्न होते हैं, लेकिन जिन प्राथमिक क्षेत्रों पर ध्यान दिया जाना चाहिए वे हैं: सूचना सुरक्षा, डेटा सेंटर सुरक्षा, वेब एप्लिकेशन सुरक्षा, बुनियादी ढांचे की सुरक्षा, और सुरक्षा नियंत्रण और प्रौद्योगिकी।

जबकि खुदरा विक्रेता नियमित रूप से अपने स्वयं के कोड पर परीक्षण चलाते हैं, जिसमें तृतीय-पक्ष एकीकरण शामिल होता है, यह उनके अपने नेटवर्क की सीमाओं से आगे नहीं बढ़ता है। खुदरा विक्रेताओं को चाहिए अपने विक्रेताओं से पूर्ण कोड-प्रवेश परीक्षण चलाने की अपेक्षा करें द्विवार्षिक आधार पर और रात्रिकालीन परीक्षण जब उनके साझेदार कोड अपडेट या बदलते हैं।

प्रतिभा के घूमने के दरवाजे के बावजूद सुरक्षा प्रशिक्षण बनाए रखना

खुदरा विक्रेताओं के लिए प्रशिक्षण निस्संदेह सबसे कठिन हिस्सा है। महान इस्तीफा ने कंपनियों को अपने प्रशिक्षण और ऑनबोर्डिंग प्रक्रियाओं का पुनर्मूल्यांकन करने के लिए मजबूर किया है, जिसमें साइबर सुरक्षा इसका एक छोटा घटक है। हालाँकि, 82% उल्लंघनों का विश्लेषण वेरिज़ॉन के "डेटा उल्लंघन जांच रिपोर्ट” एक मानवीय तत्व शामिल है। यह कर्मचारी प्रशिक्षण को पहले से कहीं अधिक महत्वपूर्ण बनाता है।

स्थापित खुदरा विक्रेताओं के पास किसी प्रकार का साइबर सुरक्षा जागरूकता कार्यक्रम होने की संभावना है। लेकिन वे उस पर विस्तार कर सकते हैं (और करना भी चाहिए)। जब साइबर सुरक्षा टीमें प्रवेश परीक्षण से अंतराल की पहचान करती हैं, तो वे उन निष्कर्षों को कर्मचारियों के साथ साझा कर सकते हैं और बता सकते हैं कि उन कमजोरियों से कैसे छेड़छाड़ की जा सकती है। पारदर्शिता का यह स्तर कर्मचारियों को उद्यम और उपभोक्ताओं के डेटा की सुरक्षा में उनकी भूमिका को समझने में मदद करता है।

पासवर्ड सुरक्षा सर्वोपरि

और अंतिम, लेकिन निश्चित रूप से कम से कम, कर्मचारी कार्यक्रम में: पासवर्ड। पासवर्ड सुरक्षा अभी भी एक मुख्य समस्या है आज होने वाली चौंका देने वाली मात्रा में डेटा उल्लंघनों में एक प्रमुख कारक की भूमिका निभा रहा है। चोरी किए गए क्रेडेंशियल धमकी देने वाले अभिनेताओं के लिए जानकारी तक पहुंच हासिल करने के सबसे आसान तरीकों में से एक हैं। समझौताशुदा साख इसका कारण है 19% डेटा ब्रीच (पीडीएफ). दुखद बात यह है उपभोक्ताओं के 45% पासवर्ड साझाकरण को एक गंभीर समस्या के रूप में न देखें। खुदरा विक्रेताओं को अच्छी पासवर्ड स्वच्छता की प्राथमिकता को सुदृढ़ करना चाहिए, लेकिन उतना ही महत्वपूर्ण, उन्हें हर जगह और हर जगह मल्टीफैक्टर प्रमाणीकरण (एमएफए) लागू करना चाहिए जहां यह संभव है।

कई खुदरा विक्रेताओं ने मुद्रास्फीति और कर्मचारियों की चिंताओं से निपटने के लिए पहले से ही छुट्टियों की बिक्री शुरू कर दी है। लेकिन साल के अंत की इस भागदौड़ में उन्हें अपनी सुरक्षा मुद्रा के बारे में नहीं भूलना चाहिए। संगठनों को अपने ऐप परीक्षण में SAST और DAST को शामिल करके बिक्री बढ़ाने के समान ही साइबर सुरक्षा को भी प्राथमिकता देनी चाहिए; तीसरे पक्ष के जोखिमों की निगरानी और प्रबंधन; और एमएफए का उपयोग करके प्रशिक्षण और उचित प्रमाणीकरण के माध्यम से साख सुरक्षित करना।

समय टिकट:

से अधिक डार्क रीडिंग