Az ünnepek közeledtével nem csak a fogyasztók és a kiskereskedők készülnek a szezonra. A kiberbűnözők a farkukon vannak. Nem titok, hogy a nagy fogyasztói ünnepek – az Amazon Prime Day-től az év végi ünnepi sprintig – nagy célpontokat hordoznak a fenyegetés szereplői számára. Az idei fekete péntekre vonatkozó előrejelzések azt mutatják, hogy az online kiadások meg fognak haladni 13 milliárd $.
Ez egy jövedelmező lehetőség a rossz színészek számára.
Idén a kiskereskedők már az inflációval, a közelgő recesszióval és a fenyegető adatvédelmi jogszabályokkal néznek szembe. Egyszerűen nem engedhetik meg maguknak a 4.35 millió $ megszeg.
Korlátozott biztonságú Ho-Ho-Ho idén?
A kiskereskedőknek szem előtt kell tartaniuk a biztonsági testtartásukat. Ez hatékony felderítést és reagálást jelent; sebezhetőségek felkutatása előtt a kiskereskedelmi cserebefagyások az év ezen időszakát jelzik; harmadik fél kockázatainak kezelése; és annak biztosítása, hogy az alkalmazottak megkapják a szükséges képzést.
A leggyengébb láncszem megtalálása az őrült rohanás előtt
Gyakori, hogy a kereskedők egy-két hónappal az ünnepi rohanás előtt, január második vagy harmadik hetében kemény változtatási leállításokat vezetnek be. Ezzel elkerülhető, hogy az év legforgalmasabb és legfontosabb értékesítési napjain jelentős (a fogyasztói élményeket befolyásoló) rendszerváltozásokat hajtsák végre.
A kemény változtatások lefagyását megelőző hetekben a fejlesztők gyakran próbálnak még egy utolsó változtatást bevinni a kódba vagy az infrastruktúrába. Ez a határidő előtti rohanás időnként hibákat is tartalmazhat, így a kijavítatlan és teszteletlen rendszereket sebezhetővé teszi a támadásokkal szemben. A kiberbűnözők túlságosan is jól ismerik ezeket a keményen változó fagyos évszakokat, és gyakran erre az időszakra időzítik támadásaikat.
A statikus és dinamikus alkalmazásbiztonsági tesztek (SAST és DAST) futtatása a szokásos alkalmazástesztelő programok részeként a legjobb módja a biztonsági rések azonosításának az éves kód lefagyása előtt. Ez a két teszt különböző oldalról vizsgálja az alkalmazásokat. A SAST az olyan szoftverhibákra összpontosít, mint az SQL injekció, míg a DAST olyan gyengeségeket talál, amelyeket a rossz szereplők kihasználhatnak.
A kereskedőknek a tesztelést a kritikus és nagy forgalmú alkalmazásokra kell összpontosítaniuk, mint például a fizetési átjárók, beviteli mezők és még az alapvető webes kódok.
Tartsa szemmel a külső szállítókat
Korábban ebben az évben, Az autógyártó Toyota leállította a gyártását miután egy műanyag- és elektronikai beszállítót kibertámadás érte. A felfüggesztett gyártás nagyjából 13,000 XNUMX autójába került a cégnek. Noha a termeléskiesés költségesnek tűnhet, ez csekély árat jelent a tényleges jogsértéshez képest.
Ez azt mutatja harmadik fél kockázatkezelése (TPRM) sok szervezet számára továbbra is alulszolgált biztonsági terület, és a kereskedőknek továbbra is előnyben kell részesíteniük a TPRM-et, és tanulniuk kell az esettanulmányból.
A TPRM és a szállítói kockázatkezelési kérdőívek segítenek felmérni a partnerszervezetek biztonsági helyzetét. Sok vállalati szintű felmérés legfeljebb 1,000 kérdést tartalmaz, de az elsődleges területek, amelyekkel foglalkozni kell, a következők: információbiztonság, adatközpontok biztonsága, webalkalmazások biztonsága, infrastruktúra védelme, valamint biztonsági ellenőrzések és technológia.
Míg a kereskedők rendszeresen futtatnak teszteket saját kódjukon, amely harmadik féltől származó integrációkat is tartalmaz, ez nem terjed túl saját hálózatuk határain. A kiskereskedőknek kellene megkövetelik a szállítóiktól, hogy futtassák le a teljes kódbehatolási tesztet kétévente és éjszakai teszteléssel, amikor partnereik frissítik vagy módosítják a kódokat.
Biztonsági képzések fenntartása a tehetség forgóajtója ellenére
A képzés kétségtelenül a legnehezebb része a kiskereskedőknek. A Nagy lemondás arra kényszerítette a vállalatokat, hogy újraértékeljék képzési és beépítési folyamataikat, és a kiberbiztonság ennek egy kis részét képezi. A Verizon által elemzett jogsértések 82%-a „Adatvédelmi incidens vizsgálati jelentés” emberi elemet tartalmazott. Ez minden eddiginél fontosabbá teszi az alkalmazottak képzését.
A bevett kiskereskedők valószínűleg rendelkeznek valamilyen kiberbiztonsági tudatosító programmal. De ezt kibővíthetik (és kell is). Amikor a kiberbiztonsági csapatok hiányosságokat azonosítanak a penetrációs tesztelés során, megoszthatják ezeket az eredményeket az alkalmazottakkal, és elmagyarázhatják, hogyan lehet ezeket a sebezhetőségeket manipulálni. Az átláthatóság ezen szintje segít az alkalmazottaknak megérteni a vállalat és a fogyasztók adatainak védelmében játszott szerepüket.
Legfontosabb jelszóbiztonság
És végül, de nem utolsósorban az alkalmazotti programban: jelszavak. A jelszóbiztonság továbbra is alapvető probléma amelyek kulcsfontosságú szerepet játszanak a napjainkban előforduló elképesztő mennyiségű adatszivárgásban. Az ellopott hitelesítő adatok az egyik legegyszerűbb módja annak, hogy a fenyegetés szereplői hozzáférjenek az információkhoz. Kompromittált hitelesítő adatok az oka Az adatsértések 19% -a (PDF). A szomorú rész az A fogyasztók 45% -a ne tekintse komoly problémának a jelszómegosztást. A kereskedőknek erősíteniük kell a jó jelszóhigiéniát, de ugyanilyen fontos az is, hogy mindenhol és mindenhol alkalmazzák a többtényezős hitelesítést (MFA), ahol csak lehetséges.
Sok kiskereskedő már megkezdte az ünnepi értékesítést, hogy megelőzze az inflációt és a személyzeti aggályokat. De nem szabad megfeledkezniük biztonsági tartásukról ebben az év végi rohanásban. A szervezeteknek a kiberbiztonságot ugyanolyan fontos prioritásként kell kezelniük, mint az eladások ösztönzését azáltal, hogy a SAST és a DAST alkalmazást tesztelik; harmadik fél kockázatainak figyelése és kezelése; valamint a hitelesítő adatok biztosítása képzéssel és megfelelő hitelesítéssel az MFA segítségével.
