As the holidays creep around the corner, consumers and retailers aren’t the only ones gearing up for the season. Cybercriminals are right on their tail. It’s no secret that major consumer holidays — from Amazon Prime Day to the end-of-year holiday sprint — carry big targets for threat actors. Projections for this year’s Black Friday shows online spending reaching 13 milliárd $.
That’s a lucrative opportunity for bad actors.
Idén a kiskereskedők már az inflációval, a közelgő recesszióval és a fenyegető adatvédelmi jogszabályokkal néznek szembe. Egyszerűen nem engedhetik meg maguknak a 4.35 millió $ megszeg.
Korlátozott biztonságú Ho-Ho-Ho idén?
A kiskereskedőknek szem előtt kell tartaniuk a biztonsági testtartásukat. Ez hatékony felderítést és reagálást jelent; sebezhetőségek felkutatása előtt a kiskereskedelmi cserebefagyások az év ezen időszakát jelzik; harmadik fél kockázatainak kezelése; és annak biztosítása, hogy az alkalmazottak megkapják a szükséges képzést.
A leggyengébb láncszem megtalálása az őrült rohanás előtt
It’s common for retailers to implement hard change freezes one to two months before the holiday rush through the second or third week of January. This prevents any major system changes (which affect consumer experiences) from being implemented during the busiest and most-important sales days of the year.
A kemény változtatások lefagyását megelőző hetekben a fejlesztők gyakran próbálnak még egy utolsó változtatást bevinni a kódba vagy az infrastruktúrába. Ez a határidő előtti rohanás időnként hibákat is tartalmazhat, így a kijavítatlan és teszteletlen rendszereket sebezhetővé teszi a támadásokkal szemben. A kiberbűnözők túlságosan is jól ismerik ezeket a keményen változó fagyos évszakokat, és gyakran erre az időszakra időzítik támadásaikat.
A statikus és dinamikus alkalmazásbiztonsági tesztek (SAST és DAST) futtatása a szokásos alkalmazástesztelő programok részeként a legjobb módja a biztonsági rések azonosításának az éves kód lefagyása előtt. Ez a két teszt különböző oldalról vizsgálja az alkalmazásokat. A SAST az olyan szoftverhibákra összpontosít, mint az SQL injekció, míg a DAST olyan gyengeségeket talál, amelyeket a rossz szereplők kihasználhatnak.
A kereskedőknek a tesztelést a kritikus és nagy forgalmú alkalmazásokra kell összpontosítaniuk, mint például a fizetési átjárók, beviteli mezők és még az alapvető webes kódok.
Tartsa szemmel a külső szállítókat
Korábban ebben az évben, Az autógyártó Toyota leállította a gyártását after a plastic and electronics supplier was hit with a cyberattack. The suspended production cost the company roughly 13,000 cars. While the loss of production might seem costly, it’s a small price to pay compared with an actual breach.
Ez azt mutatja harmadik fél kockázatkezelése (TPRM) sok szervezet számára továbbra is alulszolgált biztonsági terület, és a kereskedőknek továbbra is előnyben kell részesíteniük a TPRM-et, és tanulniuk kell az esettanulmányból.
A TPRM és a szállítói kockázatkezelési kérdőívek segítenek felmérni a partnerszervezetek biztonsági helyzetét. Sok vállalati szintű felmérés legfeljebb 1,000 kérdést tartalmaz, de az elsődleges területek, amelyekkel foglalkozni kell, a következők: információbiztonság, adatközpontok biztonsága, webalkalmazások biztonsága, infrastruktúra védelme, valamint biztonsági ellenőrzések és technológia.
While retailers regularly run tests on their own code, which includes third-party integrations, it doesn’t extend beyond the boundaries of their own networks. Retailers should megkövetelik a szállítóiktól, hogy futtassák le a teljes kódbehatolási tesztet kétévente és éjszakai teszteléssel, amikor partnereik frissítik vagy módosítják a kódokat.
Biztonsági képzések fenntartása a tehetség forgóajtója ellenére
A képzés kétségtelenül a legnehezebb része a kiskereskedőknek. A Nagy lemondás has forced companies to re-evaluate their training and onboarding processes, with cybersecurity being a small component of it. However, 82% of breaches analyzed by Verizon’s “Data Breach Investigations Report” emberi elemet tartalmazott. Ez minden eddiginél fontosabbá teszi az alkalmazottak képzését.
Established retailers likely have some sort of cybersecurity awareness program in place. But they can (and should) expand upon that. When cybersecurity teams identify gaps from penetration testing, they can share those findings with employees and explain how those vulnerabilities can be manipulated. This level of transparency helps employees understand their role in protecting the enterprise and consumers’ data.
Legfontosabb jelszóbiztonság
És végül, de nem utolsósorban az alkalmazotti programban: jelszavak. A jelszóbiztonság továbbra is alapvető probléma amelyek kulcsfontosságú szerepet játszanak a napjainkban előforduló elképesztő mennyiségű adatszivárgásban. Az ellopott hitelesítő adatok az egyik legegyszerűbb módja annak, hogy a fenyegetés szereplői hozzáférjenek az információkhoz. Kompromittált hitelesítő adatok az oka Az adatsértések 19% -a (PDF). A szomorú rész az A fogyasztók 45% -a don’t view password sharing as a serious issue. Retailers should reinforce the priority of good password hygiene, but just as important, they should be implementing multifactor authentication (MFA) everywhere and anywhere that it is possible.
Many retailers have already started holiday sales to get ahead of inflation and staffing concerns. But they mustn’t forget about their security posture in this rush to the year’s end. Organizations must make cybersecurity a priority as important as driving sales by incorporating SAST and DAST in their app testing; monitoring and managing third-party risks; and securing credentials through training and proper authentication using MFA.
