ビジネスセキュリティ
セキュリティ ポリシーに大規模な変更を導入するには遅すぎるかもしれませんが、最大の脅威がどこにあるのか、どのベスト プラクティスがそれらを無力化するのに役立つのかを改めて検討してみるのは悪いことではありません。
28月2023日 • , 6分。 読んだ
年末商戦が本格的に始まった。 小売業者は、 売上高は推定1.5兆XNUMX億ドル 今年(これは米国に限った話ですが)、サイバーセキュリティに十分な注意が払われず、彼らの努力が無駄になる可能性があります。
なぜ? なぜなら、今は小売業の IT チームにとって最高の時でもあり、最悪の時でもあるからです。 お客様にとって一年で最も忙しい時期でもあります サイバー犯罪者を引き寄せる磁石。 また、セキュリティ ポリシーに大規模な変更を導入するにはこの段階では遅すぎるかもしれませんが、最大の脅威がどこにあるのか、どのベスト プラクティスがそれらを無力化するのに役立つのかを改めて検討することは害にはなりません。
なぜ小売りをするのか、なぜ今なのか?
小売業者は長い間、サイバー犯罪者から特別な扱いを受けてきました。 そして、一年で最も買い物が忙しい時期は、長い間、ストライキを行う絶好の機会とされてきました。 しかし、なぜ?
- 小売業者は、顧客に関する収益性の高い個人情報および財務情報を保持しています。 カードの詳細をすべて考えてみてください。 小売データ侵害のすべて (100%) が分析されたことは驚くべきことではありません。 ベライゾン 過去 XNUMX 年間の活動は金銭的な動機によって引き起こされていました。
- 小売業者にとって、年末商戦は収益の観点から見て一年で最も重要な時期です。 しかしこれは、サービスを拒否して金銭を脅し取ることを目的としたランサムウェアや分散型サービス拒否攻撃 (DDoS) などのサイバー脅威にさらされる可能性が高くなることを意味します。 あるいは、競合他社が DDoS 攻撃を仕掛けて、ライバルの重要な習慣や収益を奪う可能性もあります。
- 一年で最も忙しい時期ということは、従業員、特に過大なITチームがサイバー脅威に気を配ることよりも、ビジネスができるだけ多くの収益を上げられるようにサポートすることに集中していることを意味します。 内部不正フィルターを微調整して、より高額な購入を精査せずに承認できるようにすることさえあるかもしれません。
- 小売業者は、クラウドベースのビジネス ソフトウェア、店舗内の IoT デバイス、顧客向けモバイル アプリケーションなどのオムニチャネル コマース エクスペリエンスを構築するために、デジタル システムへの依存度を高めています。 そうすることで、彼らは(多くの場合無意識のうちに)潜在的な攻撃対象領域を拡大しています。
その中の一つを忘れないようにしましょう 世界史上最大のデータ侵害 が開催され、2013 年のホリデー シーズン中に発表されました。 ハッカーが米国の小売店ターゲットから110億XNUMX千万件の顧客記録を盗んだ.
このホリデーシーズンに小売業者にとって最大のサイバー脅威は何でしょうか?
小売業者は大企業を守るだけでなく、 攻撃対象また、決定された一連の敵による、ますます多様化する戦術、技術、手順 (TTP) にも対処しなければなりません。 攻撃者の目的は次のいずれかです。 顧客と従業員のデータを盗む、DDoS を通じてビジネスを恐喝/妨害したり、詐欺を行ったり、競争上の優位性を得るためにボットを使用したりします。 小売業における主なサイバー脅威の一部を以下に示します。
- データ侵害 特に Web アプリケーションでは、従業員の資格情報の盗難、クラッキング、フィッシング、または脆弱性の悪用が原因である可能性があります。 その結果、財務上および風評上に大きな損害が生じ、成長計画や収益が狂う可能性があります。
- デジタルスキミング (つまり、Magecart 攻撃) は、脅威アクターが脆弱性を悪用して、支払いページに直接、またはサードパーティのソフトウェア サプライヤー/ウィジェットを介してスキミング コードを挿入するときに発生します。 このような攻撃は発見するのが難しいことが多く、評判に計り知れない損害を与える可能性があります。 によると、これらは昨年の小売業のデータ侵害の 18% を占めていました。 ベライゾン.
- ランサムウェア は小売業者にとって最大の脅威の XNUMX つであり、この繁忙期には、より多くの企業がデータを取り戻して復号化するために料金を支払う準備ができていることを期待して、攻撃者が攻撃を強化する可能性があります。 特に中小企業が注目されていますセキュリティ管理の効果が低い可能性があるためです。
- DDoS攻撃 小売業者を恐喝したり混乱させたりするための一般的な方法として依然として人気があります。 去年、 セクターは受信側にありました これらの攻撃のほぼ 17 分の 53 (XNUMX%) は、前年比 (YoY) XNUMX% 増加し、ブラック フライデー中にピークが見られました。
- サプライチェーン攻撃 かもしれません デジタルサプライヤーをターゲットとした ソフトウェア会社やオープンソース リポジトリなど。 あるいは、専門サービスや清掃サービスなど、より伝統的なビジネスを対象としている場合もあります。 ターゲット違反 いつ可能になったのか ハッカーが HVAC サプライヤーからネットワーク資格情報を盗みました。
- アカウント乗っ取り (ATO) 通常は次によって有効になります 認証情報が盗まれた、フィッシングされた、またはクラックされた。 それは大規模なデータ侵害の試みの始まりである可能性もあれば、クレデンシャル スタッフィングやその他のブルート フォース キャンペーンで顧客を狙ったものである可能性もあります。 通常、ここでは悪意のあるボットが使用されます。
- その他の悪質なボット攻撃 これには、スキャルピング (競合他社が再販売のために需要のある商品を高値で買い取る)、支払い/ギフトカード詐欺、価格スクレイピング (競合他社が価格を引き下げることを可能にする) が含まれます。 悪意のあるボットには次のものがあります。 30%の周りに 現在のインターネット トラフィック全体のうち、英国の Web サイトの XNUMX 分の XNUMX が占める ブロックできません 単純な攻撃でも。 そこには 推定50%増加でした 2022 年のホリデー シーズンにはボット トラフィックがひどくなる可能性があります。
- API (アプリケーション プログラミング インターフェイス) は小売業のデジタル変革の中心であり、よりつながりのあるシームレスな顧客体験を可能にします。 しかし、脆弱性や設定ミスによって、次のような問題が発生する可能性もあります。 ハッカーが顧客データにアクセスする簡単なルート.
小売業者がサイバーリスクから身を守る方法
これに対応して、小売業者はセキュリティと従業員の生産性およびビジネスの成長のバランスをとる必要があります。 これは必ずしも簡単な計算ではありません。特に、高額な生活費が利益追求にますます大きなプレッシャーを与えていることを考えると、そうです。 しかし、それは可能です。 考慮すべき 10 のベスト プラクティスを次に示します。
- 定期的なスタッフトレーニング: これは言うまでもありません。 あなたの 従業員は巧妙なフィッシング攻撃も発見できます そうすれば、便利な最後の防御線が整います。
- データ監査: あなたが持っているもの、それがどこに保管され、どこに流れ、どのように保護されているかを理解します。 これは、いかなる場合でも GDPR 準拠の一環として行う必要があります。
- 強力なデータ暗号化: データを発見して分類したら、最も機密性の高い情報に強力な暗号化を適用します。 これは継続的に行う必要があります。
- リスクベースのパッチ管理: ソフトウェアのパッチ適用の重要性を過小評価することはできません。 しかし、毎年公開される新たな脆弱性の数は膨大です。 自動化されたリスクベースのシステムは、プロセスを合理化し、最も重要なシステムと脆弱性に優先順位を付けるのに役立ちます。
- 多層の保護セキュリティ: サイバー脅威に対する予防障壁として、サーバー、エンドポイント、電子メール ネットワーク、クラウド層でのマルウェア対策機能やその他の機能を検討してください。
- XDR: 予防制御を回避する脅威に対しては、脅威ハンティングやインシデント対応のサポートなど、複数のレイヤーにわたって強力な拡張検出および対応 (XDR) が機能していることを確認します。
- サプライチェーンのセキュリティ: デジタル パートナーやソフトウェア ベンダーを含むすべてのサプライヤーを監査し、そのセキュリティ体制が貴社のリスク選好と一致していることを確認します。
- 強力なアクセス制御: 強力でユニークなパスワードと多要素認証のためのパスワード マネージャーは、すべての機密性の高いアカウントにとって必須です。 XDR、暗号化、ネットワーク分離、予防制御とともに、これらはセキュリティの基礎を形成します。 ゼロ トラスト セキュリティ アプローチ.
- 災害復旧/事業継続計画: 計画をレビューすることは、適切なビジネス プロセスとテクノロジー ツールを確実に導入するのに役立ちます。
- インシデント対応計画: 計画が完全で定期的にテストされていることを確認してください。これにより、すべての関係者が最悪のシナリオで何をすべきかがわかり、脅威への対応と封じ込めに時間を無駄にすることがなくなります。
すべてではないにしても、大部分の小売業者にとって、PCI DSS への準拠もビジネスの必須要件となります。 これを負担ではなく機会と考えてください。 その詳細な要件は、より成熟したセキュリティ体制を構築し、リスクへの露出を最小限に抑えるのに役立ちます。 強力な暗号化などのテクノロジーは、コンプライアンスのコストと管理負担を軽減するのにも役立ちます。 楽しい休暇をお過ごしください。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.welivesecurity.com/en/business-security/retail-risk-top-threats-facing-retailers-holiday-season/
- :持っている
- :は
- :not
- :どこ
- $UP
- 10
- 2013
- 2022
- 36
- 7
- a
- アクセス
- 従った
- 会計処理
- アカウント
- 越えて
- 俳優
- 行政の
- 利点
- に対して
- 目的としました
- すべて
- 許す
- 沿って
- また
- 常に
- an
- 分析
- および
- 発表の
- どれか
- 食欲
- 申し込み
- 申し込む
- 承認された
- です
- AS
- At
- 攻撃
- 攻撃
- 試み
- 注意
- 監査
- 認証
- 自動化
- バック
- 悪い
- バリア
- 基礎
- BE
- なぜなら
- き
- 始め
- BEST
- ベストプラクティス
- 最大の
- ブラック
- ブラック・フライデイ
- ロボット
- ボット
- 違反
- 違反
- 強引な
- ビルド
- 負担
- ビジネス
- ビジネス
- 忙しい
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- 購入
- by
- 計算
- キャンペーン
- 缶
- 機能
- カード
- 場合
- カテゴリー
- チェーン
- 変更
- 回避する
- 分類された
- クリーニング
- クラウド
- コード
- 来ます
- 貿易
- コミット
- 会社
- 競争力のある
- 競合他社
- コンプライアンス
- 交流
- 検討
- 連続
- 連続的な
- controls
- 費用
- 可能性
- ひびの入った
- クレデンシャル
- Credentials
- カスタム
- 顧客
- Customers
- サイバー
- サイバー犯罪者
- サイバーセキュリティ
- サイバー脅威
- 損傷
- データ
- データ侵害
- データ侵害
- DDoS攻撃
- 防衛
- デロイト
- 設計
- 詳細な
- 細部
- 検出
- 決定
- Devices
- デジタル
- 直接に
- 発見
- 混乱する
- 配布
- do
- そうではありません
- すること
- 行われ
- ドリブン
- 間に
- e
- 各
- 簡単に
- 効果的な
- どちら
- 従業員
- 社員
- 使用可能
- 有効にする
- 暗号化
- エンドポイント
- 十分な
- 確保
- 特に
- 本質的な
- 推定
- さらに
- EVER
- あらゆる
- 拡大
- エクスペリエンス
- 悪用する
- 搾取
- 露出した
- 暴露
- 向い
- フィルター
- ファイナンシャル
- 財務情報
- 流れ
- 焦点を当て
- 強
- フォーム
- 詐欺
- 新鮮な
- 金曜日
- から
- 利得
- GDPR
- GDPRへの準拠
- 取得する
- Go
- 目標
- ゴールデン
- 商品
- 成長性
- ハッカー
- ハンディ
- ハッピー
- ハード
- 重労働
- 持ってる
- ハート
- 助けます
- こちら
- ハイ
- より高い
- 非常に
- 休日
- 休日
- 希望
- 認定条件
- HTML
- HTTPS
- 狩猟
- 傷つける
- i
- if
- 重要性
- 重要
- in
- ストア内
- 事件
- インシデント対応
- include
- 含めて
- デジタル含む
- ますます
- 情報
- インタフェース
- 内部
- インターネット
- 紹介する
- IOT
- IoTデバイス
- IT
- ITS
- JPG
- ただ
- 知っている
- 大
- より大きい
- 姓
- 昨年
- 遅く
- 起動する
- 層
- 層
- less
- ような
- LINE
- 生活
- 長い
- 見て
- 探して
- 製
- メイン
- 主要な
- 大多数
- make
- 管理します
- 管理
- マネージャー
- 成熟した
- 最大幅
- 五月..
- 意味
- 手段
- かもしれない
- 百万
- 分
- モバイル
- モバイルアプリ
- お金
- 他には?
- 最も
- 動機
- ずっと
- の試合に
- しなければなりません
- ほぼ
- 必要
- ネットワーク
- 新作
- いいえ
- 11月
- 今
- 数
- of
- 頻繁に
- オムニチャネル
- on
- かつて
- ONE
- の
- 開いた
- オープンソース
- 機会
- or
- その他
- でる
- が
- 圧倒的な
- ページ
- 支払われた
- 部
- 特定の
- パートナー
- パスワード
- 過去
- パッチ
- 補修
- 支払う
- 支払い
- 期間
- 個人的な
- 視点
- PHIL
- フィッシング詐欺
- 場所
- 計画
- プラン
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポリシー
- 人気
- 可能
- 潜在的な
- プラクティス
- 準備
- 圧力
- ブランド
- 価格、またオプションについて
- 優先順位をつける
- 手続き
- プロセス
- ラボレーション
- 生産性
- プロ
- プログラミング
- 保護された
- 保護
- 提供します
- 公表
- 購入
- パッティング
- ランサムウェア
- むしろ
- 受け入れ
- 記録された
- 記録
- 減らします
- 定期的に
- 頼る
- 残っている
- 倉庫
- で表さ
- 評判
- 要件
- 要件
- 応答
- 応答
- 結果
- 小売
- 小売業者
- 小売業者
- 収入
- レビュー
- 右
- 上昇
- リスク
- リスク選好
- ライバル
- ルート
- 格言
- 皮むき
- シナリオ
- 精査
- シームレス
- シーズン
- セクター
- セキュリティ
- セキュリティポリシー
- 敏感な
- サービス
- サービス
- セッションに
- ショッピング
- すべき
- 簡単な拡張で
- スキミング
- So
- ソフトウェア
- 一部
- 洗練された
- ソース
- 特別
- Spot
- スタッフ
- ステージ
- 利害関係者
- start
- ステム
- ストール
- 保存され
- 流線
- ストライキ
- 強い
- 詰め物
- そのような
- サプライヤー
- サプライヤー
- サポート
- 支援する
- 表面
- 驚き
- システム
- 戦術
- 取る
- ターゲット
- チーム
- テクニック
- テクノロジー
- テクノロジー
- テスト
- より
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- そこ。
- ボーマン
- 彼ら
- 考える
- サードパーティ
- この
- 今年
- それらの
- 脅威
- 脅威アクター
- 脅威
- 介して
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- 今日
- あまりに
- 取った
- top
- 伝統的な
- トラフィック
- トレーニング
- 変換
- 治療
- 1兆
- 信頼
- 微調整
- 3分の2
- 一般的に
- Uk
- わかる
- ユニーク
- 未発表
- us
- つかいます
- 中古
- 多様
- 広大な
- ベンダー
- ベライゾン
- 、
- 極めて重要な
- 脆弱性
- 脆弱性
- ました
- 無駄な
- 水密の
- 仕方..
- ウェブ
- Webアプリケーション
- ウェブサイト
- した
- この試験は
- いつ
- which
- while
- 卸売
- なぜ
- 意志
- 無し
- 仕事
- ワーキング
- 最悪
- XDR
- Yahoo
- 年
- You
- あなたの
- ゼファーネット