ホリデー シーズンが近づいてきましたが、シーズンに向けて準備を進めているのは消費者と小売業者だけではありません。 サイバー犯罪者は後を追っています。 Amazon プライム デーから年末のホリデー スプリントまで、主要な消費者の祝日が脅威アクターの大きな標的になることは周知の事実です。 今年のブラック フライデーの予測では、オンライン支出が 2022年の174億4000万ドル.
それは悪い俳優にとって有利な機会です。
今年、小売業者はすでにインフレ、差し迫った景気後退、差し迫ったデータ プライバシー法に直面しています。 彼らは単に余裕がありません 4.35万ドル 違反。
限られたセキュリティ Ho-Ho-Ho 今年は?
小売業者は、セキュリティ体制を最優先に保つ必要があります。 これは、効果的な検出と対応を実装することを意味します。 脆弱性の発見 この時期を特徴付ける小売価格の変更の凍結が発生します。 サードパーティのリスクを管理する。 従業員が必要なトレーニングを受けられるようにします。
マッドラッシュの前に最も弱いリンクを見つける
小売業者は、XNUMX 月の第 XNUMX 週または第 XNUMX 週までのホリデー ラッシュの XNUMX ~ XNUMX か月前にハード チェンジ フリーズを実施するのが一般的です。 これにより、主要なシステム変更 (消費者エクスペリエンスに影響を与える) が、XNUMX 年で最も忙しく、最も重要な販売日に実施されることを防ぎます。
ハード変更の凍結に至るまでの数週間、開発者はコードやインフラストラクチャの最後の変更を絞り込もうとすることがよくあります。 締め切り前のこのラッシュにはエラーが含まれる場合があり、パッチが適用されておらず、テストされていないシステムが攻撃に対して脆弱になります。 サイバー犯罪者は、このハード チェンジ フリーズ シーズンを熟知しており、この時期に攻撃を仕掛けることがよくあります。
定期的なアプリ テスト プログラムの一環として、静的および動的なアプリケーション セキュリティ テスト (SAST および DAST) を実行することは、年次コードがフリーズする前に脆弱性を特定する最良の方法です。 これら XNUMX つのテストでは、さまざまな側面からアプリケーションを調べます。 SAST は SQL インジェクションなどのソフトウェアの欠陥に焦点を当てていますが、DAST は悪意のある攻撃者が悪用できる弱点を見つけます。
小売業者は、支払いゲートウェイ、入力フィールド、さらにはコア Web コードなど、重要でトラフィックの多いアプリケーションのテストに集中する必要があります。
サードパーティ ベンダーを監視する
今年の初め、 自動車メーカーのトヨタが生産を停止 プラスチックと電子機器のサプライヤーがサイバー攻撃を受けた後. 中断された生産により、会社は約 13,000 台の車を失いました。 生産の損失は高くつくように思えるかもしれませんが、実際の侵害に比べれば、支払う代償は小さいものです。
これは サードパーティのリスク管理 (TPRM) は、多くの組織にとってセキュリティの十分なサービスが提供されていない領域であり、小売業者は依然として TPRM を優先し、ケース スタディから学ぶ必要があります。
TPRM およびベンダー リスク管理アンケートは、パートナー組織のセキュリティ体制を評価するのに役立ちます。 多くの企業レベルの調査には最大 1,000 の質問がありますが、対処する必要がある主な分野は、情報セキュリティ、データ センター セキュリティ、Web アプリケーション セキュリティ、インフラストラクチャ保護、およびセキュリティ コントロールとテクノロジです。
小売業者は、サードパーティの統合を含む独自のコードで定期的にテストを実行しますが、自社のネットワークの境界を超えて拡張することはありません。 小売業者は ベンダーに完全なコード侵入テストを実行するよう要求する パートナーがコードを更新または変更するときの半年ごとのテストと夜間のテスト。
才能の回転ドアにもかかわらず、セキュリティトレーニングを維持する
トレーニングは間違いなく、小売業者にとって最も難しい部分です。 の 大辞任 企業はトレーニングとオンボーディング プロセスの再評価を余儀なくされており、サイバーセキュリティはそのごく一部にすぎません。 しかし、Verizon の「データ侵害調査レポート」 人間的な要素が含まれていました。 これにより、従業員のトレーニングがこれまで以上に重要になります。
確立された小売業者は、何らかのサイバーセキュリティ意識向上プログラムを実施している可能性があります。 しかし、彼らはそれを拡張することができます(またそうすべきです)。 サイバーセキュリティ チームは、侵入テストからギャップを特定すると、それらの調査結果を従業員と共有し、それらの脆弱性を操作する方法を説明できます。 このレベルの透明性により、従業員は、企業と消費者のデータを保護する上での自分の役割を理解できます。
パスワード セキュリティ パラマウント
そして最後になりましたが、従業員プログラムのパスワードです。 パスワードのセキュリティは依然として重要な問題です 今日発生している膨大な量のデータ侵害につながるか、重要な要因となっています。 盗まれた資格情報は、攻撃者が情報にアクセスする最も簡単な方法の XNUMX つです。 資格情報の侵害が原因です データ侵害の19% (PDF). 悲しい部分は 消費者の45% パスワードの共有を深刻な問題と見なさないでください。 小売業者は、適切なパスワード衛生の優先順位を強化する必要がありますが、同様に重要なのは、多要素認証 (MFA) を可能な限りあらゆる場所に実装する必要があることです。
多くの小売業者は、インフレと人員配置の懸念を先取りするために、すでにホリデー セールを開始しています。 しかし、年末に向けて慌ただしい中、セキュリティ体制を忘れてはなりません。 組織は、アプリのテストに SAST と DAST を組み込むことにより、サイバーセキュリティを売上の促進と同じくらい重要な優先事項にする必要があります。 第三者のリスクの監視と管理。 MFA を使用したトレーニングと適切な認証を通じて資格情報を保護します。
