危機に瀕する小売業: このホリデー シーズンに小売業者が直面する最大の脅威

ビジネスセキュリティ

セキュリティ ポリシーに大規模な変更を導入するには遅すぎるかもしれませんが、最大の脅威がどこにあるのか、どのベスト プラクティスがそれらを無力化するのに役立つのかを改めて検討してみるのは悪いことではありません。

フィル・マンカスター

28月2023日  •  , 6分。 読んだ

年末商戦が本格的に始まった。 小売業者は、 売上高は推定1.5兆XNUMX億ドル 今年（これは米国に限った話ですが）、サイバーセキュリティに十分な注意が払われず、彼らの努力が無駄になる可能性があります。 

なぜ？ なぜなら、今は小売業の IT チームにとって最高の時でもあり、最悪の時でもあるからです。 お客様にとって一年で最も忙しい時期でもあります サイバー犯罪者を引き寄せる磁石。 また、セキュリティ ポリシーに大規模な変更を導入するにはこの段階では遅すぎるかもしれませんが、最大の脅威がどこにあるのか、どのベスト プラクティスがそれらを無力化するのに役立つのかを改めて検討することは害にはなりません。

なぜ小売りをするのか、なぜ今なのか?

小売業者は長い間、サイバー犯罪者から特別な扱いを受けてきました。 そして、一年で最も買い物が忙しい時期は、長い間、ストライキを行う絶好の機会とされてきました。 しかし、なぜ？

• 小売業者は、顧客に関する収益性の高い個人情報および財務情報を保持しています。 カードの詳細をすべて考えてみてください。 小売データ侵害のすべて (100%) が分析されたことは驚くべきことではありません。 ベライゾン 過去 XNUMX 年間の活動は金銭的な動機によって引き起こされていました。
• 小売業者にとって、年末商戦は収益の観点から見て一年で最も重要な時期です。 しかしこれは、サービスを拒否して金銭を脅し取ることを目的としたランサムウェアや分散型サービス拒否攻撃 (DDoS) などのサイバー脅威にさらされる可能性が高くなることを意味します。 あるいは、競合他社が DDoS 攻撃を仕掛けて、ライバルの重要な習慣や収益を奪う可能性もあります。
• 一年で最も忙しい時期ということは、従業員、特に過大なITチームがサイバー脅威に気を配ることよりも、ビジネスができるだけ多くの収益を上げられるようにサポートすることに集中していることを意味します。 内部不正フィルターを微調整して、より高額な購入を精査せずに承認できるようにすることさえあるかもしれません。
• 小売業者は、クラウドベースのビジネス ソフトウェア、店舗内の IoT デバイス、顧客向けモバイル アプリケーションなどのオムニチャネル コマース エクスペリエンスを構築するために、デジタル システムへの依存度を高めています。 そうすることで、彼らは（多くの場合無意識のうちに）潜在的な攻撃対象領域を拡大しています。

その中の一つを忘れないようにしましょう 世界史上最大のデータ侵害 が開催され、2013 年のホリデー シーズン中に発表されました。 ハッカーが米国の小売店ターゲットから110億XNUMX千万件の顧客記録を盗んだ.

このホリデーシーズンに小売業者にとって最大のサイバー脅威は何でしょうか?

小売業者は大企業を守るだけでなく、 攻撃対象また、決定された一連の敵による、ますます多様化する戦術、技術、手順 (TTP) にも対処しなければなりません。 攻撃者の目的は次のいずれかです。 顧客と従業員のデータを盗む、DDoS を通じてビジネスを恐喝/妨害したり、詐欺を行ったり、競争上の優位性を得るためにボットを使用したりします。 小売業における主なサイバー脅威の一部を以下に示します。

• データ侵害 特に Web アプリケーションでは、従業員の資格情報の盗難、クラッキング、フィッシング、または脆弱性の悪用が原因である可能性があります。 その結果、財務上および風評上に大きな損害が生じ、成長計画や収益が狂う可能性があります。
• デジタルスキミング (つまり、Magecart 攻撃) は、脅威アクターが脆弱性を悪用して、支払いページに直接、またはサードパーティのソフトウェア サプライヤー/ウィジェットを介してスキミング コードを挿入するときに発生します。 このような攻撃は発見するのが難しいことが多く、評判に計り知れない損害を与える可能性があります。 によると、これらは昨年の小売業のデータ侵害の 18% を占めていました。 ベライゾン.  
• ランサムウェア は小売業者にとって最大の脅威の XNUMX つであり、この繁忙期には、より多くの企業がデータを取り戻して復号化するために料金を支払う準備ができていることを期待して、攻撃者が攻撃を強化する可能性があります。 特に中小企業が注目されていますセキュリティ管理の効果が低い可能性があるためです。
• DDoS攻撃 小売業者を恐喝したり混乱させたりするための一般的な方法として依然として人気があります。 去年、 セクターは受信側にありました これらの攻撃のほぼ 17 分の 53 (XNUMX%) は、前年比 (YoY) XNUMX% 増加し、ブラック フライデー中にピークが見られました。
• サプライチェーン攻撃 かもしれません デジタルサプライヤーをターゲットとした ソフトウェア会社やオープンソース リポジトリなど。 あるいは、専門サービスや清掃サービスなど、より伝統的なビジネスを対象としている場合もあります。 ターゲット違反 いつ可能になったのか ハッカーが HVAC サプライヤーからネットワーク資格情報を盗みました。
• アカウント乗っ取り (ATO) 通常は次によって有効になります 認証情報が盗まれた、フィッシングされた、またはクラックされた。 それは大規模なデータ侵害の試みの始まりである可能性もあれば、クレデンシャル スタッフィングやその他のブルート フォース キャンペーンで顧客を狙ったものである可能性もあります。 通常、ここでは悪意のあるボットが使用されます。
• その他の悪質なボット攻撃 これには、スキャルピング (競合他社が再販売のために需要のある商品を高値で買い取る)、支払い/ギフトカード詐欺、価格スクレイピング (競合他社が価格を引き下げることを可能にする) が含まれます。 悪意のあるボットには次のものがあります。 30％の周りに 現在のインターネット トラフィック全体のうち、英国の Web サイトの XNUMX 分の XNUMX が占める ブロックできません 単純な攻撃でも。 そこには 推定50%増加でした 2022 年のホリデー シーズンにはボット トラフィックがひどくなる可能性があります。
• API (アプリケーション プログラミング インターフェイス) は小売業のデジタル変革の中心であり、よりつながりのあるシームレスな顧客体験を可能にします。 しかし、脆弱性や設定ミスによって、次のような問題が発生する可能性もあります。 ハッカーが顧客データにアクセスする簡単なルート.

小売業者がサイバーリスクから身を守る方法

これに対応して、小売業者はセキュリティと従業員の生産性およびビジネスの成長のバランスをとる必要があります。 これは必ずしも簡単な計算ではありません。特に、高額な生活費が利益追求にますます大きなプレッシャーを与えていることを考えると、そうです。 しかし、それは可能です。 考慮すべき 10 のベスト プラクティスを次に示します。

• 定期的なスタッフトレーニング: これは言うまでもありません。 あなたの 従業員は巧妙なフィッシング攻撃も発見できます そうすれば、便利な最後の防御線が整います。
• データ監査: あなたが持っているもの、それがどこに保管され、どこに流れ、どのように保護されているかを理解します。 これは、いかなる場合でも GDPR 準拠の一環として行う必要があります。
• 強力なデータ暗号化: データを発見して分類したら、最も機密性の高い情報に強力な暗号化を適用します。 これは継続的に行う必要があります。
• リスクベースのパッチ管理: ソフトウェアのパッチ適用の重要性を過小評価することはできません。 しかし、毎年公開される新たな脆弱性の数は膨大です。 自動化されたリスクベースのシステムは、プロセスを合理化し、最も重要なシステムと脆弱性に優先順位を付けるのに役立ちます。
• 多層の保護セキュリティ: サイバー脅威に対する予防障壁として、サーバー、エンドポイント、電子メール ネットワーク、クラウド層でのマルウェア対策機能やその他の機能を検討してください。
• XDR: 予防制御を回避する脅威に対しては、脅威ハンティングやインシデント対応のサポートなど、複数のレイヤーにわたって強力な拡張検出および対応 (XDR) が機能していることを確認します。
  
• サプライチェーンのセキュリティ: デジタル パートナーやソフトウェア ベンダーを含むすべてのサプライヤーを監査し、そのセキュリティ体制が貴社のリスク選好と一致していることを確認します。
• 強力なアクセス制御: 強力でユニークなパスワードと多要素認証のためのパスワード マネージャーは、すべての機密性の高いアカウントにとって必須です。 XDR、暗号化、ネットワーク分離、予防制御とともに、これらはセキュリティの基礎を形成します。 ゼロ トラスト セキュリティ アプローチ.
• 災害復旧/事業継続計画: 計画をレビューすることは、適切なビジネス プロセスとテクノロジー ツールを確実に導入するのに役立ちます。
• インシデント対応計画: 計画が完全で定期的にテストされていることを確認してください。これにより、すべての関係者が最悪のシナリオで何をすべきかがわかり、脅威への対応と封じ込めに時間を無駄にすることがなくなります。

すべてではないにしても、大部分の小売業者にとって、PCI DSS への準拠もビジネスの必須要件となります。 これを負担ではなく機会と考えてください。 その詳細な要件は、より成熟したセキュリティ体制を構築し、リスクへの露出を最小限に抑えるのに役立ちます。 強力な暗号化などのテクノロジーは、コンプライアンスのコストと管理負担を軽減するのにも役立ちます。 楽しい休暇をお過ごしください。