연말연시가 코앞으로 다가옴에 따라 소비자와 소매업체만이 시즌을 준비하는 것은 아닙니다. 사이버 범죄자들이 뒤쫓고 있습니다. Amazon Prime Day부터 연말 연시 전력 질주에 이르기까지 주요 소비자 휴일에 위협 행위자들이 큰 목표를 세운다는 것은 비밀이 아닙니다. 올해 블랙 프라이데이에 대한 예상은 온라인 지출이 $ 13 억.
그것은 나쁜 배우들에게 유리한 기회입니다.
올해 소매업체는 이미 인플레이션, 임박한 경기 침체, 다가오는 데이터 개인 정보 보호법에 직면해 있습니다. 그들은 단순히 $ 4.35 만 위반.
제한된 보안 Ho-Ho-Ho 올해?
소매업체는 보안 태세를 최우선으로 생각해야 합니다. 이는 효과적인 탐지 및 대응을 구현하는 것을 의미합니다. 취약점 찾기 전에 연중 이맘때를 나타내는 소매 변경 동결이 발생합니다. 제XNUMX자 위험 관리 직원들이 필요한 교육을 받도록 합니다.
Mad Rush 전에 가장 약한 링크 찾기
소매업체는 XNUMX월 둘째 주 또는 셋째 주까지 연휴가 쇄도하기 XNUMX~XNUMX개월 전에 하드 체인지 동결을 구현하는 것이 일반적입니다. 이렇게 하면 연중 가장 바쁘고 중요한 판매일에 주요 시스템 변경(소비자 경험에 영향을 미침)이 구현되는 것을 방지할 수 있습니다.
하드 체인지 동결로 이어지는 몇 주 동안 개발자는 종종 코드 또는 인프라의 마지막 변경 사항을 짜내려고 합니다. 기한을 앞둔 이러한 러시에는 때때로 오류가 포함되어 패치되지 않고 테스트되지 않은 시스템이 공격에 취약해질 수 있습니다. 사이버 범죄자들은 이러한 하드 체인지 동결 시즌에 너무 익숙하며 종종 이 기간 동안 공격 시간을 정합니다.
정기적인 앱 테스트 프로그램의 일부로 정적 및 동적 애플리케이션 보안 테스트(SAST 및 DAST)를 실행하는 것이 매년 코드가 동결되기 전에 취약점을 식별하는 가장 좋은 방법입니다. 이 두 가지 테스트는 서로 다른 측면에서 응용 프로그램을 검사합니다. SAST는 SQL 인젝션과 같은 소프트웨어 결함에 초점을 맞추는 반면 DAST는 나쁜 행위자가 악용할 수 있는 약점을 찾습니다.
소매업체는 결제 게이트웨이, 입력 필드, 심지어 핵심 웹 코드와 같은 중요하고 트래픽이 많은 애플리케이션에 대한 테스트에 집중해야 합니다.
타사 공급업체 주시
올해 초, 자동차 제조사인 토요타가 생산을 중단했다. 플라스틱 및 전자 제품 공급업체가 사이버 공격을 받은 후 중단된 생산으로 회사는 약 13,000대의 차량에 비용이 들었습니다. 생산 손실은 비용이 많이 드는 것처럼 보일 수 있지만 실제 침해에 비하면 작은 대가입니다.
이것은 타사 위험 관리 (TPRM)은 많은 조직의 보안에서 서비스가 부족한 영역으로 남아 있으며 소매업체는 여전히 TPRM을 우선시하고 사례 연구에서 배워야 합니다.
TPRM 및 공급업체 위험 관리 설문지는 파트너 조직의 보안 태세를 평가하는 데 도움이 됩니다. 많은 기업 수준 설문 조사에는 최대 1,000개의 질문이 있지만 해결해야 할 기본 영역은 정보 보안, 데이터 센터 보안, 웹 애플리케이션 보안, 인프라 보호, 보안 제어 및 기술입니다.
소매업체는 타사 통합을 포함하는 자체 코드에 대한 테스트를 정기적으로 실행하지만 자체 네트워크의 경계를 넘어 확장되지는 않습니다. 소매업체는 벤더가 전체 코드 침투 테스트를 실행하도록 요구 파트너가 코드를 업데이트하거나 변경할 때 연 XNUMX회 및 야간 테스트.
인재의 회전문에도 불구하고 보안 교육 유지
교육은 의심할 여지 없이 소매업체에게 가장 어려운 부분입니다. 그만큼 중대한 사임 사이버 보안이 작은 구성 요소라는 점에서 기업은 교육 및 온보딩 프로세스를 재평가해야 했습니다. 그러나 Verizon의 "데이터 유출 조사 보고서” 인적 요소를 포함했다. 이로 인해 직원 교육이 그 어느 때보다 중요해졌습니다.
기존 소매업체는 일종의 사이버 보안 인식 프로그램을 갖추고 있을 가능성이 높습니다. 그러나 그들은 그것을 확장할 수 있고 확장해야 합니다. 사이버 보안 팀이 침투 테스트에서 격차를 식별하면 직원들과 발견한 내용을 공유하고 이러한 취약성을 조작할 수 있는 방법을 설명할 수 있습니다. 이러한 수준의 투명성은 직원들이 기업과 소비자의 데이터를 보호하는 데 있어 자신의 역할을 이해하는 데 도움이 됩니다.
암호 보안 파라마운트
그리고 마지막으로 직원 프로그램에서 중요한 것은 암호입니다. 암호 보안은 여전히 핵심 문제입니다. 오늘날 발생하는 엄청난 양의 데이터 침해로 이어지거나 주요 요인으로 작용합니다. 도난당한 자격 증명은 위협 행위자가 정보에 액세스할 수 있는 가장 쉬운 방법 중 하나입니다. 손상된 자격 증명은 19 %의 데이터 유출 (PDF). 안타까운 부분은 소비자의 45 % 암호 공유를 심각한 문제로 보지 마십시오. 소매업체는 우수한 암호 위생의 우선 순위를 강화해야 하지만 마찬가지로 중요한 것은 가능한 모든 곳에서 MFA(다단계 인증)를 구현해야 한다는 것입니다.
많은 소매업체들이 인플레이션과 인력 충원 문제를 해결하기 위해 이미 휴일 판매를 시작했습니다. 그러나 그들은 연말을 향해 달려가는 상황에서 보안 태세를 잊어서는 안 됩니다. 조직은 앱 테스트에 SAST 및 DAST를 통합하여 판매 촉진만큼 중요한 사이버 보안을 우선 순위로 삼아야 합니다. 제XNUMX자 위험 모니터링 및 관리 MFA를 사용한 교육 및 적절한 인증을 통해 자격 증명을 보호합니다.
