Безопасность бизнеса
Хотя может быть уже слишком поздно вносить масштабные изменения в вашу политику безопасности, не помешает по-новому взглянуть на то, где находятся самые большие угрозы и какие лучшие практики могут помочь их нейтрализовать.
28 ноября 2023 • , 6 минута. читать
Сезон праздничных покупок начался серьезно. В то время как ритейлеры сосредоточены на борьбе за объем продаж оценивается в 1.5 триллиона долларов. в этом году (и это только для США) их тяжелая работа может свести на нет, если кибербезопасности не будет уделяться достаточно внимания.
Почему? Потому что это лучшие и худшие времена для ИТ-команд розничной торговли. Самое загруженное время года для клиентов также является магнит для киберпреступников. И хотя на данном этапе может быть слишком поздно вносить масштабные изменения в вашу политику безопасности, не помешает по-новому взглянуть на то, где находятся самые большие угрозы, и какие лучшие практики могут помочь их нейтрализовать.
Почему розничная торговля, почему сейчас?
Ритейлеры уже давно подвергаются особому обращению со стороны киберпреступников. А самый оживленный период покупок в году уже давно представляет собой прекрасную возможность нанести удар. Но почему?
- Розничные торговцы хранят высоко монетизируемую личную и финансовую информацию о своих клиентах. Просто подумайте обо всех этих деталях карты. Неудивительно, что все (100%) утечек данных в розничной торговле, проанализированные Verizon в прошлом году были обусловлены финансовыми мотивами.
- Сезон праздничных покупок — самое важное время года для ритейлеров с точки зрения доходов. Но это означает, что они более подвержены киберугрозам, таким как программы-вымогатели или распределенный отказ в обслуживании (DDoS), предназначенный для вымогательства денег путем отказа в обслуживании. В качестве альтернативы конкуренты могут начать DDoS-атаки, чтобы лишить своих конкурентов жизненно важных клиентов и доходов.
- Это самое загруженное время года означает, что сотрудники, особенно растянутые ИТ-команды, больше сосредоточены на том, чтобы помочь бизнесу получить как можно больше доходов, чем на поиске киберугроз. Они могут даже настроить внутренние фильтры мошенничества, чтобы позволить утверждать более крупные покупки без проверки.
- Ритейлеры все чаще полагаются на цифровые системы для создания омниканальной коммерческой деятельности, включая облачное программное обеспечение для бизнеса, устройства IoT в магазинах и мобильные приложения для клиентов. При этом они (часто невольно) расширяют потенциальную поверхность атаки.
Давайте не будем забывать, что один из крупнейшая в мире зафиксированная утечка данных состоялся и был объявлен во время курортного сезона в 2013 году, когда Хакеры украли 110 миллионов записей о клиентах у американского ритейлера Target.
Каковы самые большие киберугрозы для ритейлеров в этот праздничный сезон?
Розничным торговцам приходится не только защищать поверхность атаки, им также приходится бороться со все более широким разнообразием тактик, техник и процедур (ТТП) со стороны определенного набора противников. Целью нападающих является либо украсть данные клиентов и сотрудников, вымогать/нарушать работу вашего бизнеса посредством DDoS, совершать мошенничества или использовать ботов для получения конкурентного преимущества. Вот некоторые из основных киберугроз в сфере розничной торговли:
- Бреши в системе может быть результатом кражи/взлома/фишинга учетных данных сотрудников или эксплуатации уязвимостей, особенно в веб-приложениях. Результатом является серьезный финансовый и репутационный ущерб, который может сорвать планы роста и доходы.
- Цифровой скимминг (т. е. атаки Magecart) происходят, когда злоумышленники используют уязвимости для вставки кода скимминга непосредственно на ваши платежные страницы или через стороннего поставщика программного обеспечения/виджет. Такие атаки часто трудно обнаружить, а это значит, что они могут нанести неисчислимый ущерб репутации. По данным компании, на их долю пришлось 18% утечек розничных данных в прошлом году. Verizon.
- Ransomware является одной из главных угроз для ритейлеров, и в этот напряженный сезон злоумышленники могут активизировать свои атаки в надежде, что больше предприятий будут готовы платить за возврат и расшифровку своих данных. Малый и средний бизнес, в частности, находится под прицелом, поскольку их меры безопасности могут быть менее эффективными.
- DDoS остается популярным способом вымогательства и/или нарушения деятельности розничных продавцов. В прошлом году, сектор оказался под угрозой почти пятой (17%) этих атак – рост на 53% в годовом исчислении (в годовом исчислении), причем пики наблюдаются во время Черной пятницы.
- Атаки на цепочку поставок возможно ориентирован на цифрового поставщика например, компания-разработчик программного обеспечения или даже репозиторий с открытым исходным кодом. Или они могут быть нацелены на более традиционный бизнес в сфере профессиональных услуг или даже клининговых услуг. Нарушение цели стало возможным, когда хакеры украли сетевые учетные данные у поставщика систем отопления, вентиляции и кондиционирования.
- Поглощение учетных записей (ATO) обычно включаются украденные, фишинговые или взломанные учетные данные. Это может быть началом крупной попытки взлома данных или же она может быть нацелена на клиентов, путем подтасовки учетных данных или других кампаний грубой силы. Обычно здесь используются вредоносные боты.
- Другие плохие атаки ботов включают скальпинг (когда конкуренты скупают пользующиеся спросом товары для перепродажи по более высокой цене), мошенничество с платежными/подарочными картами и сбор цен (позволение конкурентам занижать ваши цены). Вредоносные боты включают в себя вокруг% 30 всего интернет-трафика сегодня, причем две трети веб-сайтов Великобритании не могу заблокировать даже простые атаки. Там было примерно на 50% больше плохой бот-трафик в праздничный сезон 2022 года.
- API (Интерфейс прикладного программирования) лежат в основе цифровой трансформации розничной торговли, обеспечивая более взаимосвязанное и бесперебойное обслуживание клиентов. Но уязвимости и неправильные конфигурации также могут стать причиной простой путь для хакеров к данным клиентов.
Как ритейлеры могут защитить себя от киберрисков
В ответ ритейлерам необходимо сбалансировать безопасность с производительностью сотрудников и ростом бизнеса. Это не всегда простой расчет, особенно с учетом того, что высокая стоимость жизни оказывает все большее давление на стремление к прибыли. Но это может быть сделано. Вот 10 лучших практик, на которые стоит обратить внимание:
- Регулярное обучение персонала: Это само собой разумеется. Убедитесь, что ваш сотрудники могут обнаружить даже изощренные фишинговые атаки и у вас будет удобная последняя линия защиты.
- Аудит данных: Поймите, что у вас есть, где оно хранится, куда течет и как оно защищено. Это следует сделать в любом случае в рамках соблюдения GDPR.
- Надежное шифрование данных: После того как вы обнаружили и классифицировали свои данные, примените надежное шифрование к наиболее конфиденциальной информации. Это следует делать на постоянной основе.
- Управление исправлениями с учетом рисков: Важность обновления программного обеспечения нельзя недооценивать. Но количество новых уязвимостей, публикуемых каждый год, может быть ошеломляющим. Автоматизированные системы, основанные на оценке рисков, должны помочь оптимизировать процесс и определить приоритетность наиболее важных систем и уязвимостей.
- Многоуровневая защитная безопасность: Рассмотрите возможность защиты от вредоносного ПО и других возможностей на сервере, конечной точке, сети электронной почты и облачном уровне в качестве превентивного барьера на пути киберугроз.
- ШДР: Для угроз, которым удается обойти превентивные меры контроля, обеспечьте наличие мощного расширенного обнаружения и реагирования (XDR), работающего на нескольких уровнях, в том числе для поддержки поиска угроз и реагирования на инциденты.
- Безопасность цепочки поставок: Проведите аудит всех поставщиков, включая цифровых партнеров и поставщиков программного обеспечения, чтобы убедиться, что их уровень безопасности соответствует вашей склонности к риску.
- Строгий контроль доступа: Менеджеры паролей для создания надежных, уникальных паролей и многофакторной аутентификации необходимы для всех конфиденциальных учетных записей. Наряду с XDR, шифрованием, сетевой сегрегацией и профилактическим контролем они составляют основу Подход к безопасности с нулевым доверием.
- Планирование аварийного восстановления/непрерывности бизнеса: Анализ планов поможет обеспечить наличие правильных бизнес-процессов и технологических инструментов.
- Планирование реагирования на инциденты: Убедитесь, что ваши планы надежны и регулярно проверяются, чтобы каждая заинтересованная сторона знала, что делать в худшем случае, и не тратило время на реагирование и сдерживание угрозы.
Для подавляющего большинства, если не для всех, ритейлеров соответствие PCI DSS также будет важным требованием ведения бизнеса. Считайте это возможностью, а не бременем. Подробные требования помогут вам создать более зрелую систему безопасности и минимизировать риски. Такие технологии, как стойкое шифрование, также могут помочь снизить затраты и административное бремя соблюдения требований. Счастливых праздников.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/business-security/retail-risk-top-threats-facing-retailers-holiday-season/
- :имеет
- :является
- :нет
- :куда
- $UP
- 10
- 2013
- 2022
- 36
- 7
- a
- доступ
- По
- составили
- Учетные записи
- через
- актеры
- административный
- плюс
- против
- Нацеленный
- Все
- позволять
- вдоль
- причислены
- всегда
- an
- проанализированы
- и
- объявило
- любой
- аппетит
- Применение
- Приложения
- Применить
- утвержденный
- МЫ
- AS
- At
- атаковать
- нападки
- попытка
- внимание
- аудит
- Аутентификация
- Автоматизированный
- назад
- Плохой
- Баланс
- барьер
- основа
- BE
- , так как:
- было
- начал
- ЛУЧШЕЕ
- лучшие практики
- Крупнейшая
- Черный
- Черная пятница
- Бот
- боты
- нарушение
- нарушения
- грубая сила
- строить
- бремя
- бизнес
- бизнес
- занятый
- но
- купить
- by
- расчет
- Кампании
- CAN
- возможности
- карта
- случаев
- Категории
- цепь
- изменения
- обойти
- классифицированный
- Уборка
- облако
- код
- как
- Commerce
- совершать
- Компания
- конкурентоспособный
- конкурентов
- Соответствие закону
- подключенный
- Рассматривать
- непрерывность
- (CIJ)
- контрольная
- Цена
- может
- треснувший
- ПОЛНОМОЧИЯ
- Полномочия
- изготовленный на заказ
- клиент
- Клиенты
- кибер-
- киберпреступники
- Информационная безопасность
- киберугрозы
- повреждение
- данным
- Данные нарушения
- Нарушения данных
- DDoS
- Защита
- Делойта
- предназначенный
- подробный
- подробнее
- обнаружение
- определены
- Устройства
- Интернет
- цифровое преобразование
- непосредственно
- открытый
- срывать
- распределенный
- do
- не
- дело
- сделанный
- управляемый
- в течение
- e
- каждый
- легко
- Эффективный
- или
- Сотрудник
- сотрудников
- включен
- позволяет
- шифрование
- Конечная точка
- достаточно
- обеспечивать
- особенно
- существенный
- к XNUMX году
- Даже
- НИКОГДА
- Каждая
- расширяющийся
- Впечатления
- Эксплуатировать
- эксплуатация
- подвергаться
- Экспозиция
- всего лишь пяти граммов героина
- фильтры
- финансовый
- финансовая информация
- Потоки
- внимание
- Что касается
- Форс-мажор
- форма
- мошенничество
- свежий
- пятница
- от
- Gain
- GDPR
- Соответствие ВВП
- получить
- Go
- Цели
- Golden
- товары
- Рост
- Хакеры
- удобный
- счастливый
- Жесткий
- тяжелая работа
- Есть
- Сердце
- помощь
- здесь
- High
- высший
- очень
- держать
- Выходные
- каникулы
- надежды
- Как
- HTML
- HTTPS
- охота
- Опт
- i
- if
- значение
- важную
- in
- в магазине
- инцидент
- реакция на инцидент
- включают
- В том числе
- в том числе цифровой
- все больше и больше
- информация
- Интерфейс
- в нашей внутренней среде,
- Интернет
- вводить
- КАТО
- несколько устройств
- IT
- ЕГО
- JPG
- всего
- знает
- большой
- больше
- Фамилия
- В прошлом году
- Поздно
- запуск
- слой
- слоев
- Меньше
- такое как
- линия
- жизнью
- Длинное
- посмотреть
- искать
- сделанный
- Главная
- основной
- Большинство
- сделать
- управлять
- управление
- Менеджеры
- зрелый
- макс-ширина
- Май..
- смысл
- означает
- может быть
- миллиона
- мин
- Мобильный телефон
- Приложения для мобильных устройств
- деньги
- БОЛЕЕ
- самых
- мотив
- много
- с разными
- должен
- почти
- Необходимость
- сеть
- Новые
- нет
- ноябрь
- сейчас
- номер
- of
- .
- Omni-Channel
- on
- консолидировать
- ONE
- только
- открытый
- с открытым исходным кодом
- Возможность
- or
- Другое
- внешний
- за
- подавляющий
- страниц
- выплачен
- часть
- особый
- партнеры
- пароли
- мимо
- Патчи
- Заделка
- ОПЛАТИТЬ
- оплата
- период
- личного
- перспектива
- ФИЛ
- фишинг
- Часть
- планирование
- Планы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сборах
- Популярное
- возможное
- потенциал
- практиками
- (например,
- давление
- цена
- Цены
- Расставляйте приоритеты
- Процедуры
- процесс
- Процессы
- производительность
- профессиональный
- Программирование
- защищенный
- защитный
- обеспечивать
- опубликованный
- Покупка
- Полагая
- вымогателей
- скорее
- получение
- записанный
- учет
- уменьшить
- регулярно
- полагаться
- остатки
- хранилище
- представленный
- репутация
- требование
- Требования
- ответ
- ответ
- результат
- розничный
- розничный торговец
- розничной торговли
- доходы
- обзор
- правую
- Рост
- Снижение
- склонность к риску
- соперников
- дорога
- поговорка
- Скальпинговые
- сценарий
- рассмотрение
- бесшовные
- Время года
- сектор
- безопасность
- политики безопасности
- чувствительный
- сервер
- обслуживание
- Услуги
- набор
- Шоппинг
- должен
- просто
- снятие пены
- So
- Software
- некоторые
- сложный
- Источник
- особый
- Спотовая торговля
- Персонал
- Этап
- заинтересованные стороны
- Начало
- ножка
- украли
- хранить
- упорядочить
- удар
- сильный
- начинка
- такие
- поставщик
- поставщики
- поддержка
- поддержки
- Поверхность
- сюрприз
- системы
- тактика
- взять
- цель
- команды
- снижения вреда
- технологии
- Технологии
- проверенный
- чем
- который
- Ассоциация
- их
- Их
- сами
- Там.
- Эти
- они
- think
- сторонние
- этой
- В этом году
- те
- угроза
- актеры угрозы
- угрозы
- Через
- время
- раз
- в
- сегодня
- слишком
- приняли
- топ
- традиционный
- трафик
- Обучение
- трансформация
- лечение
- Триллион
- Доверие
- щипать
- две трети
- типично
- Uk
- понимать
- созданного
- Untold
- us
- использование
- используемый
- разнообразие
- Огромная
- поставщики
- Verizon
- с помощью
- жизненный
- Уязвимости
- уязвимость
- законопроект
- впустую
- водонепроницаемый
- Путь..
- Web
- веб-приложений
- веб-сайты
- были
- Что
- когда
- , которые
- в то время как
- оптовая
- зачем
- будете
- без
- Работа
- работает
- Наихудший
- XDR
- Yahoo
- год
- Ты
- ВАШЕ
- зефирнет