Kako lahko trgovci na drobno ostanejo zaščiteni v najbolj čudovitem času v letu

As the holidays creep around the corner, consumers and retailers aren’t the only ones gearing up for the season. Cybercriminals are right on their tail. It’s no secret that major consumer holidays — from Amazon Prime Day to the end-of-year holiday sprint — carry big targets for threat actors. Projections for this year’s Black Friday shows online spending reaching $ 13 milijarde.

That’s a lucrative opportunity for bad actors.

Letos se trgovci že soočajo z inflacijo, bližajočo se recesijo in grozečo zakonodajo o zasebnosti podatkov. Enostavno si ne morejo privoščiti $ 4.35 milijonov kršitev.

Omejena varnost Ho-Ho-Ho letos?

Trgovci na drobno morajo skrbeti za svojo varnost. To pomeni izvajanje učinkovitega odkrivanja in odzivanja; iskanje ranljivosti pred pojavljajo se zamrznitve sprememb v maloprodaji, ki zaznamujejo ta letni čas; obvladovanje tveganj tretjih oseb; in zagotoviti, da zaposleni dobijo potrebno usposabljanje.

Iskanje najšibkejšega člena pred norim hitenjem

It’s common for retailers to implement hard change freezes one to two months before the holiday rush through the second or third week of January. This prevents any major system changes (which affect consumer experiences) from being implemented during the busiest and most-important sales days of the year.

V tednih pred močno zamrznitvijo sprememb se razvijalci pogosto trudijo doseči še zadnjo spremembo kode ali infrastrukture. To hitenje pred iztekom roka lahko včasih vključuje napake, zaradi česar so nepopravljeni in nepreizkušeni sistemi ranljivi za napade. Kibernetski kriminalci so preveč seznanjeni s temi težkimi sezonami zamrznitve sprememb in svoje napade pogosto merijo na to obdobje.

Izvajanje statičnih in dinamičnih varnostnih testov aplikacij (SAST in DAST) kot del rednih programov testiranja aplikacij so najboljši načini za prepoznavanje ranljivosti pred letnimi zamrznitvami kode. Ta dva testa preučujeta aplikacije z različnih strani. SAST se osredotoča na napake programske opreme, kot je vbrizgavanje SQL, medtem ko DAST najde slabosti, ki jih slabi akterji lahko izkoristijo.

Trgovci na drobno bi se morali osredotočiti na testiranje kritičnih in visokoprometnih aplikacij, kot so plačilni prehodi, vnosna polja in celo osnovne spletne kode.

Bodite pozorni na prodajalce tretjih oseb

V začetku tega leta, proizvajalec avtomobilov Toyota je ustavil svojo proizvodnjo after a plastic and electronics supplier was hit with a cyberattack. The suspended production cost the company roughly 13,000 cars. While the loss of production might seem costly, it’s a small price to pay compared with an actual breach.

To kaže, da upravljanje s tveganji tretjih oseb (TPRM) ostaja premalo pokrito področje varnosti za številne organizacije in trgovci morajo še vedno dati prednost TPRM in se učiti iz študije primera.

TPRM in vprašalniki za obvladovanje tveganja dobavitelja pomagajo oceniti varnostno stanje partnerskih organizacij. Številne ankete na ravni podjetij imajo do 1,000 vprašanj, vendar so glavna področja, ki jih je treba obravnavati, naslednja: varnost informacij, varnost podatkovnega centra, varnost spletnih aplikacij, zaščita infrastrukture ter varnostni nadzor in tehnologija.

While retailers regularly run tests on their own code, which includes third-party integrations, it doesn’t extend beyond the boundaries of their own networks. Retailers should zahtevajo, da njihovi prodajalci izvedejo popolno testiranje prodiranja kode na dve leti in nočno testiranje, ko njihovi partnerji posodobijo ali spremenijo kode.

Vzdrževanje varnostnih treningov kljub vrtljivim vratom Talenta

Usposabljanje je za trgovce nedvomno najtežji del. The Veliki odstop has forced companies to re-evaluate their training and onboarding processes, with cybersecurity being a small component of it. However, 82% of breaches analyzed by Verizon’s “Data Breach Investigations Report” vključevala človeški element. Zaradi tega je usposabljanje zaposlenih pomembnejše kot kdaj koli prej.

Established retailers likely have some sort of cybersecurity awareness program in place. But they can (and should) expand upon that. When cybersecurity teams identify gaps from penetration testing, they can share those findings with employees and explain how those vulnerabilities can be manipulated. This level of transparency helps employees understand their role in protecting the enterprise and consumers’ data.

Varnost gesel Paramount

In ne nazadnje, v programu za zaposlene: gesla. Varnost gesel je še vedno glavna težava vodi do ali igra ključni dejavnik pri osupljivi količini kršitev podatkov, do katerih prihaja danes. Ukradene poverilnice so eden najpreprostejših načinov za dostop akterjev groženj do informacij. Ogrožene poverilnice so vzrok za 19% kršitev podatkov (PDF). Žalostno je 45% potrošnikov don’t view password sharing as a serious issue. Retailers should reinforce the priority of good password hygiene, but just as important, they should be implementing multifactor authentication (MFA) everywhere and anywhere that it is possible.

Many retailers have already started holiday sales to get ahead of inflation and staffing concerns. But they mustn’t forget about their security posture in this rush to the year’s end. Organizations must make cybersecurity a priority as important as driving sales by incorporating SAST and DAST in their app testing; monitoring and managing third-party risks; and securing credentials through training and proper authentication using MFA.