Tatil yaklaşırken, sezona hazırlananlar yalnızca tüketiciler ve perakendeciler değil. Siber suçlular peşlerinde. Amazon Prime Day'den yıl sonu tatil koşusuna kadar başlıca tüketici tatillerinin, tehdit aktörleri için büyük hedefler taşıdığı bir sır değil. Bu yılki Kara Cuma'ya ilişkin tahminler, çevrimiçi harcamaların şu seviyeye ulaştığını gösteriyor: $ 13 milyar.
Bu kötü aktörler için kazançlı bir fırsat.
Bu yıl perakendeciler zaten enflasyonla, yaklaşmakta olan bir durgunlukla ve yaklaşmakta olan veri gizliliği mevzuatıyla karşı karşıya. Sadece bir parayı karşılayamıyorlar $ 4.35 milyon ihlal.
Sınırlı Güvenlik Bu Yıl Ho-Ho-Ho?
Perakendeciler güvenlik duruşlarını akıllarında tutmalıdır. Bu, etkili tespit ve müdahalenin uygulanması anlamına gelir; güvenlik açıklarını bulma önce yılın bu zamanına damgasını vuran perakende değişim donmaları meydana geliyor; üçüncü taraf risklerini yönetmek; ve çalışanların ihtiyaç duydukları eğitimi almalarını sağlamak.
Çılgın Hücum Öncesi En Zayıf Halkayı Bulmak
Perakendecilerin, Ocak ayının ikinci veya üçüncü haftasındaki tatil telaşından bir ila iki ay önce sert değişim dondurmaları uygulaması yaygın bir durumdur. Bu, yılın en yoğun ve en önemli satış günlerinde (tüketici deneyimlerini etkileyen) büyük sistem değişikliklerinin uygulanmasını engeller.
Değişikliklerin sert bir şekilde dondurulmasına yaklaşan haftalarda, geliştiriciler genellikle kod veya altyapıda son bir değişikliği sıkıştırmaya çalışıyor. Son teslim tarihinden önce yaşanan bu acele bazen hatalar içerebilir ve yama yapılmamış ve test edilmemiş sistemleri saldırılara karşı savunmasız bırakabilir. Siber suçlular, bu zorlu değişim donma dönemlerine fazlasıyla aşinadır ve saldırılarını genellikle bu aralıkta zamanlamaktadır.
Düzenli uygulama testi programlarının bir parçası olarak statik ve dinamik uygulama güvenlik testlerini (SAST ve DAST) çalıştırmak, yıllık kod donmadan önce güvenlik açıklarını belirlemenin en iyi yoludur. Bu iki test, uygulamaları farklı yönlerden inceler. SAST, SQL enjeksiyonu gibi yazılım kusurlarına odaklanırken DAST, kötü niyetli kişilerin yararlanabileceği zayıflıkları bulur.
Perakendeciler, ödeme ağ geçitleri, giriş alanları ve hatta temel Web kodları gibi kritik ve yüksek trafikli uygulamalar üzerindeki testlere odaklanmalıdır.
Üçüncü Taraf Satıcılara Göz Atmak
Bu senenin başlarında, Otomobil üreticisi Toyota üretimini durdurdu Bir plastik ve elektronik tedarikçisi siber saldırıya uğradıktan sonra. Durdurulan üretim, şirkete yaklaşık 13,000 araca mal oldu. Üretim kaybı maliyetli gibi görünse de, gerçek bir ihlalle karşılaştırıldığında ödenecek küçük bir bedeldir.
Bu gösteriyor ki üçüncü taraf risk yönetimi (TPRM), birçok kuruluş için güvenlik açısından yeterince hizmet verilmeyen bir alan olmaya devam ediyor ve perakendecilerin hâlâ TPRM'ye öncelik vermesi ve örnek olay çalışmasından ders alması gerekiyor.
TPRM ve satıcı risk yönetimi anketleri, ortak kuruluşların güvenlik duruşunun değerlendirilmesine yardımcı olur. Kurumsal düzeydeki anketlerin çoğunda 1,000'e kadar soru bulunur, ancak ele alınması gereken öncelikli alanlar şunlardır: bilgi güvenliği, veri merkezi güvenliği, Web uygulaması güvenliği, altyapı koruması ve güvenlik kontrolleri ve teknolojisi.
Perakendeciler, üçüncü taraf entegrasyonlarını da içeren kendi kodları üzerinde düzenli olarak testler yürütürken, bu testler kendi ağlarının sınırlarını aşmıyor. Perakendeciler Satıcılarından tam kod penetrasyon testi yapmalarını talep etmek yılda iki kez ve ortakları kodları güncellediğinde veya değiştirdiğinde her gece test ediliyor.
Yeteneğin Dönen Kapısına Rağmen Güvenlik Eğitimlerinin Sürdürülmesi
Eğitim şüphesiz perakendeciler için en zor kısımdır. büyük istifa siber güvenliğin küçük bir bileşeni olduğu şirketleri eğitim ve işe alım süreçlerini yeniden değerlendirmeye zorladı. Ancak Verizon'un analiz ettiği ihlallerin %82'si “Veri İhlali Araştırmaları Raporu” insan unsuru içeriyordu. Bu durum çalışanların eğitimini her zamankinden daha önemli hale getiriyor.
Yerleşik perakendecilerin muhtemelen bir tür siber güvenlik farkındalık programı vardır. Ancak bunu genişletebilirler (ve genişletmeliler). Siber güvenlik ekipleri sızma testindeki boşlukları tespit ettiğinde bu bulguları çalışanlarla paylaşabilir ve bu güvenlik açıklarının nasıl manipüle edilebileceğini açıklayabilir. Bu düzeyde şeffaflık, çalışanların kurumun ve tüketicilerin verilerinin korunmasındaki rollerini anlamalarına yardımcı olur.
Şifre Güvenliği Üstünlüğü
Ve son olarak ama kesinlikle en önemlisi, çalışan programında: şifreler. Parola güvenliği hala temel bir sorundur Günümüzde meydana gelen şaşırtıcı miktardaki veri ihlallerine yol açan veya bu ihlallerde önemli bir rol oynayan. Çalınan kimlik bilgileri, tehdit aktörlerinin bilgiye erişmesinin en kolay yollarından biridir. Güvenliği ihlal edilen kimlik bilgileri bunun nedenidir % 19 veri ihlali (PDF). Üzücü kısmı ise Tüketicilerin 45% 'si Şifre paylaşımını ciddi bir sorun olarak görmeyin. Perakendeciler iyi şifre hijyeni önceliğini güçlendirmeli ancak aynı derecede önemli olan, mümkün olan her yerde ve her yerde çok faktörlü kimlik doğrulamayı (MFA) uygulamalıdır.
Pek çok perakendeci, enflasyon ve personel sıkıntısının önüne geçmek için şimdiden tatil indirimlerine başladı. Ancak yıl sonuna doğru yaşanan bu koşuşturmada güvenlik duruşlarını da unutmamaları gerekiyor. Kuruluşlar, uygulama testlerine SAST ve DAST'ı dahil ederek siber güvenliği satışları artırmak kadar önemli bir öncelik haline getirmelidir; üçüncü taraf risklerinin izlenmesi ve yönetilmesi; ve MFA kullanılarak eğitim ve uygun kimlik doğrulama yoluyla kimlik bilgilerinin güvenliğinin sağlanması.
