Безпека бізнесу
Хоча вже занадто пізно вносити повні зміни в політику безпеки, не завадить по-новому поглянути на те, де знаходяться найбільші загрози та які найкращі практики можуть допомогти їх нейтралізувати
Листопад 28 2023 • , 6 хв. читати
Сезон святкових покупок розпочався по-справжньому. Тоді як роздрібні торговці зосереджені на боротьбі за обсяг продажів оцінюється в 1.5 трильйона доларів цього року (і це лише для США), їх наполеглива робота може зійти нанівець, оскільки недостатньо уваги приділяється кібербезпеці.
чому Тому що зараз найкращі та найгірші часи для ІТ-команд роздрібної торгівлі. Найактивніша пора року для клієнтів також є a магніт для кіберзлочинців. І хоча на даному етапі може бути надто пізно вводити повні зміни в політику безпеки, не завадить по-новому поглянути на те, де знаходяться найбільші загрози, і які найкращі практики можуть допомогти їх нейтралізувати.
Чому роздріб, чому зараз?
Кіберзлочинці вже давно отримують особливе ставлення до роздрібних торговців. А найжвавіший шопінг-період року вже давно представляє чудову нагоду для страйку. Але чому?
- Роздрібні торговці зберігають особисту та фінансову інформацію про своїх клієнтів, яку можна монетизувати. Просто подумайте про всі ці дані картки. Не дивно, що всі (100%) витоку роздрібних даних проаналізовано Verizon за останній рік керувалися фінансовими мотивами.
- Сезон святкових покупок є найважливішим періодом року для роздрібних торговців з точки зору прибутку. Але це означає, що вони більше вразливі до кіберзагроз, таких як програми-вимагачі або розподілена відмова в обслуговуванні (DDoS), призначені для вимагання грошей шляхом відмови в обслуговуванні. Крім того, конкуренти можуть запускати DDoS-атаки, щоб позбавити своїх суперників життєво важливих звичаїв і прибутку.
- Найбільш завантажена пора року означає, що співробітники, особливо напружені ІТ-команди, більше зосереджені на підтримці бізнесу, щоб отримати якомога більший дохід, ніж на пошуку кіберзагроз. Вони можуть навіть налаштувати внутрішні фільтри шахрайства, щоб дозволити схвалювати великі покупки без перевірки.
- Роздрібні торговці все більше покладаються на цифрові системи для створення багатоканальної торгівлі, включаючи хмарне бізнес-програмне забезпечення, пристрої Інтернету речей у магазині та мобільні додатки для клієнтів. Роблячи це, вони (часто мимоволі) розширюють потенційну поверхню атаки.
Не забуваймо, що один із найбільші у світі зареєстровані витоки даних відбувся та був оголошений під час святкового сезону 2013 року, коли хакери викрали 110 мільйонів записів про клієнтів у американського роздрібного магазину Target.
Які найбільші кіберзагрози для роздрібних торговців цього святкового сезону?
Мало того, що роздрібні торговці повинні захищати більше поверхню атаки, вони також повинні боротися з дедалі більшою різноманітністю тактик, технік і процедур (TTP) від певного набору супротивників. Цілі нападників – або викрадати дані клієнтів і співробітників, вимагати/зривати ваш бізнес через DDoS, здійснювати шахрайство або використовувати ботів, щоб отримати конкурентну перевагу. Ось деякі з основних роздрібних кіберзагроз:
- Порушення даних може виникнути через вкрадені/зламані/фішингові облікові дані співробітника або використання вразливості, особливо у веб-додатках. Результатом є значні фінансові та репутаційні збитки, які можуть зірвати плани зростання та доходи.
- Цифровий скімінг (тобто атаки Magecart) виникає, коли зловмисники використовують уразливості, щоб вставити шкірний код безпосередньо на ваші платіжні сторінки або за допомогою стороннього постачальника програмного забезпечення/віджета. Такі атаки часто важко помітити, тобто вони можуть завдати невимовної шкоди репутації. Згідно з даними, минулого року на них припадало 18% порушень даних роздрібної торгівлі Verizon.
- вимагачів є однією з головних загроз для роздрібних торговців, і протягом цього напруженого сезону учасники загроз можуть активізувати свої атаки в надії, що більше компаній будуть готові платити за повернення та розшифрування своїх даних. Особливо малого та середнього бізнесу знаходяться під прицілом, оскільки їхній контроль безпеки може бути менш ефективним.
- DDoS залишається популярним способом вимагання та/або зриву роздрібних торговців. Минулого року, сектор був на хвилі майже п’ятої частини (17%) цих атак – зростання на 53% порівняно з минулим роком, з піком, поміченим під час Чорної п’ятниці.
- Атаки ланцюга поставок може бути орієнтована на цифрового постачальника наприклад компанія, що займається програмним забезпеченням, або навіть сховище з відкритим кодом. Або вони можуть бути спрямовані на більш традиційний бізнес у сфері професійних чи навіть клінінгових послуг. Порушення цілі стало можливим, коли хакери вкрали мережеві облікові дані постачальника систем опалення, вентиляції та кондиціонування.
- Захоплення облікових записів (ATO) зазвичай увімкнено вкрадені, підроблені або зламані облікові дані. Це може бути початком великої спроби витоку даних або воно може бути спрямоване на клієнтів, у розповсюдженні облікових даних чи інших кампаніях грубої сили. Як правило, тут використовуються шкідливі боти.
- Інші погані атаки ботів включають скальпування (коли суперники скуповують товари, які користуються попитом, для перепродажу за вищою ціною), шахрайство з платіжними/подарунковими картками та скидання цін (що дозволяє конкурентам знижувати ваші ціни). Шкідливі боти включають близько 30% усього інтернет-трафіку сьогодні, з двома третинами веб-сайтів Великобританії неможливо заблокувати навіть прості напади. там було збільшення на 50%. у поганому трафіку ботів у святковий сезон 2022 року.
- Інтерфейси (Application Programming Interface) є основою цифрової трансформації роздрібної торгівлі, що забезпечує більш зв’язаний і бездоганний досвід роботи клієнтів. Але вразливості та неправильні конфігурації також можуть забезпечити простий шлях для хакерів до даних клієнтів.
Як роздрібні торговці можуть захистити себе від кіберризиків
У відповідь на це роздрібні торговці повинні збалансувати безпеку з продуктивністю співробітників і зростанням бізнесу. Це не завжди легкий розрахунок, особливо з огляду на високу вартість життя, яка чинить дедалі більший тиск на пошуки прибутку. Але це можна зробити. Ось 10 найкращих практик, які варто взяти до уваги:
- Регулярне навчання персоналу: Це само собою зрозуміло. Забезпечте свій співробітники можуть помітити навіть складні фішингові атаки і ви матимете зручну останню лінію захисту.
- Аудит даних: Зрозумійте, що у вас є, де це зберігається, куди тече та як це захищено. Це має бути зроблено в будь-якому випадку в рамках відповідності GDPR.
- Надійне шифрування даних: Виявивши та класифікувавши свої дані, застосуйте надійне шифрування до найбільш конфіденційної інформації. Це слід робити на постійній основі.
- Керування виправленнями на основі ризиків: Важливість виправлення програмного забезпечення не можна недооцінити. Але сама кількість нових уразливостей, які публікуються щороку, може бути надзвичайною. Автоматизовані системи, засновані на оцінці ризиків, повинні допомогти оптимізувати процес і визначити пріоритетність найважливіших систем і вразливостей.
- Багаторівневий захист: Розгляньте засоби захисту від шкідливих програм та інші можливості на сервері, кінцевій точці, мережі електронної пошти та хмарному рівні як профілактичний бар’єр для кіберзагроз.
- XDR: Для загроз, яким вдається обійти профілактичні засоби контролю, переконайтеся, що є надійне розширене виявлення та реагування (XDR), що працює на кількох рівнях, зокрема для підтримки полювання на загрози та реагування на інциденти.
- Безпека ланцюга поставок: Перевірте всіх постачальників, у тому числі цифрових партнерів і постачальників програмного забезпечення, щоб переконатися, що їх рівень безпеки відповідає вашій схильності до ризику.
- Сильний контроль доступу: Менеджери паролів для надійних, унікальних паролів і багатофакторної автентифікації є обов’язковими для всіх конфіденційних облікових записів. Разом із XDR, шифруванням, сегрегацією мережі та запобіжним контролем вони складають основу a Підхід до безпеки Zero Trust.
- Аварійне відновлення/планування безперервності бізнесу: Перегляд планів допоможе переконатися, що потрібні бізнес-процеси та технологічні інструменти.
- Планування реагування на інциденти: Переконайтеся, що ваші плани надійні та регулярно перевіряються, щоб кожна зацікавлена сторона знала, що робити в найгіршому випадку, і не витрачався час на реагування на загрозу та її стримування.
Для переважної більшості, якщо не для всіх роздрібних продавців, відповідність PCI DSS також буде важливою вимогою для бізнесу. Вважайте це можливістю, а не тягарем. Його детальні вимоги допоможуть вам створити більш зрілу систему безпеки та мінімізувати ризики. Такі технології, як надійне шифрування, також можуть допомогти зменшити вартість і адміністративний тягар відповідності. Щасливих свят.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/business-security/retail-risk-top-threats-facing-retailers-holiday-season/
- : має
- :є
- : ні
- :де
- $UP
- 10
- 2013
- 2022
- 36
- 7
- a
- доступ
- За
- звітності
- Рахунки
- через
- актори
- адміністративний
- Перевага
- проти
- спрямований
- ВСІ
- дозволяти
- по
- Також
- завжди
- an
- проаналізовані
- та
- оголошений
- будь-який
- апетит
- додаток
- застосування
- Застосовувати
- затверджений
- ЕСТЬ
- AS
- At
- атака
- нападки
- спроба
- увагу
- аудит
- Authentication
- Автоматизований
- назад
- поганий
- Balance
- бар'єр
- основа
- BE
- оскільки
- було
- почався
- КРАЩЕ
- передового досвіду
- найбільший
- Black
- Чорна п'ятниця
- Бот
- боти
- порушення
- порушення
- груба сила
- будувати
- тягар
- бізнес
- підприємства
- зайнятий
- але
- купити
- by
- розрахунок
- Кампанії
- CAN
- можливості
- карта
- випадок
- Категорія
- ланцюг
- Зміни
- обійти
- класифікований
- Очищення
- хмара
- код
- Приходити
- Торгівля
- commit
- компанія
- конкурентоспроможний
- конкурентів
- дотримання
- підключений
- Вважати
- безперервність
- безперервний
- управління
- Коштувати
- може
- тріщини
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- виготовлений на замовлення
- клієнт
- Клієнти
- кібер-
- кіберзлочинці
- Кібербезпека
- кіберзагрози
- пошкодження
- дані
- Дані порушення
- Порушення даних
- DDoS
- оборони
- deloitte
- призначений
- докладно
- деталі
- Виявлення
- певний
- прилади
- цифровий
- цифрове перетворення
- безпосередньо
- відкритий
- Зривати
- розподілений
- do
- Ні
- справи
- зроблений
- керований
- під час
- e
- кожен
- легко
- Ефективний
- або
- Співробітник
- співробітників
- включений
- дозволяє
- шифрування
- Кінцева точка
- досить
- забезпечувати
- особливо
- істотний
- оцінка
- Навіть
- НІКОЛИ
- Кожен
- розширюється
- Досліди
- Експлуатувати
- експлуатація
- піддаватися
- експонування
- облицювання
- Фільтри
- фінансовий
- фінансова інформація
- Потоки
- увагу
- для
- Примусово
- форма
- шахрайство
- свіжий
- п'ятниця
- від
- Отримувати
- GDPR
- Відповідність GDPR
- отримати
- Go
- Цілі
- Золотий
- товари
- Зростання
- хакери
- мобільний
- щасливий
- Жорсткий
- важка робота
- Мати
- Серце
- допомога
- тут
- Високий
- вище
- дуже
- тримати
- свято
- канікули
- надія
- Як
- HTML
- HTTPS
- Полювання
- Біль
- i
- if
- значення
- важливо
- in
- про запас
- інцидент
- реагування на інциденти
- включати
- У тому числі
- в тому числі цифрові
- все більше і більше
- інформація
- інтерфейс
- внутрішній
- інтернет
- вводити
- КАТО
- прилади іоту
- IT
- ЙОГО
- JPG
- просто
- знає
- великий
- більше
- останній
- Минулого року
- Пізно
- запуск
- шар
- шарів
- менше
- як
- Лінія
- життя
- Довго
- подивитися
- шукати
- made
- головний
- основний
- Більшість
- зробити
- управляти
- управління
- Менеджери
- зрілий
- макс-ширина
- Може..
- сенс
- засоби
- може бути
- мільйона
- хвилин
- Mobile
- Мобільні програми
- гроші
- більше
- найбільш
- мотив
- багато
- множинний
- повинен
- майже
- Необхідність
- мережу
- Нові
- немає
- листопад
- зараз
- номер
- of
- часто
- Омні-канал
- on
- один раз
- ONE
- тільки
- відкрити
- з відкритим вихідним кодом
- Можливість
- or
- Інше
- з
- над
- пригнічує
- сторінок
- оплачувану
- частина
- приватність
- партнери
- Паролі
- Минуле
- пластир
- Виправлення
- Платити
- оплата
- period
- персонал
- перспектива
- ФІЛ
- phishing
- місце
- планування
- плани
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- популярний
- це можливо
- потенціал
- практики
- підготовлений
- тиск
- price
- ціни
- Пріоритетність
- Процедури
- процес
- процеси
- продуктивність
- професійний
- Програмування
- захищений
- Захисні
- забезпечувати
- опублікований
- Купівля
- Поклавши
- вимагачів
- швидше
- отримання
- записаний
- облік
- зменшити
- регулярно
- покладатися
- залишається
- Сховище
- представлений
- репутація
- вимога
- Вимога
- відповідаючи
- відповідь
- результат
- роздрібна торгівля
- роздрібний продавець
- роздрібної торгівлі
- revenue
- рецензування
- право
- Зростання
- Risk
- апетит до ризику
- суперників
- Маршрут
- приказка
- Скальпінг
- сценарій
- огляд
- безшовні
- Сезон
- сектор
- безпеку
- політики безпеки
- чутливий
- сервер
- обслуговування
- Послуги
- комплект
- покупка
- Повинен
- простий
- скиммінг
- So
- Софтвер
- деякі
- складний
- Source
- спеціальний
- Spot
- Персонал
- Стажування
- зацікавлені сторони
- старт
- ніжка
- вкрав
- зберігати
- раціоналізувати
- удар
- сильний
- начинка
- такі
- постачальник
- постачальники
- підтримка
- Підтримуючий
- поверхню
- сюрприз
- Systems
- тактика
- Приймати
- Мета
- команди
- методи
- Технології
- Технологія
- перевірений
- ніж
- Що
- Команда
- їх
- Їх
- самі
- Там.
- Ці
- вони
- думати
- третя сторона
- це
- У цьому році
- ті
- загроза
- актори загроз
- загрози
- через
- час
- times
- до
- сьогодні
- занадто
- прийняли
- топ
- традиційний
- трафік
- Навчання
- Перетворення
- лікування
- трильйон
- Довіряйте
- щипати
- дві третини
- типово
- Uk
- розуміти
- створеного
- Нерозказаний
- us
- використання
- використовуваний
- різноманітність
- величезний
- постачальники
- Verizon
- через
- життєво важливий
- Уразливості
- вразливість
- було
- даремно
- Водонепроникний
- шлях..
- Web
- веб-додатки
- веб-сайти
- були
- Що
- коли
- який
- в той час як
- оптова торгівля
- чому
- волі
- з
- без
- Work
- робочий
- найгірше
- XDR
- Yahoo
- рік
- Ти
- вашу
- зефірнет