随着假期的临近,消费者和零售商并不是唯一为这个季节做准备的人。网络犯罪分子正紧随其后。众所周知,主要的消费者假期——从亚马逊 Prime Day 到年终假期冲刺——都为威胁行为者带来了巨大的目标。对今年黑色星期五的预测显示,在线支出将达到 的美元13亿元.
这对于不良行为者来说是一个有利可图的机会。
今年,零售商已经面临通货膨胀、即将到来的经济衰退和迫在眉睫的数据隐私立法。他们根本买不起 4.35 百万美元 违反。
今年安全性有限 Ho-Ho-Ho?
零售商必须将安全状况放在首位。这意味着实施有效的检测和响应;寻找漏洞 before 每年这个时候,零售业的变化都会冻结;管理第三方风险;并确保员工获得所需的培训。
在疯狂冲刺之前找到最薄弱的环节
零售商通常会在一月的第二周或第三周的假期高峰前一到两个月实施硬变革冻结。这可以防止在一年中最繁忙和最重要的销售日实施任何重大系统更改(影响消费者体验)。
在硬变更冻结之前的几周内,开发人员经常试图对代码或基础设施进行最后一次变更。这种在截止日期前的匆忙有时可能会出现错误,导致未打补丁和未经测试的系统容易受到攻击。网络犯罪分子对这些艰难的变化冻结季节太熟悉了,并且经常在这个窗口期间进行攻击。
作为常规应用程序测试计划的一部分运行静态和动态应用程序安全测试(SAST 和 DAST)是在年度代码冻结之前识别漏洞的最佳方法。这两个测试从不同方面检查应用程序。 SAST 专注于 SQL 注入等软件缺陷,而 DAST 则发现不良行为者可以利用的弱点。
零售商应重点测试关键和高流量的应用程序,例如支付网关、输入字段,甚至核心 Web 代码。
密切关注第三方供应商
今年早些时候, 汽车制造商丰田停止生产 一家塑料和电子产品供应商遭受网络攻击后。停产使该公司损失了大约 13,000 辆汽车。虽然生产损失可能看起来代价高昂,但与实际的违规行为相比,这只是一个很小的代价。
这表明 第三方风险管理 对于许多组织来说,TPRM (TPRM) 仍然是一个服务不足的领域,零售商仍然必须优先考虑 TPRM 并从案例研究中学习。
TPRM 和供应商风险管理调查问卷有助于评估合作组织的安全状况。许多企业级调查的问题多达 1,000 个,但应解决的主要领域是:信息安全、数据中心安全、Web 应用程序安全、基础设施保护以及安全控制和技术。
虽然零售商定期对自己的代码(包括第三方集成)运行测试,但它不会超出自己网络的边界。零售商应该 要求其供应商运行完整的代码渗透测试 每两年一次,并在其合作伙伴更新或更改代码时每晚进行测试。
尽管存在人才旋转门,仍维持安全培训
对于零售商来说,培训无疑是最难的部分。这 伟大的辞职 迫使公司重新评估他们的培训和入职流程,其中网络安全只是其中的一小部分。然而,Verizon 的“分析了 82% 的违规行为”数据泄露调查报告” 涉及人为因素。这使得员工培训比以往任何时候都更加重要。
老牌零售商可能已经制定了某种网络安全意识计划。但他们可以(而且应该)对此进行扩展。当网络安全团队发现渗透测试中的漏洞时,他们可以与员工分享这些发现,并解释如何操纵这些漏洞。这种程度的透明度有助于员工了解他们在保护企业和消费者数据方面的角色。
密码安全至关重要
最后但同样重要的是,在员工计划中:密码。 密码安全仍然是核心问题 导致当今发生的数量惊人的数据泄露或在其中发挥关键因素。被盗凭证是威胁行为者获取信息的最简单方法之一。凭据泄露的原因是 19%的数据泄露 (PDF)。可悲的部分是 45%的消费者 不要将密码共享视为严重问题。零售商应强调良好的密码卫生的优先级,但同样重要的是,他们应尽可能在任何地方实施多重身份验证 (MFA)。
许多零售商已经开始假日销售,以应对通货膨胀和人员配置问题。但在这匆忙的年底期间,他们绝不能忘记自己的安全状况。组织必须将网络安全与推动销售同等重要,将 SAST 和 DAST 纳入应用测试中;监控和管理第三方风险;通过使用 MFA 进行培训和正确的身份验证来保护凭证。
