揭开零售业的云安全和电子商务风险在这个假期

2021年11月24日 山姆Flaster

零售业的云安全和电子商务在这个假期面临风险

持续的供应链问题, 运输延误和当前的其他现实情况结合在一起,延长了2021年假日购物季的持续时间. 尽管零售商们正在努力调整,但节日庆祝还是有理由的 国家零售联盟 据估计,2021年假期销售额将增长8.5% to 10.5%从2020年.

无论是在实体店还是在网上,消费者都在踊跃购物. 为客户提供全方位的购物体验, 零售商正在利用云托管电子商务网站和应用程序的运营效率来改善客户体验. 以下是一些例子:

  • 实时库存跟踪与云托管数据库和应用程序
  • 通过云托管的大数据和机器学习服务提供个性化的购物体验
  • 更好的电子商务网站性能和可用性,在购物高峰期间具有基础设施即服务(IaaS)环境中的自动伸缩功能, 包括serverless功能

尽管有这些优势, 零售商必须警惕那些试图利用大型购物节的攻击者, 包括试图获得对云托管系统的未经授权的访问. 事实上,正如FBI所警告的那样 越来越多的骗局和欺诈, 对于拥抱云的零售商来说,他们也能充分利用这个购物季节, 安全仍然是首要任务. 根据 IBM, 数据泄露的代价 零售商增加了62个.平均成本为3美元.2700万年.

云托管的PII提高了电子商务安全漏洞的风险(和成本)

无论客户在哪里进行交易——当面交易还是在线交易——许多零售商都将个人身份信息(PII)和支付细节存储在公共云中,以提高存储和处理的成本效率. 对攻击者, 这提供了很大的机会:对正确的数据库或云存储系统的一次成功攻击可能导致毁灭性的后果, 深远的后果-从财务损失和法律行动,声誉损害和客户信任的损失.

此外,由于零售商收集信用卡信息,他们受到 PCI(支付卡行业)数据安全标准, 是什么迫使他们“确保关键数据只能被授权人员访问?, 必须有系统和过程来限制访问.“未能保护这些数据, 甚至无意中, 零售商会受到罚款和其他惩罚吗.

零售业的五个常见网络弱点

最近的数据显示,数据泄露在零售业越来越普遍. 在动态云环境中,风险因素很容易复合, 而快速引入新的云提供商服务可能会加速出现安全错误和错误配置的可能性. 零售领域最常见的弱点包括:

  • 来自错误配置的授权的过多的PII访问. 云快速变化的特性意味着资源通常被配置为授予人和机器身份过多的访问权限. 攻击者和恶意内部人员可以利用拥有过多权限的身份访问关键的云基础设施, 窃取或更改敏感数据或中断云托管服务. 的原则 最小特权访问 这里的关键是——所有的身份都应该只有最低限度的必要权限来执行它们想要的功能吗.
  • 节日购物高峰期间的事件驱动扩展. 许多零售商利用 serverless功能 事件驱动的电子商务网站架构, 在需求高峰时触发缩放过程,如黑色星期五或 网络星期一. 这种快速扩展可以最小化网站延迟,优化客户的购物体验. 但无服务器的功能也可以是 在攻击者手中是出了名的强大. 正因为这个原因, 实现最小权限对于所有主要公共云提供商的所有无服务器功能来说都是至关重要的.
  • 内部身份和访问管理(IAM)执行的差距. 如果一个不受保护的 员工身份 对云资源的敏感访问受到损害, 攻击者可以获得对这些资源的访问. 除了跨系统强制最小权限外,强制 多因素身份验证 对于所有员工来说,访问云环境可以通过减少证书被盗的风险来提供额外的安全层.
  • 硬编码程序的秘密. 现代电子商务应用程序是机器身份之间复杂交互的结果. 电子商务网站建立在彼此之上, 与Paypal等支付服务整合, 确认或Klarna. 在构建电子商务应用程序时,开发人员有时可以 在代码中嵌入秘密(凭证、密码、密钥和令牌)使他们暴露在潜在的攻击者面前. 贯穿DevOps管道和电子商务软件供应链, 所有硬编码的秘密都应该被安全管理,并以编程方式轮换,以减少泄露的风险.
  • 电子商务网站的漏洞. 攻击者还寻找简单的方法来利用电子商务网站中的常见漏洞. 没有适当的安全措施, 零售商很容易受到诸如分布式拒绝服务(DDoS)等攻击。, SQL注入和电子浏览——所有这些都可以扰乱业务,并可能让攻击者访问有价值的客户数据. 零售商应该遵循 互联网安全中心 (CIS)减轻这些风险的最佳实践.

安全云计算和最大限度减少假日电商中断的步骤

幸运的是, 在这个假日季节,有一些既定的控制措施可以帮助零售商加强其云环境的安全性. 查阅电子书"零售和电子商务:巩固你的品牌和锁定消费者信心来探索最佳实践. 您还将了解您的零售组织如何“展开”新的运营优势并推动安全, 云的快速扩张与统一 身份安全.

 

前一篇文章
身份和访问管理正在改变:这是它的发展方向
身份和访问管理正在改变:这是它的发展方向

正规博十大app排名生活在一个激动人心、充满活力的世界,这个世界由快速发展的技术所驱动. 增加一个...

下一篇文章
如何使用MITRE ATT&CK框架对抗勒索软件攻击
如何使用MITRE ATT&CK框架对抗勒索软件攻击

中国军事将领孙子的著作《正规博十大app排名》多年来被数以百万计的人引用...

Gartner将CyberArk列为PAM 2021年魔术象限的领导者

立即下载