+ Shopolog
Новости Всё о маркетинге интернет-магазина

Разработка RSS

Безопасность в ритейле: угрозы и методы борьбы с ними

Предновогодние скидки привлекают в магазины не только покупателей, бьет рекорды и сезонная активность хакеров. Чтобы очередная пятница не стала для организации по-настоящему черной, стоит подумать о мерах безопасности.

В ИТ-системах крупных ритейлеров хранятся персональные данные покупателей, их платежные реквизиты, сведения о поставщиках и другая информация, составляющая коммерческую тайну. Интернет-сервисы доступны любому желающему, а внутренние сети магазинов не всегда должным образом защищены. Все это делает сферу торговли одной из самых лакомых для хакеров отраслей.

Мобильные приложения необходимо проверять анализаторами кода

Путь хакерам в информационные системы торговой сети часто открывают безобидные на первый взгляд фирменные мобильные приложения из Apple AppStore и Google (сайт нарушает закон РФ) Play. Клиентское приложение может содержать уязвимости, появляющиеся из-за того, что код написан с ошибками. И следствием подобных уязвимостей, может быть возможность извлечения конфиденциальной информации. Были даже случаи, когда некоторые аутентификационные данные жестко вшивались в код, но и без того приложение станет хорошим подспорьем для поиска уязвимостей в сервисе.

Методы защиты

Бороться с небезопасными приложениями помогают инструменты для автоматизированного анализа: статического или динамического. В первом случае с помощью специализированных программ-сканеров исследуются исходные тексты, а во втором — работающие приложения. Разные методы выявляют различные ошибки, поэтому они не взаимозаменяемы. С помощью статического анализа можно найти, например, небезопасные участки кода, которые позволяют злоумышленнику выполнять произвольный JavaScript на мобильном устройстве или команды shell на сервере. Сканер кода обнаружит и другие потенциальные уязвимости, которые видны только в исходниках, однако работу приложения на ходу с его помощью не изучишь. Динамический сканер напоминает продвинутый отладчик, ориентированный на поиск уязвимостей: он позволяет увидеть, если где-то возникает переполнение буфера или другая проблема, проявляющаяся во время работы приложения. Есть также инструменты, автоматически декомпилирующие файлы apk и автоматически их анализирующие.

Приватные данные обрабатываются на мобильных устройствах

В ритейле эта проблема проявляется особенно остро, потому что смартфоны и планшеты с доступом к закрытым корпоративным информационным системам есть у многих работающих в «поле» сотрудников: продавцов, торговых представителей, водителей, экспедиторов, кладовщиков и разнообразных менеджеров. Сложность связана еще и с тем, что мобильные устройства часто покидают пределы защищенного периметра. К примеру сотрудники дистрибьюторов постоянно берут их с собой, выезжая к клиентам — в случае утери или кражи устройства злоумышленники могут получить доступ к базе поставщиков, информации о складских остатках, данным покупателей и даже к финансовой информации. Сами приложения, как и в предыдущем случае, могут быть реализованы небезопасно, что позволит хакерам получить сведения об устройстве закрытых для публичного доступа систем.

Методы защиты

Использовать решения, изолирующие корпоративные данные от личных и системных в защищенных криптоконтейнерах. Такие продукты управляют мобильными устройствами на основе заданных администратором политик: они помогают найти утерянный смартфон или удаленно стереть с него все данные. В ритейле редко практикуют BYOD для доступа к торговым системам — полевые сотрудники обычно работают с корпоративными устройствами. В этом случае уже не нужно их согласия для установки программ удаленного контроля. Подключенные к корпоративным ИТ-системам личные устройства встречаются разве что в бэкофисе или у топ-менеджеров, но это уже типовой кейс. Для ритейла он не специфичен.

Хакеры крадут аккаунты и персональные данные покупателей

Клиенты часто используют одни и те же логины и пароли для разных сервисов, в итоге эти данные оказываются в одной из доступных для покупки в даркнете баз. Дальше хакеры могут атаковать сайт магазина, чтобы с помощью перебора получить доступ к аккаунтам пользователей. Данные банковских карт таким способом извлечь не удастся, но можно, например, воспользоваться баллами в бонусной программе, оплатить покупку с привязанной к аккаунту карты или присвоить купленный пользователем контент. Уязвимости в сервисах ритейлеров используются и для массовых краж персональных данных: крупных утечек год от года становится только больше.

Методы защиты

Для поиска брешей в защите стоит использовать внешнюю экспертизу: специалисты профильной компании помогут провести аудит системы обеспечения информационной безопасности. Не стоит забывать и о тестах на проникновение — это одна из самых эффективных методик обнаружения уязвимостей. От беспечности пользователей она, увы, не спасет, но с этим можно бороться только повышая информированность людей. Крайне желательно при этом, чтобы общедоступные сервисы ритейлера позволяли включить двухфакторную аутентификацию через SMS или с помощью специального приложения, особенно если угон аккаунта клиента может привести к прямым финансовым потерям.

Еще один важный элемент защиты интернет-магазинов — Web Application Firewall, использующий технологию машинного обучения и профилирование для защиты от атак на сайты.

DDoS по-прежнему популярен в войнах конкурентов

Перебои в работе крупного интернет-магазина приводят к существенным убыткам. Если с наплывом покупателей во время сезонных распродаж онлайн-ритейлеры справляться научились, то DDoS-атаки до сих пор остаются серьезной проблемой. Разделить их можно на два типа. В первом случае злоумышленники, условно говоря, пингуют сайт с многочисленных узлов ботнета, а во втором проводят «медленные запросы», имитируя работу клиентов. В даркнете такие атаки можно заказать за относительно небольшие деньги, чем иногда пользуются нечистые на руку конкуренты.

Методы защиты

Чтобы отбить массированную DDoS-атаку, нужны комплексные меры, включающие как собственные инструменты, так и специализированные сервисы внешних провайдеров. На стороне внешнего сервиса проводится первичная очистка трафика от флуда, а для обработки прошедших фильтрацию медленных запросов применяются надежные локальные решения.

Публичный Wi-Fi и атака «человека посередине»

Во многих магазинах и торговых центрах покупателям доступен бесплатный Wi-Fi. Злоумышленник может организовать поддельную беспроводную сеть с похожим или аналогичным SSID (названием), чтобы перехватывать трафик подключившихся к ней клиентов. С помощью атаки вида man in the middle хакеры крадут учетные записи пользователей и даже платежные данные. Дорогостоящее оборудование им не требуется — хватит и обычного ноутбука с Kali Linux и мобильным модемом для доступа в интернет. Это довольно серьезная проблема, потому что рядовые пользователи крайне редко включают надежный VPN в публичных хотспотах. Для ритейла здесь возникают репутационные риски: если нет защиты от атаки «человек посередине», то хакер может воспользоваться этим и пустить через свой ноутбук трафик посетителей. В случае недостаточных мер по изоляции публичной сети и внутренней инфраструктуры злоумышленники могут добраться и до критичных ИТ-систем самого ритейлера.

Методы защиты

Отследить сидящего с ноутбуком где-нибудь в ресторанном дворике злодея непросто, поэтому традиционные физические меры безопасности здесь бесполезны. Необходимо использовать для организации публичных беспроводных сетей безопасные аппаратно-программных решения, включающие точки доступа с сенсорами. Они смогут не только определить наличие нелегитимных сетей поблизости и отправить сообщение персоналу, но и при необходимости заглушат вражеские точки доступа своим сигналом. Кроме того, публичные сети должны быть надежно изолированы от внутренней инфраструктуры ритейлера. Вход в публичный Wi-FI можно организовать с помощью «captive portal», используя в том числе, аутентификацию через аккаунты в социальных сетях, что также позволит давать таргетированную рекламу посетителям.

Слабая защита внутренних беспроводных сетей ведет к утечкам данных

Для подключения торгового оборудования и разнообразных мобильных терминалов в крупных магазинах часто разворачивают внутренние сети Wi-Fi. Желая сэкономить, владельцы закупают для них обычное бытовое оборудование и используют ненадежные методы аутентификации. Технический персонал не следит за своевременным обновлением прошивок устройств, очень часто даже не меняет установленные в них по умолчанию пароли. Проведенные нами в нескольких торговых сетях тесты на проникновение показали плачевное состояние систем безопасности беспроводного сегмента корпоративные сетей в магазинах. В результате взлома хакеры могут получить закрытую коммерческую информацию, проникнуть в сеть бэкофиса, а в ряде случаев добраться и до персональных или платежных данных клиентов.

Методы защиты

Необходимы усиленные меры безопасности, вроде двухфакторной аутентификации, а также использование защиты WPA Enterprise. Построенную на бытовых решениях и обычном WPA2 беспроводную сеть несложно вскрыть при помощи брутфорса. Требуются также общие меры по защите не только внешнего периметра, но внутренних границ различных сегментов сети: интеллектуальные сетевые экраны, распознавание атак с использованием threat intelligence, поведенческий анализ и прочие современные методики. Генерирующие подозрительный трафик устройства должны быть изолированы и проверены вручную.

Большие масштабы ведут к большим затратам на безопасность

Главная проблема крупного ритейла связана с высокой ценой внедрения даже простых решений. Если компании нужно поставить в каждый из 500 магазинов сетевой экран за $500, стоимость закупки оборудования взлетает до четверти миллиона долларов. Другая проблема связана со сложностью обслуживания распределенной инфраструктуры. У магазинов может быть несколько каналов связи, различные изолированные сегменты сети и разнообразное оборудование. Слишком затратно держать на каждой точке (или в каждом городе) высококлассных специалистов для развертывания и обслуживания систем — приходится искать баланс между безопасностью и разумностью инвестиций, а оценка рисков в крупном ритейле приобретает особую актуальность.

Методы защиты

Централизованная архитектура, унификация конфигураций и автоматизированное тиражирование решений — крупные ритейлеры давно взяли эти подходы на вооружение. Чтобы не покупать, к примеру, дорогостоящие сетевые экраны в каждый магазин, можно создать в городе виртуальную частную сеть с интеллектуальной балансировкой трафика между различными каналами и тогда потребность в оборудовании существенно снизится. Есть инструменты и для автоматизированного тиражирования безопасных конфигураций, которые позволяют уменьшить трудозатраты высокооплачиваемого персонала и снизить потребность в нем на местах, а значит сэкономить и деньги.

Автор: Яков Гродзенский, директор департамента информационной безопасности компании «Системный софт»
Другие новости

Читайте также

16 марта 2022 / Комментарии
Переезжаете с иностранного хостинга? Обзор рабочего инструмента от inSales

Переезжаете с иностранного хостинга? Обзор рабочего инструмента от inSales

У новых клиентов российского сервиса inSales, предоставляющий готовые решения для создания интернет-магазинов, теперь есть возможность перенести интернет-магазин на inSales бесплатно. Для этого нужно зарегистрироваться по ссылке и указать платформу, с которой необходимо перенести сайт.

далее →

27 января 2022 / Комментарии
Система Topics API заменит cookie в браузере Chrome

Система Topics API заменит cookie в браузере Chrome

Компания Google отказалась от внедрения технологии Federated Learning of Cohorts. Эта технология должна была заменить сторонние файлы cookie в браузере Chrome. Вместе этого технологический гигант задействует систему Topics API, на основе которой будет строиться таргетированная реклама в будущем.

далее →

12 января 2022 / Комментарии
У «СберМаркета» новый вице-президент по информационным технологиям

У «СберМаркета» новый вице-президент по информационным технологиям

Пост вице-президента по информационным технологиям «СберМаркета» занял Дмитрий Бобылёв. Он пришел в сервис на позицию технического директора в 2016 году.

далее →

2 декабря 2021 / Комментарии
Тимур Бекмамбетов в партнерстве с Microsoft запускает платформу для покупок в сериалах

Тимур Бекмамбетов в партнерстве с Microsoft запускает платформу для покупок в сериалах

Платформа ScreenReality позволит взаимодействовать с объектами и переходить по ссылкам внутри видеоконтента. Она может применяться создателями контента, брендами, креативными и рекламными агентствами, образовательными учреждениями и другими.

далее →

22 ноября 2021 / Комментарии
Яндекс.Маркет представил отдельное приложение для продавцов

Яндекс.Маркет представил отдельное приложение для продавцов

Яндекс.Маркет запустил отдельное мобильное приложение для продавцов. Оно пригодится магазинам, которые принимают на маркетплейсе заказы с экспресс-доставкой за 1–2 часа.

далее →

Поиск

Данный сайт использует технологию Cookies, позволяющую анализировать поведение пользователей на сайте. Ознакомьтесь с «Пользовательским соглашением» и «Политикой об обработке персональных данных». Если Вы не согласны с условиями данных документов и не даете согласие на обработку ваших данных — покиньте пожалуйста этот сайт!

© Shopolog.ru, 2008 - 2025, новости и методические материалы о электронной коммерции (ecommerce) и ритейле (retail).