Безопасность в ритейле: угрозы и методы борьбы с ними

Предновогодние скидки привлекают в магазины не только покупателей, бьет рекорды и сезонная активность хакеров. Чтобы очередная пятница не стала для организации по-настоящему черной, стоит подумать о мерах безопасности.

В ИТ-системах крупных ритейлеров хранятся персональные данные покупателей, их платежные реквизиты, сведения о поставщиках и другая информация, составляющая коммерческую тайну. Интернет-сервисы доступны любому желающему, а внутренние сети магазинов не всегда должным образом защищены. Все это делает сферу торговли одной из самых лакомых для хакеров отраслей.

Мобильные приложения необходимо проверять анализаторами кода

Путь хакерам в информационные системы торговой сети часто открывают безобидные на первый взгляд фирменные мобильные приложения из Apple AppStore и Google Play. Клиентское приложение может содержать уязвимости, появляющиеся из-за того, что код написан с ошибками. И следствием подобных уязвимостей, может быть возможность извлечения конфиденциальной информации. Были даже случаи, когда некоторые аутентификационные данные жестко вшивались в код, но и без того приложение станет хорошим подспорьем для поиска уязвимостей в сервисе.

Методы защиты

Бороться с небезопасными приложениями помогают инструменты для автоматизированного анализа: статического или динамического. В первом случае с помощью специализированных программ-сканеров исследуются исходные тексты, а во втором — работающие приложения. Разные методы выявляют различные ошибки, поэтому они не взаимозаменяемы. С помощью статического анализа можно найти, например, небезопасные участки кода, которые позволяют злоумышленнику выполнять произвольный JavaScript на мобильном устройстве или команды shell на сервере. Сканер кода обнаружит и другие потенциальные уязвимости, которые видны только в исходниках, однако работу приложения на ходу с его помощью не изучишь. Динамический сканер напоминает продвинутый отладчик, ориентированный на поиск уязвимостей: он позволяет увидеть, если где-то возникает переполнение буфера или другая проблема, проявляющаяся во время работы приложения. Есть также инструменты, автоматически декомпилирующие файлы apk и автоматически их анализирующие.

Приватные данные обрабатываются на мобильных устройствах

В ритейле эта проблема проявляется особенно остро, потому что смартфоны и планшеты с доступом к закрытым корпоративным информационным системам есть у многих работающих в «поле» сотрудников: продавцов, торговых представителей, водителей, экспедиторов, кладовщиков и разнообразных менеджеров. Сложность связана еще и с тем, что мобильные устройства часто покидают пределы защищенного периметра. К примеру сотрудники дистрибьюторов постоянно берут их с собой, выезжая к клиентам — в случае утери или кражи устройства злоумышленники могут получить доступ к базе поставщиков, информации о складских остатках, данным покупателей и даже к финансовой информации. Сами приложения, как и в предыдущем случае, могут быть реализованы небезопасно, что позволит хакерам получить сведения об устройстве закрытых для публичного доступа систем.

Методы защиты

Использовать решения, изолирующие корпоративные данные от личных и системных в защищенных криптоконтейнерах. Такие продукты управляют мобильными устройствами на основе заданных администратором политик: они помогают найти утерянный смартфон или удаленно стереть с него все данные. В ритейле редко практикуют BYOD для доступа к торговым системам — полевые сотрудники обычно работают с корпоративными устройствами. В этом случае уже не нужно их согласия для установки программ удаленного контроля. Подключенные к корпоративным ИТ-системам личные устройства встречаются разве что в бэкофисе или у топ-менеджеров, но это уже типовой кейс. Для ритейла он не специфичен.

Хакеры крадут аккаунты и персональные данные покупателей

Клиенты часто используют одни и те же логины и пароли для разных сервисов, в итоге эти данные оказываются в одной из доступных для покупки в даркнете баз. Дальше хакеры могут атаковать сайт магазина, чтобы с помощью перебора получить доступ к аккаунтам пользователей. Данные банковских карт таким способом извлечь не удастся, но можно, например, воспользоваться баллами в бонусной программе, оплатить покупку с привязанной к аккаунту карты или присвоить купленный пользователем контент. Уязвимости в сервисах ритейлеров используются и для массовых краж персональных данных: крупных утечек год от года становится только больше.

Методы защиты

Для поиска брешей в защите стоит использовать внешнюю экспертизу: специалисты профильной компании помогут провести аудит системы обеспечения информационной безопасности. Не стоит забывать и о тестах на проникновение — это одна из самых эффективных методик обнаружения уязвимостей. От беспечности пользователей она, увы, не спасет, но с этим можно бороться только повышая информированность людей. Крайне желательно при этом, чтобы общедоступные сервисы ритейлера позволяли включить двухфакторную аутентификацию через SMS или с помощью специального приложения, особенно если угон аккаунта клиента может привести к прямым финансовым потерям.

Еще один важный элемент защиты интернет-магазинов — Web Application Firewall, использующий технологию машинного обучения и профилирование для защиты от атак на сайты.

DDoS по-прежнему популярен в войнах конкурентов

Перебои в работе крупного интернет-магазина приводят к существенным убыткам. Если с наплывом покупателей во время сезонных распродаж онлайн-ритейлеры справляться научились, то DDoS-атаки до сих пор остаются серьезной проблемой. Разделить их можно на два типа. В первом случае злоумышленники, условно говоря, пингуют сайт с многочисленных узлов ботнета, а во втором проводят «медленные запросы», имитируя работу клиентов. В даркнете такие атаки можно заказать за относительно небольшие деньги, чем иногда пользуются нечистые на руку конкуренты.

Методы защиты

Чтобы отбить массированную DDoS-атаку, нужны комплексные меры, включающие как собственные инструменты, так и специализированные сервисы внешних провайдеров. На стороне внешнего сервиса проводится первичная очистка трафика от флуда, а для обработки прошедших фильтрацию медленных запросов применяются надежные локальные решения.

Публичный Wi-Fi и атака «человека посередине»

Во многих магазинах и торговых центрах покупателям доступен бесплатный Wi-Fi. Злоумышленник может организовать поддельную беспроводную сеть с похожим или аналогичным SSID (названием), чтобы перехватывать трафик подключившихся к ней клиентов. С помощью атаки вида man in the middle хакеры крадут учетные записи пользователей и даже платежные данные. Дорогостоящее оборудование им не требуется — хватит и обычного ноутбука с Kali Linux и мобильным модемом для доступа в интернет. Это довольно серьезная проблема, потому что рядовые пользователи крайне редко включают надежный VPN в публичных хотспотах. Для ритейла здесь возникают репутационные риски: если нет защиты от атаки «человек посередине», то хакер может воспользоваться этим и пустить через свой ноутбук трафик посетителей. В случае недостаточных мер по изоляции публичной сети и внутренней инфраструктуры злоумышленники могут добраться и до критичных ИТ-систем самого ритейлера.

Методы защиты

Отследить сидящего с ноутбуком где-нибудь в ресторанном дворике злодея непросто, поэтому традиционные физические меры безопасности здесь бесполезны. Необходимо использовать для организации публичных беспроводных сетей безопасные аппаратно-программных решения, включающие точки доступа с сенсорами. Они смогут не только определить наличие нелегитимных сетей поблизости и отправить сообщение персоналу, но и при необходимости заглушат вражеские точки доступа своим сигналом. Кроме того, публичные сети должны быть надежно изолированы от внутренней инфраструктуры ритейлера. Вход в публичный Wi-FI можно организовать с помощью «captive portal», используя в том числе, аутентификацию через аккаунты в социальных сетях, что также позволит давать таргетированную рекламу посетителям.

Слабая защита внутренних беспроводных сетей ведет к утечкам данных

Для подключения торгового оборудования и разнообразных мобильных терминалов в крупных магазинах часто разворачивают внутренние сети Wi-Fi. Желая сэкономить, владельцы закупают для них обычное бытовое оборудование и используют ненадежные методы аутентификации. Технический персонал не следит за своевременным обновлением прошивок устройств, очень часто даже не меняет установленные в них по умолчанию пароли. Проведенные нами в нескольких торговых сетях тесты на проникновение показали плачевное состояние систем безопасности беспроводного сегмента корпоративные сетей в магазинах. В результате взлома хакеры могут получить закрытую коммерческую информацию, проникнуть в сеть бэкофиса, а в ряде случаев добраться и до персональных или платежных данных клиентов.

Методы защиты

Необходимы усиленные меры безопасности, вроде двухфакторной аутентификации, а также использование защиты WPA Enterprise. Построенную на бытовых решениях и обычном WPA2 беспроводную сеть несложно вскрыть при помощи брутфорса. Требуются также общие меры по защите не только внешнего периметра, но внутренних границ различных сегментов сети: интеллектуальные сетевые экраны, распознавание атак с использованием threat intelligence, поведенческий анализ и прочие современные методики. Генерирующие подозрительный трафик устройства должны быть изолированы и проверены вручную.

Большие масштабы ведут к большим затратам на безопасность

Главная проблема крупного ритейла связана с высокой ценой внедрения даже простых решений. Если компании нужно поставить в каждый из 500 магазинов сетевой экран за $500, стоимость закупки оборудования взлетает до четверти миллиона долларов. Другая проблема связана со сложностью обслуживания распределенной инфраструктуры. У магазинов может быть несколько каналов связи, различные изолированные сегменты сети и разнообразное оборудование. Слишком затратно держать на каждой точке (или в каждом городе) высококлассных специалистов для развертывания и обслуживания систем — приходится искать баланс между безопасностью и разумностью инвестиций, а оценка рисков в крупном ритейле приобретает особую актуальность.

Методы защиты

Централизованная архитектура, унификация конфигураций и автоматизированное тиражирование решений — крупные ритейлеры давно взяли эти подходы на вооружение. Чтобы не покупать, к примеру, дорогостоящие сетевые экраны в каждый магазин, можно создать в городе виртуальную частную сеть с интеллектуальной балансировкой трафика между различными каналами и тогда потребность в оборудовании существенно снизится. Есть инструменты и для автоматизированного тиражирования безопасных конфигураций, которые позволяют уменьшить трудозатраты высокооплачиваемого персонала и снизить потребность в нем на местах, а значит сэкономить и деньги.

Автор: Яков Гродзенский, директор департамента информационной безопасности компании «Системный софт»
Автор: Яков Гродзенский

Подписаться на новости

21 января / Комментарии

Алексей Мордашов собирается создать собственный маркетплейс «в духе Amazon»

Российский олигарх, основной владелец и глава «Северстали» Алексей Мордашов собирается создать собственный маркетплейс по аналогу с американским Amazon Джеффа Безоса. Ожидается, что он будет торговать в основном продуктами питания и авиабилетами.

далее →

10 декабря 2019 / Комментарии

Ozon уходит в облака

Интернет-платформа Ozon переносит тестовые и разработческие окружения в Яндекс.Облако — это позволит компании сделать процессы разработки еще более быстрыми и гибкими. В будущем компания планирует перевести туда же часть production систем — это позволит быстро наращивать мощности в высокий сезон, когда нагрузка на ИТ-инфраструктуру возрастает в разы.

далее →

28 ноября 2019 / Комментарии

Сервис «Юла» запустил видеозвонки для оценки качества товара

Сервис объявлений «Юла» (принадлежит Mail.ru Group) запустил видеозвонки. Они предназначены для того, чтобы покупатель смог сразу оценить качество товара, не тратя времени на встречу с продавцом. 

далее →

22 ноября 2019 / Комментарии

Опубликован ТОП-200 лучших веб-студий по версии Рейтинга Рунета

21 ноября независимый проект Рейтинг Рунета в очередной раз опубликовал ежегодный Рейтинг веб-студий, который позволяет заказчикам сайтов сориентироваться с выбором подрядчиков.

далее →

18 октября 2019 / Комментарии

Mail.ru запустил автоматическое отслеживание покупок из онлайн-магазинов

Почта сервис Mail.ru запустил опцию автоматического отслеживания покупок из онлайн-магазинов. Как рассказали в пресс-службе компании, функция была создана для удобства покупателей, которым приходит большое количество писем о готовности заказов.

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook