Безопасность в ритейле: угрозы и методы борьбы с ними

Предновогодние скидки привлекают в магазины не только покупателей, бьет рекорды и сезонная активность хакеров. Чтобы очередная пятница не стала для организации по-настоящему черной, стоит подумать о мерах безопасности.

В ИТ-системах крупных ритейлеров хранятся персональные данные покупателей, их платежные реквизиты, сведения о поставщиках и другая информация, составляющая коммерческую тайну. Интернет-сервисы доступны любому желающему, а внутренние сети магазинов не всегда должным образом защищены. Все это делает сферу торговли одной из самых лакомых для хакеров отраслей.

Мобильные приложения необходимо проверять анализаторами кода

Путь хакерам в информационные системы торговой сети часто открывают безобидные на первый взгляд фирменные мобильные приложения из Apple AppStore и Google Play. Клиентское приложение может содержать уязвимости, появляющиеся из-за того, что код написан с ошибками. И следствием подобных уязвимостей, может быть возможность извлечения конфиденциальной информации. Были даже случаи, когда некоторые аутентификационные данные жестко вшивались в код, но и без того приложение станет хорошим подспорьем для поиска уязвимостей в сервисе.

Методы защиты

Бороться с небезопасными приложениями помогают инструменты для автоматизированного анализа: статического или динамического. В первом случае с помощью специализированных программ-сканеров исследуются исходные тексты, а во втором — работающие приложения. Разные методы выявляют различные ошибки, поэтому они не взаимозаменяемы. С помощью статического анализа можно найти, например, небезопасные участки кода, которые позволяют злоумышленнику выполнять произвольный JavaScript на мобильном устройстве или команды shell на сервере. Сканер кода обнаружит и другие потенциальные уязвимости, которые видны только в исходниках, однако работу приложения на ходу с его помощью не изучишь. Динамический сканер напоминает продвинутый отладчик, ориентированный на поиск уязвимостей: он позволяет увидеть, если где-то возникает переполнение буфера или другая проблема, проявляющаяся во время работы приложения. Есть также инструменты, автоматически декомпилирующие файлы apk и автоматически их анализирующие.

Приватные данные обрабатываются на мобильных устройствах

В ритейле эта проблема проявляется особенно остро, потому что смартфоны и планшеты с доступом к закрытым корпоративным информационным системам есть у многих работающих в «поле» сотрудников: продавцов, торговых представителей, водителей, экспедиторов, кладовщиков и разнообразных менеджеров. Сложность связана еще и с тем, что мобильные устройства часто покидают пределы защищенного периметра. К примеру сотрудники дистрибьюторов постоянно берут их с собой, выезжая к клиентам — в случае утери или кражи устройства злоумышленники могут получить доступ к базе поставщиков, информации о складских остатках, данным покупателей и даже к финансовой информации. Сами приложения, как и в предыдущем случае, могут быть реализованы небезопасно, что позволит хакерам получить сведения об устройстве закрытых для публичного доступа систем.

Методы защиты

Использовать решения, изолирующие корпоративные данные от личных и системных в защищенных криптоконтейнерах. Такие продукты управляют мобильными устройствами на основе заданных администратором политик: они помогают найти утерянный смартфон или удаленно стереть с него все данные. В ритейле редко практикуют BYOD для доступа к торговым системам — полевые сотрудники обычно работают с корпоративными устройствами. В этом случае уже не нужно их согласия для установки программ удаленного контроля. Подключенные к корпоративным ИТ-системам личные устройства встречаются разве что в бэкофисе или у топ-менеджеров, но это уже типовой кейс. Для ритейла он не специфичен.

Хакеры крадут аккаунты и персональные данные покупателей

Клиенты часто используют одни и те же логины и пароли для разных сервисов, в итоге эти данные оказываются в одной из доступных для покупки в даркнете баз. Дальше хакеры могут атаковать сайт магазина, чтобы с помощью перебора получить доступ к аккаунтам пользователей. Данные банковских карт таким способом извлечь не удастся, но можно, например, воспользоваться баллами в бонусной программе, оплатить покупку с привязанной к аккаунту карты или присвоить купленный пользователем контент. Уязвимости в сервисах ритейлеров используются и для массовых краж персональных данных: крупных утечек год от года становится только больше.

Методы защиты

Для поиска брешей в защите стоит использовать внешнюю экспертизу: специалисты профильной компании помогут провести аудит системы обеспечения информационной безопасности. Не стоит забывать и о тестах на проникновение — это одна из самых эффективных методик обнаружения уязвимостей. От беспечности пользователей она, увы, не спасет, но с этим можно бороться только повышая информированность людей. Крайне желательно при этом, чтобы общедоступные сервисы ритейлера позволяли включить двухфакторную аутентификацию через SMS или с помощью специального приложения, особенно если угон аккаунта клиента может привести к прямым финансовым потерям.

Еще один важный элемент защиты интернет-магазинов — Web Application Firewall, использующий технологию машинного обучения и профилирование для защиты от атак на сайты.

DDoS по-прежнему популярен в войнах конкурентов

Перебои в работе крупного интернет-магазина приводят к существенным убыткам. Если с наплывом покупателей во время сезонных распродаж онлайн-ритейлеры справляться научились, то DDoS-атаки до сих пор остаются серьезной проблемой. Разделить их можно на два типа. В первом случае злоумышленники, условно говоря, пингуют сайт с многочисленных узлов ботнета, а во втором проводят «медленные запросы», имитируя работу клиентов. В даркнете такие атаки можно заказать за относительно небольшие деньги, чем иногда пользуются нечистые на руку конкуренты.

Методы защиты

Чтобы отбить массированную DDoS-атаку, нужны комплексные меры, включающие как собственные инструменты, так и специализированные сервисы внешних провайдеров. На стороне внешнего сервиса проводится первичная очистка трафика от флуда, а для обработки прошедших фильтрацию медленных запросов применяются надежные локальные решения.

Публичный Wi-Fi и атака «человека посередине»

Во многих магазинах и торговых центрах покупателям доступен бесплатный Wi-Fi. Злоумышленник может организовать поддельную беспроводную сеть с похожим или аналогичным SSID (названием), чтобы перехватывать трафик подключившихся к ней клиентов. С помощью атаки вида man in the middle хакеры крадут учетные записи пользователей и даже платежные данные. Дорогостоящее оборудование им не требуется — хватит и обычного ноутбука с Kali Linux и мобильным модемом для доступа в интернет. Это довольно серьезная проблема, потому что рядовые пользователи крайне редко включают надежный VPN в публичных хотспотах. Для ритейла здесь возникают репутационные риски: если нет защиты от атаки «человек посередине», то хакер может воспользоваться этим и пустить через свой ноутбук трафик посетителей. В случае недостаточных мер по изоляции публичной сети и внутренней инфраструктуры злоумышленники могут добраться и до критичных ИТ-систем самого ритейлера.

Методы защиты

Отследить сидящего с ноутбуком где-нибудь в ресторанном дворике злодея непросто, поэтому традиционные физические меры безопасности здесь бесполезны. Необходимо использовать для организации публичных беспроводных сетей безопасные аппаратно-программных решения, включающие точки доступа с сенсорами. Они смогут не только определить наличие нелегитимных сетей поблизости и отправить сообщение персоналу, но и при необходимости заглушат вражеские точки доступа своим сигналом. Кроме того, публичные сети должны быть надежно изолированы от внутренней инфраструктуры ритейлера. Вход в публичный Wi-FI можно организовать с помощью «captive portal», используя в том числе, аутентификацию через аккаунты в социальных сетях, что также позволит давать таргетированную рекламу посетителям.

Слабая защита внутренних беспроводных сетей ведет к утечкам данных

Для подключения торгового оборудования и разнообразных мобильных терминалов в крупных магазинах часто разворачивают внутренние сети Wi-Fi. Желая сэкономить, владельцы закупают для них обычное бытовое оборудование и используют ненадежные методы аутентификации. Технический персонал не следит за своевременным обновлением прошивок устройств, очень часто даже не меняет установленные в них по умолчанию пароли. Проведенные нами в нескольких торговых сетях тесты на проникновение показали плачевное состояние систем безопасности беспроводного сегмента корпоративные сетей в магазинах. В результате взлома хакеры могут получить закрытую коммерческую информацию, проникнуть в сеть бэкофиса, а в ряде случаев добраться и до персональных или платежных данных клиентов.

Методы защиты

Необходимы усиленные меры безопасности, вроде двухфакторной аутентификации, а также использование защиты WPA Enterprise. Построенную на бытовых решениях и обычном WPA2 беспроводную сеть несложно вскрыть при помощи брутфорса. Требуются также общие меры по защите не только внешнего периметра, но внутренних границ различных сегментов сети: интеллектуальные сетевые экраны, распознавание атак с использованием threat intelligence, поведенческий анализ и прочие современные методики. Генерирующие подозрительный трафик устройства должны быть изолированы и проверены вручную.

Большие масштабы ведут к большим затратам на безопасность

Главная проблема крупного ритейла связана с высокой ценой внедрения даже простых решений. Если компании нужно поставить в каждый из 500 магазинов сетевой экран за $500, стоимость закупки оборудования взлетает до четверти миллиона долларов. Другая проблема связана со сложностью обслуживания распределенной инфраструктуры. У магазинов может быть несколько каналов связи, различные изолированные сегменты сети и разнообразное оборудование. Слишком затратно держать на каждой точке (или в каждом городе) высококлассных специалистов для развертывания и обслуживания систем — приходится искать баланс между безопасностью и разумностью инвестиций, а оценка рисков в крупном ритейле приобретает особую актуальность.

Методы защиты

Централизованная архитектура, унификация конфигураций и автоматизированное тиражирование решений — крупные ритейлеры давно взяли эти подходы на вооружение. Чтобы не покупать, к примеру, дорогостоящие сетевые экраны в каждый магазин, можно создать в городе виртуальную частную сеть с интеллектуальной балансировкой трафика между различными каналами и тогда потребность в оборудовании существенно снизится. Есть инструменты и для автоматизированного тиражирования безопасных конфигураций, которые позволяют уменьшить трудозатраты высокооплачиваемого персонала и снизить потребность в нем на местах, а значит сэкономить и деньги.

Автор: Яков Гродзенский, директор департамента информационной безопасности компании «Системный софт»
Автор: Яков Гродзенский

Подписаться на новости

6 августа / Комментарии

Одноклассники запустили платформу для ведения бизнеса в соцсети

В Одноклассниках появился «Кабинет бизнеса» — единая точка входа для управления контентом, продвижения и привлечения новых клиентов. Новая платформа поможет предпринимателям и SMM-специалистам, которые ведут бизнес и создают профессиональный контент в ОК, упростить работу со всем набором возможностей соцсети.

далее →

В рамках раунда инвестиций серии C Insider привлек 32 млн долларов на развитие AI-технологий

Сегодня компания Insider объявила о закрытии раунда финансирования серии C в размере 32 млн долларов, в результате чего общий объем инвестиций на сегодняшний день составляет 47 млн долларов. Раунд проходил под руководством Riverwood Capital, к нему присоединились Sequoia India, Wamda Capital и Endeavour Catalyst.

далее →

Утконос ОНЛАЙН запустил виртуального собеседника

Утконос ОНЛАЙН внедрил искусственный интеллект в коммуникации с клиентами. После первого этапа тестирования на сайте utkonos.ru заработал чат-бот, внутреннее рабочее название которого «U: Онлайн» – программа-собеседник, с помощью которой происходит первая линия взаимодействия с покупателями.

далее →

Ozon запустил сервис видеоконсультаций

Ozon запустил онлайн видеоконсультации по выбору товаров. Новый сервис охватил почти 500 товаров немецкого бренда AM.PM: сантехнику, товары для дома, строительство и ремонт.

далее →

Яндекс.Лавка запустила мобильное приложение

У Яндекс.Лавки появилось собственное приложение для iOS и Android. Раньше заказать продукты и товары первой необходимости с доставкой за 10-15 минут можно было только в приложениях Яндекс, Яндекс.Еда и Яндекс.Такси. Теперь новичкам будет легче найти Лавку в AppStore и Google Play.

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook