COVID-19 ile mücadele amacıyla dünyanın birçok yerinde karantina önlemleri yaygınlaştıkça, e-ticaret de çiçek açtı. Gerçekten de, eShopWorld’den gelen son veriler, Ekim ayında küresel çevrimiçi satışlarda %113’lük bir artışın ardından Noel döneminde e-ticaret satışlarında yıllık bazda %63’lük bir artış olduğunu gösteriyor.
Siber güvenlik firması Outpost24’ün yeni araştırması, e-ticaret faaliyetlerimiz için giderek daha fazla kullandığımız web uygulamalarının belirli risklerini vurguluyor. Rapor, 2019’daki tüm veri ihlallerinin %43’ünün web uygulamaları tarafından yaşandığını ve bu sorunun tüm dünyadaki perakendeciler için gündemin en üstüne çıkmasına neden olduğunu belirtiyor.
Yazarlar, “Web uygulaması güvenliği, sahip oldukları uygulamaların (çoğunun varlığından bile haberdar olmadıkları) çok fazla olması nedeniyle dünya çapındaki kuruluşların karşılaştığı iyi bilinen bir sorundur” diyor. “Bu uygulamaların nasıl oluşturulduğu ve yapısı genellikle bu bulmacaya ek bir tehdit unsuru ekleyebilir. Bu nedenle, bilgisayar korsanlarının keşif sırasında giriş noktalarını tespit etmek için kullandıkları temel saldırı vektörlerini anlamak ve oyun alanını dengelemek için oradan geri dönmek önemlidir. savunanlar (güvenlik ekibiniz) ve saldırganlar arasında.”
Yazarlar, perakendeciler için başarılı siber güvenliğin anahtarının web uygulaması saldırı yüzeylerini mümkün olduğunca küçük tutmak olduğunu savunuyorlar.
İlginç bir şekilde, hem Avrupa hem de Amerika’daki perakendeciler için saldırı yüzeyi yüksekken, ABD’li perakendeciler, AB’deki meslektaşları için sadece 31’e karşılık 42 üzerinden 35 toplam risk puanı ile daha fazla risk altındaydı.
Riskli
Örneğin, ABD’de araştırmacılar, ülkenin önde gelen perakendecileri tarafından işletilen 401 etki alanında halka açık 3.357 web uygulaması buldu. Bunların %8’i şüpheli olarak kabul edildi ve %22’sinin bilinen güvenlik açıklarına sahip eski bileşenleri çalıştırdığı tespit edildi. AB perakendecileri, yalnızca 2.799 genel kullanıma açık uygulama ve %4 şüpheli alan adı ile daha iyi performans gösterdi, ancak uygulamaların %27’si eski tarihi geçmiş bileşenleri kullanıyordu.
Analiz, ABD’li perakendecilerin genellikle Avrupalı meslektaşlarından daha modern uygulama teknolojileri kullandığını ortaya koydu.
Bununla birlikte, bilgisayar korsanlarına bir yol sağlayan gölge BT hizmetlerini kullanma olasılıkları çok daha yüksekti.
Bulgular, yedi temel saldırı vektörüne göre uygulama güvenliğinin değerlendirilmesinden ortaya çıktı: çerezler, aktif içerik, girdi vektörleri, kimlik doğrulama, dağıtım derecesi, sayfa oluşturma yöntemi ve güvenlik mekanizması. Bunların her birine 100 üzerinden bir risk puanı verildi.
Araştırmacılar, “Bilgisayar korsanları keşif ustalarıdır ve uygulama başına kaç sayfa olduğuna, mimaride eski yazılım olup olmadığına ve hangi CMS ve ilgili güvenlik açıklarının üzerine kurulduğuna bakarak bir hedef belirlemek için büyük çaba harcarlar” diye açıklıyor. “Yanlış yönetilirse tüm bu birleşik öğeler bir tehdit oluşturur ve onlara sisteminizde bir dayanak sağlamak ve feci bir veri ihlali oluşturmak için küçük bir yanlış adım yeterlidir.”
Güvenlik açıkları
Araştırma, en yüksek riske maruz kalan alanın, aktif içeriğin yakından takip edildiği güvenlik mekanizmaları olduğunu ortaya koydu. Örneğin, HTTP web sitelerini kullanan perakendeciler arasında bu, özellikle saldırganlar sitenin güvenli olmayan bölümlerine şifreleme olmadan erişmeye çalışmakla sınırlandırılmamışsa, yüksek bir saldırı yüzeyi puanı ile sonuçlanır.
“Bir HTTP web sitesi kullanan, şifrelemesiz ve güvenli olmayan yönlendirme de dahil olmak üzere bir sitenin güvenli olmayan bölümlerine girmeye çalışan bu düşmanlara erişimi kısıtlamayan perakendeciler için bu, veriler şifrelenmemiş olarak gönderilirken potansiyel olarak kötü aktörlere maruz bırakarak saldırı yüzeyini artıracaktır. , düz metin olarak, herkesin okuması için, bu da kimlik bilgilerinin doldurulmasına neden olabilir” diye açıklıyor araştırmacılar.
Aktif içerik, özellikle dinamik ürün bilgilerini görüntülemek için aktif içeriğin kullanıldığı geniş ve çeşitli ürün yelpazesine sahip e-ticaret uygulamalarında yaygın olarak kullanılan JavaScript ve ActiveX kontrolleri nedeniyle de oldukça sorunluydu.
Araştırmacılar, “ABD’de AB’ye kıyasla daha modern teknolojilerin kullanıldığını ve dolayısıyla daha aktif bileşenler ve komut dosyaları içerdiğini gördük” diye açıklıyor. “Bu, bir bilgisayar korsanının kötü amaçlı komut dosyaları eklemesi için daha fazla kapı açar ve bu fark edilmezse Magecart saldırılarına ve kredi kartının gözden geçirilmesine yol açabilir.”
Güvenli ticaret
Araştırmacılar, kilit risk alanlarından bazılarını belirleyerek, güvenlik uzmanlarının çabalarını en etkin şekilde odaklamalarına yardımcı olmayı umuyor. Perakende teknolojisinin dinamik doğasının, güvenliğin sürekli gelişen bir bilim olması gerektiği anlamına geldiğini savunuyorlar.
Bu süreç, konuşlandırılan teknolojinin, bu uygulamaların her biri için saldırı yüzeyinin, bu uygulamaların iş hedefleriyle uyumlu hale getirilmesinin ve her biri için risk değerlendirmesinin kapsamlı bir şekilde anlaşılmasını içermelidir.
Pandemi geçtikten sonra e-ticaretin gelişmeye devam etmesi muhtemel olduğundan, perakendecilerin teknolojilerinin ve platformlarının günümüzün siber suçlularının oluşturduğu giderek artan agresif ve yaratıcı tehditlerden korunmasını sağlamak için çalışması hayati önem taşıyor.