1. Perakende ve e-ticaret kimlik temelli saldırılara eğilimlidir
“Kimlik temelli saldırılar yaprak dökmeyen.”
Perakende ve -ticaret endüstrisinde hangi önemli güvenlik tehditlerinin yaygın olduğu sorulduğunda, Fynn Fabry Hammers Home Kimlik Tabanlı Saldırılar. Diyorlar ki
“En büyük tehditlerden biri kimlik temelli güvenlik sorunları. Tabii ki, müşterilerinizi güvende tutmak için bazılarını oran sınırlaması ile önleyebilirsiniz. Ancak günün sonunda, başka birinin veri ihlali varsa ve bazı müşterileriniz şifrelerini geri dönüştürdüyse, bu şifreler açıktır. Bu konuda gerçekten hiçbir şey yapamazsın. Veri ihlali olmasaydı, ne yapacaksın? “
2. Güvenlik en iyi uygulamalarını kullanın
“En iyi uygulamalar bir nedenden dolayı en iyi uygulamalardır.”
Fynn Fabry, en iyi uygulamaların sadece oluşturulmadığını açıklıyor-perakende ortamlar da dahil olmak üzere her sektörde saldırıları önlemek için proaktif güvenlik önlemleri uygulamak için denenmiş ve gerçek yöntemler var.
“Yeni bir güvenlik önlemi veya sistem tanıtmak istiyorsanız, etrafında en iyi uygulama olup olmadığına bakın. Geriye dönük olarak örmek yerine geliştirme ekibinizle konuşmada proaktif olun. Şirket içinde bir şey geliştiriyorsanız, hareket halindeyken istişarelerini istemekten çok daha fazla iş. ”
Fabry, müşteri verilerinin korunmasında “temel” en iyi uygulamanın en az ayrıcalık ilkesi olduğunu söylüyor.
“En az ayrıcalık ilkesi sadece müşteri verileri için değil, verileri tutan herhangi bir sistem için de geçerli olmalıdır. Bu, insanların sadece ihtiyaç duydukları sistemlerde ayrıcalıklar aldıkları anlamına gelir. Tabii ki, her ayrıcalığı tek tek atayamazsınız, ancak çoğu sistem için sadece kullanıcılar ve yöneticilerden daha fazlasına ihtiyacınız vardır; Bazı roller sistemden ihtiyaç duydukları konusunda daha ayrıntılıdır. ”
3. Hata Bounty yatırım getirisi nasıl ölçülür
Her kuruluşun farklı güvenlik ihtiyaçları ve hedefleri vardır, bu da ROI veya risk azaltma getirisini her program için benzersiz hale getirir. Fynn Fabry, Böcek Ödülünde Ölçümlerin Nasıl Ölçülmesini paylaşıyor:
“Altı ayda bir, aldığımız raporların kaçının düzeltildiğinin bir özeti yapıyorum. Bazı tüyleri karıştıran ve insanların bu kırılganlık hakkında nasıl bilmediğimizi sormasını sağlayan raporları tanımak önemlidir. Hala buna değip değmeyeceğini tahmin etmeye çalıştığımda bunu dikkate alıyorum ve şimdiye kadar her zaman öyleydi. Başlığa baktığınızda hatırladığınız önemli sayıda rapor alırsanız, bu hata ödül programınızın size değer verdiğinin iyi bir göstergesidir. ”
4. Tehditlerin önünde kalmak için güvenlik satıcılarınıza güvenin
“Güvenlik satıcılarınızla konuşun.”
Güvenlik profesyonellerinin sürekli gelişen bir tehdit manzarasının önünde kalması gerekiyor. Fynn Fabry’nin diğer güvenlik uzmanlarına tavsiyesi, güncel kalmak için güvenlik satıcılarınızla çalışmaktır.
“Hackerone’a veya diğer güvenlik satıcılarınıza ne düşündüklerini sorun. Sizinle benzer durumlarda başka müşterileri var. Proaktif olmaya ve sizin için tehdit zekası toplamaya çalışırlar, bu yüzden her zaman ve sonra tehdit manzarasında neler olup bittiğini anlamak için sorular sorun. ”
Fabry ayrıca tehditlerin üstünde kalmak için siber güvenlik haberlerine ayak uydurmanızı önerir. ON, en iyi siber güvenlik haber kuruluşlarını veya siber güvenlik haberlerini belirler ve sabahları şirket haber akışına eklerler. Başlamak için Fabry’nin favorileri:
5. Hacker topluluğuyla etkileşime geçin
“Hackerlarla konuş.”
Fabry, hacker topluluğuyla iletişim kurarak elde edilen tehdit zekasının değerini vurgular.
“Hackerone müşterisiyseniz, zaten bilgisayar korsanlarıyla konuşuyorsunuz. Ama aynı zamanda güvenlik ekibinizdeki birini hacker topluluğuyla temasa geçmeye çalışın. Birçok seçenek vardır: Konferanslar, Sözleşmeler, vb. Ekibinizden biri bir hacker etkinliğine katılmak istiyorsa, bunu yapmalarını sağlayın. Pahalı olabileceğini biliyorum, ama hacker topluluğuyla etkileşime geçmeye kesinlikle değer. ”
6. Bilgisayar korsanlarıyla çalışmak küresel bir güvenlik perspektifi sağlar
“En büyük fayda, böylesine büyük bir toplulukla etkileşime girdiğinizde elde ettiğiniz çok miktarda bilgi.”
Fabry, farklı güvenlik araştırmacılarıyla çalışmayı sevmelerini açıkladı çünkü aynı profesyonellerin veya satıcıların genellikle her seferinde aynı şekilde bir teste yaklaşacağını. Ancak farklı araştırmacılar, perspektifleri farklı olduğu için ilk kişinin kaçırdığı bir şey bulabilirler. Bunu, hack topluluğu ile çalışmanın anahtar değeri olarak görüyor.
“Dünyanın her yerinden, her ülkeden ve her kültürden insanlarla bir hata ödül programınız varsa, sistemlerin nasıl çalışabileceğine dair farklı görüşler ve fikirlerle giderler. Sadece küçük bir topluluğunuzdan çok daha farklı görüşler elde edersiniz. ”
Fynn Fabry ve ON’dan daha fazla perakende ve e-ticaret anlayışı duymak için, Talep Üzerine Saldırı Web Semineri altında perakende izleyin.