Detailhandel under beskydning: Ville du opdage et brud, hvis det skete lige nu?
Indholdsfortegnelse:
Detailhandlere og deres leverandører har det hårdt i Storbritannien lige nu. En række større sikkerhedsbrud knyttet til ransomware-aktører har efterladt tomme hylder, skadet virksomheders omdømme og sendt aktiekurserne i et styrtdyk. Disse hændelser har også tjent som en rettidig påmindelse om, at angribere fortsat bevæger sig hurtigere end forsvarere. Og at alt for mange organisationer stadig behandler compliance som en retrospektiv øvelse.
For at komme tilbage på forkant skal britiske detailhandlere og deres konkurrenter i andre sektorer begynde at tænke på compliance og risikostyring som en dynamisk, realtidsbestræbelse.
Detailhandelsangreb fremhæver hackerfordele
Fire brud har rystet detail- og logistiksektoren i de seneste uger. Her er, hvad vi ved indtil videre, og virkningen på hvert enkelt virksomhedsofre.
Marks & Spencer: Den dygtige butik afslørede nyheden om en "hændelse" den 21. april. Dette udviklede sig hurtigt til en spiral, og de blev tvunget til at suspendere kontaktløse betalinger, Click & Collect og onlineordrer. Lagerniveauet faldt også i nogle butikker efter... Hændelsen ramte logistikcentreM&S siger nu Nogle kundedata blev stjålet. Virksomheden siges at miste £40 millioner i omsætning om ugen, mens aktiekursen er faldet med 12 % (pr. 19. maj).
Rapporter foreslår at sofistikerede trusselsaktører knyttet til det løse “Scattered Spider”-kollektiv krypterede nogle af virksomhedens VMware ESXi-værter med DragonForce ransomware-varianten. Det hævdes at en kompromitteret tredjepart (Tata Consulting Services) med logins til deres systemer muligvis var det oprindelige indgangspunkt. Trusselaktørerne kunne muligvis have forårsaget mere skade med dette angreb, da de ramte lige før den lange påskeferieweekend.
Andelsselskab: De samme trusselsaktører bag M&S-razziaen er påtager sig ansvar for et ransomware-angreb på Storbritanniens syvendestørste detailhandler. De siger, at firmaet trak stikket ud, da det registrerede usædvanlig netværksaktivitet, hvilket forhindrede dem i at implementere ransomware, men ikke i tide til at forhindre dem i at stjæle betydelig data. mængder af medlemmers dataLagerniveauerne i nogle butikker er også blevet påvirket. Det er uklart, hvad den økonomiske indvirkning på virksomheden vil være, men ny IT-sikkerhedsinfrastruktur, hændelsesrespons og genoprettelsesprocesser vil sandsynligvis løbe op i millioner af pund.
Harrods: Det ikoniske stormagasin i Knightsbridge har været tavse om et angreb, som det afslørede den 1. maj. Det hævder at have opdaget og stoppet et forsøg på uautoriseret adgang. "Vores erfarne IT-sikkerhedsteam tog straks proaktive skridt for at holde systemerne sikre, og som følge heraf har vi begrænset internetadgangen på vores lokationer i dag," står der i en erklæring. Angrebet ser ikke ud til at have påvirket dets online- eller fysiske butikker.
Peter Green afkølet: Det seneste navn på denne liste over ofre for cyberangreb er en mindre kendt logistikpartner for Tesco, Sainsbury's, Aldi og andre supermarkeder. Ransomware-angrebet fandt sted i ugen, der begyndte den 12. maj, men virksomheden siger, at "virksomhedens transportaktiviteter er fortsat upåvirket". Hvis leverancerne blev påvirket, kan det blive dyrt for leverandørerne, da virksomheden tilbyder logistik inden for køleopbevaring og forsyningskæden.
Hvordan kan detailhandlere undgå en lignende skæbne?
Britiske detailhandlere er ikke alene. Den franske modegigant Dior har underrettede asiatiske kunder af et databrud, mens Google hævder, at Scattered Spider-aktører også er målrettet mod amerikanske detailhandlereDet gør enhver læring vigtig for IT-chefer over hele verden. Så hvad kan vi sige om hændelserne?
Selvom vi i de fleste tilfælde stadig ikke kender ransomware-aktørernes specifikke modus operandi, kan vi sige, at bedste praksis for cyberhygiejne, omend vigtig, ikke er en mirror kugle. Ja, ting som hurtig patching, multifaktorgodkendelse (MFA) og aktivstyring er afgørende for at minimere størrelsen af angrebsfladen. Men der vil altid være en måde for målrettede trusselsaktører at nå deres mål.
Dette gør kontinuerlig AI-drevet netværksovervågning afgørende. Disse værktøjer lærer, hvordan "normale" trafikmønstre ser ud, hvilket gør dem i stand til mere effektivt at slå alarm, når noget i netværket ikke ser rigtigt ud. Det betyder, at sikkerhedsoperationsteams (SecOps) kan reagere hurtigere for at lukke trusler ned, før de kan sprede sig, og/eller før data kan udvindes og krypteres.
Automatiserede risikovurderingsværktøjer er en anden værdifuld tilføjelse, der gør det muligt for virksomheder løbende at overvåge deres IT-miljø for at opdage eventuelle uopdaterede sårbarheder, fejlkonfigurationer eller andre sikkerhedshuller, der skal adresseres. De tager højde for, at sådanne miljøer er i konstant forandring – især i skyen – og derfor kræver løbende opmærksomhed. Dette vil gøre organisationen mere robust og lukke mulige angrebsveje. Men igen, det er noget, som kun AI og automatisering kan gøre effektivt, 24/7/365.
"Cybersikkerhedsbeskyttelse er ikke en destination, men snarere en kontinuerlig proces. Trusselaktører er i konstant udvikling, og det samme bør vores sikkerhedspolitik," fortæller Darren Williams, administrerende direktør for BlackFog, til ISMS.online. "Som et resultat heraf er det vigtigt, når man ser på nye værktøjer, at fokusere på maskinlæringsbaseret AI-beskyttelse, ud over de mere statiske og signaturbaserede tilgange, som de fleste værktøjer bruger."
En dynamisk tilgang til compliance
Mere generelt understreger sikkerhedsbruddene hos britiske detailhandlere igen, at overholdelse af bedste praksis og regler for mange organisationer ofte kan være for reaktiv. For eksempel er traditionelle informationssikkerhedsstyringssystemer (ISMS) bygget op omkring punktlige vurderinger, der ikke tilpasser sig nye forretningsmodeller, trusler og teknologier som cloud og IoT, hvilket kan udvide angrebsfladen.
"Realiteten er, at sikkerhedsteams skal være effektive 100 % af tiden, og trusselsaktører behøver kun at få succes én gang," fortæller Dave McGrail, chef for forretningsrådgivning hos Xalient, til ISMS.online. "Denne ubalance understreger behovet for en mere dynamisk og adaptiv tilgang til overholdelse af cybersikkerhedsregler og ISMS-styring."
Det er præcis, hvad ISO 27001:2022 opfordrer til gennem en proces af løbende forbedring af ISMS, dynamisk risikomodellering og adaptiv risikostyring.
"I takt med at truslerne ændrer sig, skal vores forsvar også ændre sig. 2022-opdateringen til ISO 27001 understøtter dette skift ved at tilskynde til mere regelmæssige gennemgange af risici, integrere opdaterede trusselsoplysninger og fremme bevidsthed i hele organisationen," fortæller Neil Lappage, grundlægger af 59 Degrees North, til ISMS.online.
"Det handler ikke om at gøre mere for at gøre mere. Det handler om at gøre tingene anderledes, integrere bevidsthed i onboarding, gentænke, hvad 'sikker' er i den daglige drift, og give folk værktøjerne og selvtilliden til at stille spørgsmålstegn ved usædvanlige anmodninger. Teknologi hjælper, men det er mennesker, der gør den største forskel, især når de bliver informeret, støttet og bragt ind i det større billede. Cybersikkerhed er ikke bare et system; det er en kultur, og det er noget, vi alle bygger sammen."
