Trong thực tế, các công ty nhỏ đứng để mất mát nhiều nhất vì họ thường thiếu các nhân viên an ninh chuyên dụng và chuyên môn của một doanh nghiệp. Trên Internet đông hơn du khách của con người, nhưng các trang web nhỏ hơn sẽ nhận được một tỷ lệ không cân đối cao của du khách bot tự động - lên đến 80 phần trăm của tất cả các lưu lượng truy cập trên các trang web có ít hơn 1.000 du khách mỗi ngày. Độc hại trang web chương trình thăm dò các lỗ hổng, hiệu quả tự động web hacking.
Sự gia tăng của tự động hóa đã mở rộng phạm vi của các cuộc tấn công, làm cho các doanh nghiệp nhỏ cũng như dễ bị tổn thương như Home Depot hay Target. Hôm nay, tất cả các doanh nghiệp trực tuyến có nguy cơ. Sau đây là những biện pháp đơn giản bất kỳ chủ doanh nghiệp có thể làm để ngăn chặn các cuộc tấn công từ hacker và ngăn chặn vi phạm.
Các khỏang trống để hacker tấn công.
Có hai lỗ hổng bảo mật tất cả các chủ doanh nghiệp thương mại điện tử cần phải nhận thức: SQL và Cross Site Scripting (XXS). Tấn công cross Scripting trang web có thể xảy ra khi các ứng dụng lấy dữ liệu không tin cậy từ người dùng và gửi nó đến trình duyệt web mà không cần xác nhận đúng hoặc "điều trị" dữ liệu đó để đảm bảo nó không phải là độc hại. XSS có thể được sử dụng để chiếm tài khoản của người sử dụng, thay đổi nội dung trang web hoặc chuyển hướng truy cập đến các trang web độc hại mà không có kiến thức của họ.
Bởi vì các cuộc tấn công vào lỗ hổng này đều hướng tới ứng dụng web, một tường lửa ứng dụng web (WAF) rất hiệu quả trong việc ngăn ngừa chúng.
Từ chối dịch vụ
Một số tội phạm đang dùng một cách tiếp cận lũ lụt website gọi là tấn công từ chối dịch vụ (DDoS). Đối với các trang web thương mại điện tử, một cuộc tấn công DDoS có tác động trực tiếp đến doanh thu. Một DDoS duy nhất có thể có giá hơn $ 400,000, với một số nguồn báo cáo chi phí lên đến $ 40.000 cho mỗi giờ. Với các cuộc tấn công khác nhau, từ đơn thuần giờ đến vài ngày, không kinh doanh có khả năng nguy cơ của một cuộc tấn công DDoS.
Thông thường thời gian các cuộc tấn công có kèm theo một ghi chú chuộc đòi hỏi kinh phí để ngăn chặn các cuộc tấn công DDoS; lần khác tấn công chỉ là một màn khói, cho hacker thời gian để thăm dò các trang web cho các lỗ hổng.
Trong cả hai trường hợp, thay vì rơi vào những kẻ tống tiền, các trang web thương mại điện tử nên tranh thủ bảo vệ DDoS để phát hiện và giảm thiểu các tác động tấn công trước khi nó dòng dưới cùng của họ. Bảo vệ DDoS thường có sẵn từ các nhà cung cấp hosting, vì vậy các doanh nghiệp nhỏ có thể yêu cầu hoster trang web của họ cho các tùy chọn.
Xác thực hai yếu tố
Bị đánh cắp hoặc bị xâm nhập các thông tin người sử dụng là một nguyên nhân phổ biến của hành vi vi phạm. eBay báo cáo rằng những kẻ tấn công không gian mạng bị xâm nhập một số lượng nhỏ các nhân viên chuẩn đăng nhập, cho phép truy cập trái phép vào mạng công ty của eBay. Bọn tội phạm sử dụng kỹ thuật xã hội, lừa đảo, phần mềm độc hại và các phương tiện khác để đoán hoặc chụp username và password. Trong các trường hợp khác, những kẻ tấn công nhắm mục tiêu quản trị, người mà họ phát hiện ra trên các mạng xã hội, sử dụng các cuộc tấn công lừa đảo giáo để có được dữ liệu nhạy cảm.
Yếu tố thứ hai này thường là một mã được tạo ra thông qua một ứng dụng hoặc nhận được thông qua văn bản trên điện thoại thuộc sở hữu của người sử dụng. Xác thực hai yếu tố đã được khoảng một thời gian, nhưng cũng giống như các máy ảnh điện thoại thông minh tốt hơn đã mở ra một thị trường hoàn toàn mới của ảnh chỉnh sửa và chia sẻ các ứng dụng, do đó, quá có sự leo thang trong các vi phạm tăng số lượng các tùy chọn để xác thực hai yếu tố.
Ngày nay, có một số giải pháp xác thực hai yếu tố tuyệt vời mà cả hai đều dễ dàng hơn để sử dụng và rất hiệu quả trong việc giữ hacker ra. Nhiều là miễn phí, bao gồm cả Google Authenticator, và được đóng gói như các ứng dụng tiện dụng trên điện thoại thông minh. Với những nguy cơ ngày càng tăng của hành vi vi phạm, đó là quan trọng hơn bao giờ hết rằng bất kỳ ứng dụng xử lý dữ liệu của khách hàng được bảo vệ bằng cách xác thực hai yếu tố.
Quét trang web của bạn
Máy quét trang web là một công cụ quan trọng để phát hiện các lỗ hổng SQL injection và XSS đề cập ở trên, cũng như một loạt các lỗ hổng khác. Thông tin từ các máy quét có thể được sử dụng để đánh giá độ an ninh của một website thương mại điện tử, cung cấp những hiểu biết cho các kỹ sư về làm thế nào để khắc phục lỗ hổng bảo mật ở cấp độ mã hoặc điều chỉnh một WAF để bảo vệ chống lại các lỗ hổng cụ thể.
Tuy nhiên, để có hiệu quả, các doanh nghiệp cần phải sử dụng chúng thường xuyên. Điều quan trọng là phải đăng ký với một dịch vụ quét trên cơ sở định kỳ - không phải mỗi ba năm.
Theo nghiên cứu của Viện Ponemon, các nhà cung cấp bên thứ ba - hosters, xử lý thanh toán, các trung tâm cuộc gọi, huỷ - có một tác động đáng kể đến khả năng và phạm vi vi phạm. Bạn sẽ không tin tưởng tiền của bạn để một ngân hàng mà không nghiêm ngặt, biện pháp an ninh đã được chứng minh tại chỗ. Bạn cũng không nên tin tưởng một nhà cung cấp phần mềm mà không thực hành bảo mật tại chỗ.
Khi tìm kiếm nhà cung cấp mới, chắc chắn rằng chúng phù hợp với bảo mật tốt nhất như dữ liệu tiêu chuẩn an ninh thẻ thanh toán của ngành công nghiệp (PCI-DSS) và điện toán đám mây bảo mật chứng nhận SSAE16. Không được đe dọa để yêu cầu các nhà cung cấp phần mềm điện toán đám mây như thế nào họ đang quản lý chứng chỉ bảo mật và những gì họ có. Nếu họ đã không có, bạn nên suy nghĩ hai lần về làm việc với họ.
Đừng bỏ qua điều này. Không có vấn đề làm thế nào tốt các sản phẩm, nếu giới thiệu các tính rủi ro cho doanh nghiệp của bạn, nó không phải là giá trị nó.
Ngày nay, nguy cơ rò rỉ thông tin lớn hơn bao giờ hết, cho các doanh nghiệp lớn và nhỏ như nhau. Nhưng an ninh không phải là phức tạp. Bằng cách sử dụng các công cụ thích hợp, hợp tác với các nhà cung cấp phải thực hiện các biện pháp bảo vệ và, các doanh nghiệp trực tuyến có thể giảm rủi ro và tránh xa các tiêu đề.
