LendingTree

La sicurezza, le prestazioni e le soluzioni serverless di Cloudflare forniscono a LendingTree sicurezza alla velocità del business

LendingTree è un mercato online che consente ai mutuatari privati e aziendali di connettersi con più istituti di credito per trovare condizioni ottimali per mutui, prestiti agli studenti, prestiti alle imprese, carte di credito, conti di deposito e assicurazioni. LendingTree collabora con oltre 400 istituzioni finanziarie in tutto il mondo. Oltre 15 milioni di utenti attivi utilizzano LendingTree per monitorare il proprio credito, richiedere prestiti e gestire il proprio stato finanziario.

Sfida: sostituire una soluzione di sicurezza molto costosa che bloccava grossa parte del traffico legittimo

Quando John Turner, Application Security Lead, è entrato a far parte del team di LendingTree, l'azienda stava riscontrando molteplici problemi di costi e prestazioni con il suo fornitore di sicurezza. La protezione da attacchi DDoS del fornitore è stata misurata, il che ha portato LendingTree a sostenere enormi costi di eccedenza. La soluzione bloccava anche il traffico legittimo.

“La loro soluzione non era intelligente; era statica”, ha spiegato Turner. “Abbiamo dovuto specificare manualmente dei limiti arbitrari per le richieste al minuto. Una volta superato quel numero, il fornitore scaricava quel traffico, lo gestiva per noi e ci fatturava per le eccedenze.

Queste limitazioni hanno causato problemi significativi ogni volta che LendingTree lanciava una campagna di marketing. "Ogni volta che lanciavamo un nuovo spot televisivo o una nuova campagna sui social media, le richieste aumentavano oltre il limite arbitrario che il nostro fornitore ci aveva fatto specificare, il che significava che il fornitore interpretava il picco come un attacco DDoS e bloccava il traffico legittimo", ha ricordato Turner. "Non solo abbiamo perso quei potenziali clienti, ma abbiamo anche perso i soldi che abbiamo speso per portarli sul nostro sito e il nostro fornitore ci avrebbe addebitato la protezione dagli attacchi DDoS".

Turner si è rivolto a Cloudflare grazie alla sua precedente esperienza di lavoro con l'azienda. “Nel mio lavoro di consulenza, ho consigliato molte volte Cloudflare ai clienti. Sapevo che i prodotti di Cloudflare funzionavano bene e offrivano un buon rapporto qualità-prezzo", ha affermato. Da LendingTree, Turner ha deciso di implementare le suite per le prestazioni e la sicurezza di Cloudflare, tra cui Bot Management, WAF e protezione da attacchi DDoS, insieme a Workers, la piattaforma serverless di Cloudflare.

Cloudflare Bot Management impedisce ai bot dannosi di abusare delle API di LendingTree

La mitigazione DDoS di Cloudflare è illimitata e offre 51 Tb/s di capacità di mitigazione, quindi LendingTree non deve preoccuparsi di impostare limiti di traffico arbitrari. LendingTree ha anche ottenuto molti altri vantaggi in termini di sicurezza da Cloudflare, inclusa la gestione dei bot.

I bot dannosi che abusavano delle API di LendingTree stavano costando all'azienda un sacco di soldi, non solo in termini di costi della larghezza di banda ma anche di opportunità. A causa della sofisticatezza dei bot e del fatto che stavano eseguendo lo scraping di dati finanziari, Turner credeva che alcuni di loro fossero stati implementati dai concorrenti. LendingTree non poteva limitare completamente le API, poiché i suoi partner dovevano potervi accedere per informazioni sulle tariffe correnti.

“La nostra fattura per un particolare servizio API è passata da 10.000 a 75.000 dollari al mese praticamente da un giorno all'altro. Il mese successivo, è salita a 150.000 dollari", ha spiegato Turner. “Il mio team ha dovuto dedicare molto tempo a indagare su questi attacchi e scrivere regole personalizzate nel tentativo di fermarli. Poiché gli autori di attacchi aggiustavano costantemente le loro tattiche, le regole che abbiamo scritto sarebbero state efficaci solo parzialmente per un breve periodo di tempo".

Cloudflare Bot Management ha dato a LendingTree risultati immediati. "Entro 48 ore dall'abilitazione di Cloudflare Bot Management, gli attacchi contro un particolare endpoint API sono diminuiti del 70%", ha riferito Turner.

A differenza delle soluzioni LendingTree utilizzate in precedenza, Cloudflare Bot Management non ostacola il traffico automatizzato legittimo. "Su centinaia di migliaia di richieste, abbiamo trovato solo un caso in cui una richiesta legittima è stata contrassegnata come dannosa", ha affermato Turner.

Turner ha anche ricevuto la conferma che almeno un concorrente aveva effettivamente abusato dell'API di LendingTree. "Non appena abbiamo interrotto l'abuso dell'API, le tariffe di un particolare concorrente sono immediatamente aumentate", ha ricordato. “Poi, ho visto un articolo di giornale che osservava che, improvvisamente, tutti tranne LendingTree stavano citando tassi ipotecari elevati. Sospettiamo fortemente che i nostri concorrenti stessero demolendo la nostra API e utilizzando i nostri dati per tagliarci fuori".

Cloudflare Workers consente a LendingTree di condurre test A/B e instradare il traffico al perimetro della rete

Turner afferma di utilizzare la piattaforma serverless Cloudflare Workers per risolvere rapidamente i problemi di codifica al perimetro della rete. “Workers è il mio coltellino svizzero. Ho diversi casi d'uso per questo", ha spiegato. "Mi consente di risolvere facilmente i problemi che non possono essere corretti rapidamente riscrivendo il codice." Questi casi d'uso includono l'inserimento di intestazioni di condivisione delle risorse tra le origini, la riscrittura dei parametri, l'ispezione dei pacchetti, l'esecuzione di test A/B e l'esame e l'instradamento del traffico TLS in entrata.

"Workers esamina le richieste in arrivo per confermare che siano TLS 1.0, quindi le instrada", ha spiegato Turner. "Grazie a Workers, sono riuscito a identificare che gran parte di questo traffico proveniva dai nostri server, che comunicavano su Internet anche se si trovavano uno accanto all'altro nello stesso datacenter. Senza Workers, non avrei potuto identificare questo problema. Essere in grado di eseguire il codice sul perimetro e instradare il traffico di conseguenza ci fa risparmiare tempo e denaro."

Di recente, Turner ha utilizzato Workers per inserire intestazioni CORS (cross-origin resource sharing) e risolvere un problema di comunicazione tra i sistemi di LendingTree e uno dei suoi siti partner, gestito da AOL. "Siamo riusciti a utilizzare Workers per identificare il problema e ripristinare il servizio in pochi minuti, senza tempi di inattività e senza modifiche al codice", ricorda Turner. "Senza Workers, avremmo dovuto eseguire il refactoring del codice e cambiare i server, il che avrebbe richiesto settimane".

Workers ha cambiato il modo in cui LendingTree conduce i test A/B. Prima di Workers, LendingTree doveva eseguire tutti i test A/B dalla sua parte, utilizzando i proxy NGINX. "Avevamo un intero sistema di test A/B scritto internamente", ha dichiarato Turner. Ora, LendingTree sta iniziando a utilizzare Cloudflare Workers per condurre test A/B sul perimetro della rete, ottenendo prestazioni migliori con minore complessità.

“Cloudflare Workers è stato un punto di svolta per LendingTree. Possiamo eseguire JavaScript in modo asincrono all'interno o insieme a una sessione client, manipolare i dati e prendere decisioni, senza influire sulle prestazioni o sulla disponibilità", ha affermato Turner. "Nessun'altra soluzione offre questa funzionalità".

Altri strumenti per la sicurezza e le prestazioni di Cloudflare offrono maggiore protezione, ottimizzazione e risparmi sui costi

LendingTree ha integrato una serie di strumenti per la sicurezza e le prestazioni di Cloudflare in tutta l'organizzazione.

Ad esempio, LendingTree ha rafforzato ulteriormente la protezione contro i bot dannosi combinando Bot Management con Cloudflare Rate Limiting e regole WAF personalizzate. "Negli ultimi quattro o cinque mesi, Cloudflare Rate Limiting ci ha permesso di risparmiare circa 250.000 dollari bloccando l'abuso dei nostri endpoint API", ha affermato Turner.

Cloudflare WAF è un altro componente fondamentale delle difese di sicurezza di LendingTree. "Cloudflare WAF ha un prezzo molto conveniente per tutto ciò che offre, ma soprattutto è facile da usare e funziona molto bene", ha affermato Turner. “Non abbiamo più bisogno di team dedicati per gestire le regole WAF o rimanere aggiornati sui feed di intelligence sulle minacce. Pensa a tutto Cloudflare WAF".

Quando LendingTree ha notato che le conversioni erano in calo, Google ha suggerito all'azienda di migliorare i tempi di caricamento della pagina. Turner ha utilizzato gli strumenti di ottimizzazione delle prestazioni di Cloudflare per apportare alcune modifiche, quindi ha chiesto a Google di controllare nuovamente i tempi di caricamento della pagina di LendingTree. I dipendenti di Google sono rimasti sbalorditi. "Solo sfruttando le funzionalità di prestazioni integrate di Cloudflare, abbiamo migliorato i tempi di caricamento delle pagine fino al 70%", ha ricordato Turner. "I dipendenti di Google hanno affermato di non aver mai visto aumentare le prestazioni del sito così rapidamente solo da qualcuno che ha apportato delle modifiche".

LendingTree utilizza i certificati TLS di Cloudflare per risparmiare denaro e prevenire interruzioni dovute a certificati scaduti. "Abbiamo migliaia di proprietà diverse. Con queste dimensioni, era solo una questione di tempo prima che perdessimo il rinnovo di un certificato", ha spiegato Turner. "Utilizzando i certificati TLS di Cloudflare, che si rinnovano automaticamente, risparmiamo circa 50.000 dollari all'anno, sia in costi amministrativi che in mancati guadagni dovuti a interruzioni dovute a certificati scaduti".

Turner afferma che i risparmi che LendingTree raccoglie da Cloudflare sono più di quanto ripaghi il costo dei servizi di Cloudflare. "Consentendoci di fornire i nostri prodotti in modo rapido, sicuro e affidabile, Cloudflare ci offre sicurezza alla velocità del business", ha affermato.

LendingTree
Case study correlati
Risultati principali
  • Cloudflare Bot Management ha ridotto del 70% gli attacchi contro un endpoint API di uso frequente.

  • Utilizzando Workers, LendingTree ha risolto immediatamente un problema di comunicazione tra i suoi sistemi e uno dei suoi siti partner, con zero tempi di inattività e senza modifiche al codice.

  • Cloudflare Rate Limiting ha fatto risparmiare a LendingTree 250.000 dollari in cinque mesi bloccando l'abuso dell'endpoint API.

  • Utilizzando la performance suite di Cloudflare, LendingTree ha migliorato i tempi di caricamento delle pagine fino al 70%.

Cloudflare Workers è stato un punto di svolta per LendingTree. Possiamo eseguire JavaScript in modo asincrono all'interno o insieme a una sessione client, manipolare i dati e prendere decisioni, senza influire sulle prestazioni o sulla disponibilità. Nessun'altra soluzione offre questa funzionalità.

John Turner
Application Security Lead

Negli ultimi cinque mesi, Cloudflare Rate Limiting ci ha permesso di risparmiare circa 250.000 dollari bloccando l'abuso dei nostri endpoint API.

John Turner
Application Security Lead